Modifications S/MIME | SwissSign
Une spécialiste de la Poste Suisse pour la sécurité des données

Section générale

Adrian Müller • 02.04.2025

Nouvelles exigences S/MIME: changements importants pour vos certificats de messagerie à partir de juillet 2025

Pourquoi les certificats SwissSign-S/MIME vont changer à partir de juin 2025 - et ce que vous devez faire maintenant.

À partir de juillet 2025, des règles internationales plus strictes concernant l’émission de certificats S/MIME entreront en vigueur. Ces modifications visent à renforcer la sécurité et l’interopérabilité des certificats de messagerie. SwissSign va donc adapter certaines caractéristiques de ses certificats de messagerie à partir de juin 2025.

Qu'est-ce que le CA/Browser Forum?

Le CA/Browser Forum est un organisme international composé des principaux éditeurs de navigateurs (Google, Mozilla, Microsoft et Apple) et des autorités de certification (CA - Certificate Authorities). Ce forum définit les règles internationales pour les certificats SSL/TLS et S/MIME afin de garantir la sécurité numérique sur Internet.

Pourquoi est-ce important?

Sans normes claires, les certificats pourraient varier en termes de structure et de contenu, ce qui pourrait entraîner des incompatibilités et des risques pour la sécurité. Le Forum CA/Browser (CA/B) garantit que les certificats sont uniformes, sûrs et dignes de confiance dans le monde entier en imposant des exigences contraignantes. Ces exigences sont contraignantes parce que seuls les certificats qui y répondent sont acceptés par les navigateurs et les fournisseurs de messagerie. Récemment, le CA/B a renforcé les spécifications de base S/MIME - un ensemble de règles qui définit les exigences pour les certificats S/MIME sur Internet. Ces modifications doivent maintenant être mises en œuvre par tous les organismes de certification (y compris SwissSign).

Qu'est-ce qui change concrètement?

Réduction de la durée maximale des certificats S/MIME

  • La durée maximale d'un certificat S/MIME est réduite de trois à deux ans.

  • Raison: Des durées de validité plus courtes augmentent la sécurité, car les certificats compromis ou obsolètes sont remplacés et les algorithmes de cryptographie modernes se répandent plus rapidement (voir Crypto-Agilité).

 

Obligation d’indiquer le prénom et le nom ou le pseudonyme dans les certificats d’or par e-mail

  • Jusqu'à présent, ces informations pouvaient être optionnelles, mais elles doivent maintenant être enregistrées comme attributs distincts:

    • givenName (gn): Prénom du titulaire du certificat 

    • surname (sn): nom de famille du titulaire du certificat 

    • Alternativement, vous pouvez enregistrer un pseudonyme au lieu d’un nom et d’un prénom

  • Pourquoi? Cette modification garantit que les certificats peuvent être associés de manière plus fiable à une personne.

 

Interdiction des attributs supplémentaires dans le Distinguished Name du Subject (SDN)

  • Les S/MIME Baseline Requirements définissent, pour chaque type de certificat, un ensemble d'attributs typiques (et autorisés) dans le champ du nom, le "Subject Distinguished Name" (SDN).

  • Jusqu'à présent, des attributs supplémentaires étaient autorisés, pour autant qu'ils aient été vérifiés. À partir de maintenant, SwissSign doit toujours se limiter aux attributs prescrits.

  • Cette interdiction concerne en particulier l'attribut "UserID" (UID), qui pouvait jusqu'à présent être utilisé de manière facultative dans les certificats SwissSign avec authentification du client.

  • Contexte: La limitation à un nombre donné d'attributs de nom garantit l'interopérabilité.

Vous utilisez déjà des certificats S/MIME?

Notre recommandation Mettez en œuvre les nouvelles exigences à l’avance pour bénéficier des normes de sécurité améliorées et éviter les problèmes éventuels liés à la délivrance automatisée de certificats.

En particulier, si vous obtenez des certificats S/MIME via votre PKI gérée à l’aide d’un système automatisé (par exemple, un système de passerelle de courrier électronique ou un système de gestion du cycle de vie des certificats), assurez-vous que: 

  • aucune durée de trois ans n’est configurée et

  • pour les certificats avec inscription du nom (ID Gold S/MIME par e-mail), les attributs "givenName" et "surname" doivent être fournis séparément dans la requête.

Si vous avez d'autres questions, n'hésitez pas à contacter l'équipe SwissSign au +41 848 77 66 55 ou [email protected].

Vous n’utilisez pas encore de certificats S/MIME? Que faire maintenant

 

1. Choisissez votre certificat et sécurisez vos communications en ligne ou par e-mail dès maintenant: Achetez votre certificat dans notre boutique en ligne. Des instructions d'installation simples sont fournies.

Commandez vos certificats maintenant

2. Simplifiez la gestion de vos certificats pour TLS/SSL et e-mail: avec notre PKI gérée (MPKI), vous pouvez gérer vous-même les certificats pour vos employés, clients et partenaires, et ce de manière personnalisée et adaptée à vos besoins. Vous économiserez ainsi par rapport à l’achat de certificats individuels.

Commandez MPKI maintenant

3. Demandez conseil sur la façon d’optimiser votre PKI - est-il plus rentable de passer à une PKI multi-tenant? Comment pouvez-vous encore automatiser la gestion et la distribution des certificats?

Demandez maintenant un conseil

4) Si vous avez appris quelque chose de notre article, envoyez-le à d'autres personnes de votre organisation, enregistrez le lien pour plus tard ou partagez-le sur LinkedIn 👇