Hauptbereich
Änderung Laufzeit von E-Mail-Zertifikaten
Bitte beachten Sie die nachfolgende Information:
Apple hat eine neue Rootstore Policy bzw. ein aktualisiertes Root Certificate Program veröffentlicht. Diese Policy definiert, welche Anforderungen die Anbieter von Zertifikatsdiensten wie SwissSign erfüllen müssen, um von Apple als vertrauenswürdig anerkannt zu werden.
Was ändert sich dadurch?
Die Anforderungen an E-Mail-Zertifikate werden per 1. April 2022 verschärft. Insbesondere gilt neu eine Beschränkung der technischen Laufzeit solcher Zertifikate auf 2 Jahre.
SwissSign wird deshalb die Ausstellung von E-Mail-Zertifikaten mit 3 Jahren Laufzeit im März 2022 beenden, es sind danach nur noch E-Mail-Zertifikate mit einer Laufzeit von einem oder zwei Jahren verfügbar. E-Mail-Zertifikate mit einer Gültigkeit von drei Jahren, die vor dem 1. April 2022 ausgestellt werden, bleiben aber auch nach dem Stichtag gültig und werden nicht widerrufen.
Bitte beachten Sie, dass diese Anpassung nur die technische Laufzeit betrifft.. Diese kann sich von der kommerziellen Laufzeit unterscheiden (Managed-PKI-Vertrag oder Webshop-Bezug).
Was müssen Sie als Kunde tun?
- Bei automatisiertem Bezug (nur bei Managed PKI möglich):
Falls Sie die E-Mail-Zertifikate automatisiert beziehen, muss Ihr «E-Mail Gateway» korrekt konfiguriert werden (‘Certificate Management over CMS’ - CMC). Die Zertifikatslaufzeit kann über das Setzen des Parameters «validity» gesteuert werden. Mit der Einstellung «validity=3y» konnten bisher Zertifikate mit einer Gültigkeit von drei Jahren bezogen werden. Dieser Wert wird zukünftig nicht mehr zulässig sein. Wir bitten Sie in diesem Fall, den Parameter «validity» ganz aus Ihren Requests zu entfernen.
- Manueller Bezug:
Falls Sie die E-Mail-Zertifikate über unser WebGUI beziehen, besteht kein unmittelbarer Handlungsbedarf. Die verkürzten Laufzeiten müssen aber bei der Planung von Zertifikatserneuerungen berücksichtigt werden, diese müssen zukünftig mindestens alle zwei Jahre durchgeführt werden.
Wir empfehlen, sofern möglich, «E-Mail Gateways» einzusetzen, um den Bezug und die Anwendung von E-Mail-Zertifikaten zu vereinfachen. Eine Liste von Anbietern, welche auch Partner von SwissSign sind, finden Sie auf unserer Webseite
Wir bedanken uns für Ihre Kenntnisnahme und stehen Ihnen bei weiteren Fragen selbstverständlich gerne unter [email protected] zur Verfügung.