S/MIME Änderungen | SwissSign
Eine Datensicherheitsspezialistin der Schweizerischen Post

Hauptbereich

Adrian Müller • 02.04.2025

Neue S/MIME-Vorgaben: Wichtige Änderungen für Ihre E-Mail-Zertifikate ab Juli 2025

Warum sich SwissSign-S/MIME-Zertifikate ab Juni 2025 ändern – und was Sie jetzt tun sollten.

Ab Juli 2025 treten verschärfte internationale Regelungen für die Ausstellung von S/MIME-Zertifikaten in Kraft. Diese Änderungen zielen darauf ab, die Sicherheit und Interoperabilität von E-Mail-Zertifikaten zu erhöhen. SwissSign wird daher ab Juni 2025 bestimmte Eigenschaften seiner E-Mail-Zertifikate anpassen.

Was ist das CA/Browser Forum?

Das CA/Browser Forum ist ein internationales Gremium, das sich aus den führenden Browser-Herstellern (wie Google, Mozilla, Microsoft und Apple) sowie Zertifizierungsstellen (CAs – Certificate Authorities) zusammensetzt. Dieses Forum definiert die internationalen Regelungen für SSL/TLS- und S/MIME-Zertifikate, um die digitale Sicherheit im Internet zu gewährleisten.

Warum ist das wichtig?

Ohne klare Standards könnten sich Zertifikate in Struktur und Inhalt unterscheiden, was zu Inkompatibilitäten und Sicherheitsrisiken führen könnte. Das CA/Browser Forum (CA/B) sorgt durch verbindliche Vorgaben dafür, dass Zertifikate weltweit einheitlich, sicher und vertrauenswürdig sind. Verbindlich sind sie deshalb, weil nur Zertifikate von den Browsern und E-Mail-Anbietern akzeptiert werden, die diesen Anforderungen entsprechen.

Vor Kurzem hat das CA/B die S/MIME Baseline Requirements verschärft – ein Regelwerk, das die Vorgaben für S/MIME-Zertifikate im Internet definiert. Diese Änderungen müssen nun von allen Zertifizierungsstellen (einschliesslich SwissSign) umgesetzt werden.

Was ändert sich konkret?

Verkürzung der maximalen Laufzeit von S/MIME-Zertifikaten

  • Die maximale Laufzeit eines S/MIME-Zertifikats wird von drei auf zwei Jahre verkürzt.

  • Grund: Kürzere Laufzeiten erhöhen die Sicherheit, da kompromittierte Zertifikate oder solche mit veralteten Einträgen ersetzt werden und moderne Kryptografie-Algorithmen sich schneller verbreiten (Stichwort: Crypto-Agilität).

 

Obligatorische Angabe von Vor- und Nachnamen oder Pseudonym in E-Mail-Gold-Zertifikaten

  • Bisher konnten diese Angaben optional sein, nun müssen sie zwingend als separate Attribute hinterlegt werden: 

    • givenName (gn): Vorname des Zertifikatshalters 

    • surname (sn): Nachname des Zertifikatshalters 

    • Alternativ: Statt Vor- und Nachname kann auch ein Pseudonym hinterlegt werden

  • Warum? Diese Änderung stellt sicher, dass Zertifikate verlässlicher einer Person zugeordnet werden können.

 

Verbot zusätzlicher Attribute im Subject Distinguished Name (SDN)

  • Die S/MIME Baseline Requirements definieren pro Zertifikats-Typ einen Satz typischer (und erlaubter) Attribute im Namensfeld, dem "Subject Distinguished Name" (SDN).

  • Bisher waren teilweise auch zusätzliche Attribute erlaubt, sofern sie überprüft waren. Neu muss sich SwissSign immer auf die vorgegebenen Attribute beschränken.

  • Dieses Verbot betrifft insbesondere das Attribut "UserID" (UID), welches bisher optional in SwissSign-Zertifikaten mit Client-Authentisierung gesetzt werden durfte.

  • Hintergrund: Durch die Beschränkung auf eine vorgegebene Menge an Namens-Attributen wird die Interoperabilität sichergestellt.

Sie nutzen bereits S/MIME-Zertifikate? Unsere Empfehlung

Setzen Sie die neuen Anforderungen frühzeitig um, um von den verbesserten Sicherheitsstandards zu profitieren und mögliche Probleme bei der automatisierten Ausstellung von Zertifikaten zu vermeiden.

Insbesondere wenn Sie über Ihre Managed PKI mittels automatisiertem System (E-Mail Gateway oder Certificate Lifecycle Management System) S/MIME-Zertifikate beziehen, dann stellen Sie bitte sicher, dass 

  • keine Laufzeit von drei Jahren konfiguriert wird und

  • bei Zertifikaten mit Namenseintrag (Pro S/MIME E-Mail ID Gold) "givenName" und "surname" als separate Attribute bei der Anfrage mitgegeben werden.

Für weitere Fragen steht Ihnen das SwissSign-Team gerne unter +41 848 77 66 55 oder [email protected] zur Verfügung.

Sie nutzen noch keine S/MIME-Zertifikate? Was Sie jetzt tun sollten

 

1. Wählen Sie Ihr Zertifikat und sichern Sie Ihre Online- oder E-Mail-Kommunikation sofort: Kaufen Sie das Zertifikat jetzt in unserem Webshop. Eine einfache Installationsanleitung ist enthalten.

Jetzt Zertifikate bestellen

2. Vereinfachen Sie Ihr Zertifikate-Management für TLS/SSL und E-Mail: Mit unserer Managed PKI (MPKI) können Sie Zertifikate für Ihre Mitarbeitenden, Kunden und Partner eigenständig und individuell für Ihre Bedürfnisse verwalten und sparen im Vergleich zum Kauf einzelner Zertifikate.

Jetzt MPKI bestellen

3. Lassen Sie sich beraten, wie Sie Ihren PKI-Set Up optimieren können - fahren Sie mit einer MPKI günstiger? Wie könnten Sie Ausstellung und Management von Zertifikaten noch weiter automatisieren – etwa mit unseren E-Mail Gateway-Partnern?

Jetzt Beratung anfragen

4. Haben Sie etwas lernen können aus unserem Beitrag, senden Sie ihn doch anderen Personen in Ihrer Organisation, speichern sich den Link für später oder teilen Sie ihn auf LinkedIn 👇