Kommende SMIME-Basisanforderungen – Update: Was Sie wissen müssen
Home / Media / News / Kommende SMIME-Basisanforderungen – Update: Was Sie wissen müssen

Kommende SMIME-Basisanforderungen – Update: Was Sie wissen müssen
11 Jul ‘25

16 Juli 2025 tritt eine wichtige Aktualisierung der S/MIME-Basisanforderungen in Kraft . Diese vom CA/Browser-Forum vorgeschriebene Aktualisierung betrifft alle Organisationen, die öffentliche Zertifizierungsstellen (CAs) zur Ausstellung von S/MIME-Zertifikaten für sichere E-Mails nutzen.

Die Änderungen wirken sich auf alle Unified Endpoint Management (UEM)- und Mobile Device Management (MDM)-Plattformen aus, die die Zertifikatsausstellung über öffentliche CAs automatisieren.

 

** Zusätzliche Informationen für KeyTalk-Kunden **

KeyTalk CKMS unterstützt die S/MIME-Automatisierung vollständig und erfüllt alle S/MIME-Basisanforderungen. Für Neukunden ist die Ausstellung dieser aktualisierten S/MIME-Zertifikate unkompliziert und vollautomatisch.

Wenn Sie KeyTalk CKMS vor Ort nutzen, müssen möglicherweise einige Zertifikatseinstellungen angepasst werden, um den neuen Standards zu entsprechen. Unser Support-Team steht Ihnen rund um die Uhr zur Verfügung und unterstützt Sie bei Fragen zur Konfiguration und Implementierung.

 

 

Zusammenfassung des Updates

  • Datum des Inkrafttretens: 16. Juli 2025
  • Geltungsbereich: Alle öffentlichen CAs, die S/MIME-Zertifikate ausstellen
  • Wichtige Anforderung: Alle vom Sponsor validierten S/MIME-Zertifikate müssen die Attribute „Vorname“ und „Nachname“ im Zertifikatsinhabernamen enthalten. Zertifikate ohne diese Attribute werden von öffentlichen Zertifizierungsstellen abgelehnt .

Diese Änderung stellt sicher, dass jedes S/MIME-Zertifikat die Person, die es erhält, eindeutig identifiziert, wodurch die sichere E-Mail-Kommunikation zwischen verschiedenen Organisationen vertrauenswürdiger und konsistenter wird.

 

Detaillierte Erklärung

Was ändert sich?

Die S/MIME-Basisanforderungen des CA/Browser-Forums legen nun fest, dass vom Sponsor validierte S/MIME-Zertifikate Personen eindeutig identifizieren müssen, indem deren Vor- und Nachnamen (Vorname und Nachname) im Betreffnamen des Zertifikats enthalten sind. Dies soll eine bessere Identitätssicherung und Einheitlichkeit aller öffentlichen S/MIME-Zertifikate gewährleisten.

Bei vom Sponsor validierten Zertifikaten basiert der Validierungsprozess auf der Unterstützung einer Organisation oder einer vertrauenswürdigen Stelle und nicht auf der Überprüfung der Identität der Person, die das Zertifikat anfordert. Dies ist insbesondere dann nützlich, wenn eine Organisation ihren Mitarbeitern oder Mitgliedern S/MIME-Zertifikate ausstellen möchte, ohne den vollständigen Überprüfungsprozess zu durchlaufen, der für persönlich oder individuell ausgestellte Zertifikate erforderlich sein kann.

 

Wer ist von diesem Update betroffen?

  • Jede Organisation, die öffentliche CAs für S/MIME-Zertifikate verwendet.
    • Dazu gehören diejenigen, die Plattformen wie Microsoft Intune, ManageEngine Endpoint Central, Workspace ONE, Ivanti, Jamf, Cisco Meraki, Scalefusion, BlackBerry UEM und andere verwenden.
  • IT-Administratoren und Teams , die Zertifikatsprofile oder Vorlagen für die automatische Ausstellung von S/MIME-Zertifikaten verwalten.
  • Nicht betroffen: Organisationen, die nur private/interne CAs für S/MIME verwenden oder solche, die keine S/MIME-Zertifikate für E-Mails verwenden.

 

** Zusätzliche Informationen für KeyTalk-Kunden **

KeyTalk CKMS unterstützt die S/MIME-Automatisierung vollständig und erfüllt alle S/MIME-Basisanforderungen. Für Neukunden ist die Ausstellung dieser aktualisierten S/MIME-Zertifikate unkompliziert und vollautomatisch.

Wenn Sie KeyTalk CKMS vor Ort nutzen, müssen möglicherweise einige Zertifikatseinstellungen angepasst werden, um den neuen Standards zu entsprechen. Unser Support-Team steht Ihnen rund um die Uhr zur Verfügung und unterstützt Sie bei Fragen zur Konfiguration und Implementierung.

 

 

Was muss sich ändern?

Wenn Ihre Organisation öffentliche Zertifizierungsstellen für S/MIME-Zertifikate verwendet, müssen Sie die folgenden Schritte ausführen:

  1. Überprüfen von Zertifikatprofilen oder -vorlagen
    • Überprüfen Sie alle SCEP- oder ähnlichen Zertifikatsprofile/-vorlagen, die für S/MIME verwendet werden.
  2. Aktualisieren des Betreffnamenformats
    • Stellen Sie sicher, dass das Feld „Betreffname“ Folgendes enthält:
      • G={{Vorname}}
      • SN={{Nachname}}
    • Ohne diese werden Zertifikatsanfragen nach dem 16. Juli 2025 von öffentlichen Zertifizierungsstellen abgelehnt.
  3. Testen Sie vor der Einführung von Änderungen
    • Erstellen oder aktualisieren Sie ein Profil mit den neuen Attributen.
    • Weisen Sie es zunächst einer kleinen Gruppe zu, um die erfolgreiche Zertifikatsausstellung und E-Mail-Funktionalität zu überprüfen.
  4. Plan zur Neuausstellung von Zertifikaten
    • Das Bearbeiten bestehender Profile führt zur Neuausstellung für alle Benutzer. Dies kann je nach Vereinbarung mit Ihrer Zertifizierungsstelle zu zusätzlichen Kosten führen.
  5. Koordinieren Sie sich mit Ihrem CA-Anbieter
    • Vergewissern Sie sich, dass Ihre Zertifizierungsstelle für die neuen Anforderungen bereit ist, und fragen Sie nach etwaigen Prozess- oder Kostenänderungen.
  6. Überwachen Sie weitere Updates
    • Bleiben Sie über Ihren Plattformanbieter und Ihre Zertifizierungsstelle über neue Anleitungen oder Supportressourcen auf dem Laufenden.

 

Kurzübersichtstabelle

Aktion Wer muss es tun? Frist Hinweise
Fügen Sie dem Betreff Vor- und Nachnamen hinzu Alle verwenden öffentliche CA S/MIME 16. Juli 2025 Verwenden Sie G={{GivenName}} und SN={{SurName}}
Testen Sie aktualisierte Profile vor der vollständigen Einführung Alle betroffenen Organisationen Vor dem 16. Juli Zuerst einer kleinen Gruppe zuweisen
Planen der Neuausstellung von Zertifikaten Jeder, der vorhandene Profile bearbeitet Bei der Profilbearbeitung Möglicherweise fallen zusätzliche Kosten an. Abstimmung mit dem CA-Anbieter.
Keine Aktion erforderlich für private CA/kein S/MIME Keine öffentliche S/MIME-CA verwenden N / A Keine Änderungen erforderlich

 

Warum ist ein Update der S/MIME-Basisanforderungen erforderlich?

Die Aktualisierung der S/MIME-Basisanforderungen ist notwendig, um mehrere seit langem bestehende Probleme bei der Ausstellung und Verwaltung von S/MIME-Zertifikaten zu beheben:

  • Mangelnde Konsistenz: Bisher gab es keine universellen Standards für die Ausstellung von S/MIME-Zertifikaten durch öffentliche Zertifizierungsstellen (CAs). Jede CA hatte möglicherweise eigene Prozesse, was zu Inkonsistenzen und potenziellen Sicherheitslücken führte.
  • Unterschiedliche Stufen der Identitätssicherung: Ohne klare Regeln können die in Zertifikaten enthaltenen Informationen (wie Namen oder E-Mail-Adressen) unterschiedlich sein, was es schwieriger macht, der Identität hinter einer sicheren E-Mail zu vertrauen.
  • Sicherheitsrisiken: Inkonsistente Vorgehensweisen erhöhen das Risiko, dass Zertifikate missbraucht oder an die falsche Person ausgestellt werden, was die Sicherheit der E-Mail-Kommunikation gefährden kann.

Die neuen Baseline Requirements des CA/Browser Forums schaffen einen einheitlichen Rahmen, sodass alle öffentlichen S/MIME-Zertifikate die gleichen hohen Standards für Identitätsprüfung, Sicherheit und Kompatibilität erfüllen.

 

Welche Vorteile ergeben sich für die Benutzer?

Das Update bringt Endbenutzern und Organisationen mehrere wichtige Vorteile:

  1. Stärkere Identitätsprüfung
  • Eindeutige Identifizierung: Da jedes vom Sponsor validierte S/MIME-Zertifikat die Attribute „Vorname“ und „Nachname“ enthalten muss, identifiziert das Zertifikat nun den einzelnen Empfänger eindeutig. Dies reduziert das Risiko von Identitätsbetrug und stellt sicher, dass sichere E-Mails an die richtige Person gesendet werden.
  • Mehr Vertrauen: Empfänger können sich sicherer sein, dass eine digital signierte oder verschlüsselte E-Mail tatsächlich von der im Zertifikat genannten Person stammt.
  1. Verbesserte Sicherheit
  • Weniger Betrug: Durch die Standardisierung der Informationen in Zertifikaten wird es für Angreifer schwieriger, gefälschte Zertifikate zu erhalten oder diese für Phishing oder andere Angriffe zu missbrauchen.
  • Besserer Schutz vertraulicher Daten: Dank strengerer Regeln sind die zum Verschlüsseln und Signieren von E-Mails verwendeten Zertifikate zuverlässiger und tragen dazu bei, vertrauliche Kommunikation privat und manipulationssicher zu halten.
  1. Verbesserte Kompatibilität und Interoperabilität
  • Einheitliche Standards: Alle öffentlichen Zertifizierungsstellen folgen jetzt denselben Regeln, sodass S/MIME-Zertifikate bei verschiedenen E-Mail-Clients und -Diensten zuverlässiger funktionieren.
  • Einfachere Fehlerbehebung: IT-Teams wissen jetzt besser, was sie von Zertifikaten erwarten können, und können Probleme leichter verwalten und lösen.
  1. Erhöhte Benutzerprivatsphäre
  • Kontrollierte Informationen: Das Update begrenzt die Informationen, die in das Zertifikat aufgenommen werden können, und schützt Benutzer vor unnötiger Datenfreigabe, während gleichzeitig eine starke Identitätsüberprüfung gewährleistet wird.

 

Übersichtstabelle: Vorteile des Updates

Nutzen Beschreibung
Stärkere Identitätsprüfung Zertifikate müssen den vollständigen Namen enthalten, um das Risiko eines Identitätsbetrugs zu verringern
Verbesserte Sicherheit Standardisierte Verfahren reduzieren Betrug und Missbrauch
Verbesserte Kompatibilität Einheitliche Standards gewährleisten die plattform- und mandantenübergreifende Funktion der Zertifikate
Erhöhter Benutzerdatenschutz Zum Schutz der Benutzerdaten werden nur die notwendigen Identitätsinformationen bereitgestellt.

 

 

Die wichtigsten Erkenntnisse

  • Das Update ist universell: Alle öffentlichen CA-S/MIME-Zertifikatsausstellungen müssen konform sein, unabhängig von der Plattform.
  • Manuelle Aktion erforderlich: Keine Plattform aktualisiert Ihre Profile automatisch.
  • Tests sind wichtig: Überprüfen Sie Änderungen immer mit einer kleinen Gruppe, bevor Sie sie für alle freigeben.
  • Private CA-Benutzer oder solche, die S/MIME nicht für E-Mails verwenden, sind nicht betroffen.

 

Abschließende Tipps

  • Beginnen Sie jetzt mit der Überprüfung und Aktualisierung Ihrer Zertifikatsprofile, um Probleme in letzter Minute zu vermeiden.
  • Kommunizieren Sie mit Ihrer Zertifizierungsstelle und Ihrem Plattformanbieter, um den neuesten Support und die neuesten Anleitungen zu erhalten.
  • Stellen Sie sicher, dass Ihre Benutzer auf alle Änderungen bei der Zertifikatsausstellung oder den E-Mail-Sicherheits-Workflows vorbereitet sind.

Durch frühzeitiges Handeln können Unternehmen die Einhaltung der Vorschriften sicherstellen, einen sicheren E-Mail-Betrieb aufrechterhalten und Dienstunterbrechungen vermeiden, wenn die neuen Anforderungen in Kraft treten.

 

Abschluss

Das bevorstehende Update der S/MIME-Basisanforderungen stellt eine wichtige Compliance-Änderung für Unternehmen dar, die S/MIME-Zertifikate über öffentliche Zertifizierungsstellen ausstellen. Indem Sie Ihre Zertifikatsprofile mit den erforderlichen Attributen aktualisieren und die Änderungen vor dem Inkrafttreten testen, gewährleisten Sie weiterhin sichere E-Mail-Funktionalität und vermeiden Serviceunterbrechungen.

Dieses Update soll die sichere E-Mail-Kommunikation für alle vertrauenswürdiger, zuverlässiger und benutzerfreundlicher machen. Durch die Festlegung klarer, einheitlicher Standards wird sichergestellt, dass S/MIME-Zertifikate allen Nutzern ein Höchstmaß an Sicherheit und Vertrauen bieten.

 

KeyTalk CKMS unterstützt S/MIME-Automatisierung.

KeyTalk CKMS unterstützt S/MIME-Automatisierung vollständig und erfüllt alle S/MIME-Basisanforderungen. Für Neukunden ist die Ausstellung dieser aktualisierten S/MIME-Zertifikate unkompliziert und vollautomatisch.

Wenn Sie KeyTalk CKMS vor Ort nutzen, müssen möglicherweise einige Zertifikatseinstellungen angepasst werden, um den neuen Standards zu entsprechen. Unser Support-Team steht Ihnen rund um die Uhr zur Verfügung und unterstützt Sie bei Fragen zur Konfiguration und Implementierung.

 

Das KeyTalk-Team