Próximos requisitos básicos de SMIME: actualización de lo que necesita saber

Introducción

Una importante actualización de los requisitos básicos de S/MIME entrará en vigor el 16 de julio de 2025. Esta actualización, ordenada por el CA/Browser Forum, afecta a todas las organizaciones que utilizan autoridades de certificación (CA) públicas para emitir certificados S/MIME para correo electrónico seguro.

Los cambios afectan a todas las plataformas de gestión unificada de puntos finales (UEM) y gestión de dispositivos móviles (MDM) que automatizan la emisión de certificados a través de CA públicas.

 

** Información adicional para clientes de KeyTalk **

KeyTalk CKMS es totalmente compatible con la automatización S/MIME y cumple con todos los requisitos básicos de S/MIME. Para los nuevos clientes, la emisión de estos certificados S/MIME actualizados es sencilla y totalmente automatizada.

Si utiliza una versión local de KeyTalk CKMS, es posible que deba ajustar algunas configuraciones del certificado para cumplir con los nuevos estándares. Nuestro equipo de soporte está disponible las 24 horas, los 7 días de la semana, para ayudarle con cualquier pregunta de configuración o implementación.

 

 

Resumen de la actualización

• Fecha de entrada en vigor: 16 de julio de 2025
• Alcance: Todas las CA públicas que emiten certificados S/MIME
• Requisito clave: Todos los certificados S/MIME validados por el patrocinador deben incluir los atributos “Nombre” y “Apellido” en el nombre del sujeto del certificado. Los certificados que no los incluyan serán rechazados por las CA públicas .

Este cambio garantiza que cada certificado S/MIME identifique claramente al individuo que lo recibe, lo que hace que las comunicaciones por correo electrónico seguras sean más confiables y consistentes entre diferentes organizaciones.

 

Explicación detallada

¿Qué está cambiando?

Los Requisitos Base S/MIME del Foro de CA/Navegadores ahora especifican que los certificados S/MIME validados por el patrocinador deben identificar claramente a las personas mediante la inclusión de su nombre y apellidos en el Nombre del Sujeto del certificado. Esto garantiza una mayor seguridad de identidad y uniformidad en todos los certificados S/MIME públicos.

Los certificados validados por el patrocinador indican que el proceso de validación se basa en el patrocinio de una organización o entidad de confianza, en lugar de verificar la identidad de la persona que lo solicita. Esto puede ser especialmente útil cuando una organización desea emitir certificados S/MIME a sus empleados o miembros sin pasar por el proceso de verificación completo que podría requerirse para certificados personales o individuales.

 

¿A quién afecta esta actualización?

• Cualquier organización que utilice CA públicas para certificados S/MIME.
  • Esto incluye aquellos que utilizan plataformas como Microsoft Intune, ManageEngine Endpoint Central, Workspace ONE, Ivanti, Jamf, Cisco Meraki, Scalefusion, BlackBerry UEM y otras.
• Administradores de TI y equipos que gestionan perfiles o plantillas de certificados para la emisión automatizada de certificados S/MIME.
• No afectado: organizaciones que utilizan solo CA privadas/internas para S/MIME, o aquellas que no utilizan certificados S/MIME para correo electrónico.

 

** Información adicional para clientes de KeyTalk **

KeyTalk CKMS es totalmente compatible con la automatización S/MIME y cumple con todos los requisitos básicos de S/MIME. Para los nuevos clientes, la emisión de estos certificados S/MIME actualizados es sencilla y totalmente automatizada.

Si utiliza una versión local de KeyTalk CKMS, es posible que deba ajustar algunas configuraciones del certificado para cumplir con los nuevos estándares. Nuestro equipo de soporte está disponible las 24 horas, los 7 días de la semana, para ayudarle con cualquier pregunta de configuración o implementación.

 

 

¿Qué necesita cambiar?

Si su organización utiliza CA públicas para certificados S/MIME, deberá seguir los siguientes pasos:

1. Revisar perfiles o plantillas de certificados
   • Verifique todos los perfiles/plantillas de certificado SCEP o similares utilizados para S/MIME.
2. Actualizar el formato del nombre del sujeto
   • Asegúrese de que el campo Nombre del sujeto incluya:
     • G={{Nombre}}
     • SN={{Apellido}}
   • Sin estos, las solicitudes de certificados serán rechazadas por las CA públicas después del 16 de julio de 2025.
3. Pruebe antes de implementar cambios
   • Cree o actualice un perfil con los nuevos atributos.
   • Asígnelo primero a un grupo pequeño para verificar la emisión exitosa del certificado y la funcionalidad del correo electrónico.
4. Plan para la reemisión del certificado
   • La edición de perfiles existentes activa la reemisión para todos los usuarios. Esto podría generar costos adicionales, según el acuerdo con su CA.
5. Coordínese con su proveedor de CA
   • Confirme que su CA esté lista para los nuevos requisitos y pregunte sobre cualquier cambio de proceso o costo.
6. Monitorear futuras actualizaciones
   • Manténgase informado a través de su proveedor de plataforma y CA para obtener nueva orientación o recursos de soporte.

 

Tabla de referencia rápida

Acción	¿Quién necesita hacerlo?	Fecha límite	Notas
Añadir nombre y apellido al asunto	Todos los que utilizan CA S/MIME pública	16 de julio de 2025	Utilice G={{NombreDePiedra}} y SN={{Apellido}}
Pruebe los perfiles actualizados antes del lanzamiento completo	Todas las organizaciones afectadas	Antes del 16 de julio	Asignar primero a un grupo pequeño
Plan para la reemisión del certificado	Cualquier persona que edite perfiles existentes	Al editar el perfil	Puede generar costos adicionales; coordinar con el proveedor de CA
No se necesita ninguna acción para CA privada/no S/MIME	No utilizar CA S/MIME pública	N / A	No se requieren cambios

 

¿Por qué es necesaria la actualización de los requisitos básicos de S/MIME?

La actualización de los requisitos básicos de S/MIME es necesaria para abordar varios problemas de larga data en la forma en que se emiten y gestionan los certificados S/MIME:

• Falta de consistencia: Anteriormente, no existían estándares universales sobre cómo las Autoridades de Certificación (AC) públicas emitían certificados S/MIME. Cada AC podía tener su propio proceso, lo que generaba inconsistencias y posibles vulnerabilidades de seguridad.
• Diferentes niveles de garantía de identidad: sin reglas claras, la información incluida en los certificados (como nombres o direcciones de correo electrónico) podría diferir, lo que hace más difícil confiar en la identidad detrás de un correo electrónico seguro.
• Riesgos de seguridad: Las prácticas inconsistentes aumentan el riesgo de que los certificados se utilicen incorrectamente o se emitan a la persona equivocada, lo que podría comprometer la seguridad de las comunicaciones por correo electrónico.

Los nuevos requisitos básicos, establecidos por el CA/Browser Forum, crean un marco uniforme para que todos los certificados S/MIME públicos cumplan con los mismos altos estándares de verificación de identidad, seguridad y compatibilidad.

 

¿Cuáles son los beneficios para los usuarios?

La actualización aporta varios beneficios importantes para los usuarios finales y las organizaciones:

1. Verificación de identidad más sólida

• Identificación clara: Al exigir que cada certificado S/MIME validado por el patrocinador incluya los atributos “Nombre” y “Apellido”, el certificado ahora identifica claramente al destinatario. Esto reduce el riesgo de suplantación de identidad y garantiza que los correos electrónicos seguros se envíen a la persona correcta.
• Mayor confianza: Los destinatarios pueden estar más seguros de que un correo electrónico firmado o cifrado digitalmente realmente proviene de la persona nombrada en el certificado.

2. Seguridad mejorada

• Fraude reducido: la estandarización de la información en los certificados dificulta que los atacantes obtengan certificados fraudulentos o los utilicen indebidamente para realizar phishing u otros ataques.
• Mejor protección de datos confidenciales: con reglas más estrictas, los certificados utilizados para cifrar y firmar correos electrónicos son más confiables, lo que ayuda a mantener las comunicaciones confidenciales privadas y a prueba de manipulaciones.

3. Compatibilidad e interoperabilidad mejoradas

• Estándares uniformes: todas las CA públicas ahora siguen las mismas reglas, por lo que los certificados S/MIME funcionarán de manera más confiable en diferentes clientes y servicios de correo electrónico.
• Solución de problemas más sencilla: los equipos de TI tendrán una comprensión más clara de qué esperar de los certificados, lo que facilitará la gestión y la resolución de problemas.

4. Mayor privacidad del usuario

• Información controlada: La actualización limita qué información se puede incluir en el certificado, lo que protege a los usuarios de la exposición innecesaria de datos y, al mismo tiempo, garantiza una sólida validación de identidad.

 

Tabla resumen: Beneficios de la actualización

Beneficio	Descripción
Verificación de identidad más sólida	Los certificados deben incluir nombres completos, lo que reduce el riesgo de suplantación de identidad.
Seguridad mejorada	Las prácticas estandarizadas reducen el fraude y el uso indebido
Compatibilidad mejorada	Los estándares uniformes garantizan que los certificados funcionen en todas las plataformas y clientes.
Mayor privacidad del usuario	Solo se incluye la información de identidad necesaria, protegiendo los datos del usuario.

 

 

Conclusiones clave

• La actualización es universal: todos los certificados S/MIME emitidos por CA públicas deben cumplir, independientemente de la plataforma.
• Se requiere acción manual: ninguna plataforma actualizará sus perfiles automáticamente.
• Las pruebas son importantes: verifique siempre los cambios con un grupo pequeño antes de implementarlos para todos.
• Los usuarios de CA privados o aquellos que no utilizan S/MIME para correo electrónico no se verán afectados.

 

Consejos finales

• Comience a revisar y actualizar sus perfiles de certificados ahora para evitar problemas de último momento.
• Comuníquese con su CA y el proveedor de la plataforma para obtener el soporte y la orientación más recientes.
• Asegúrese de que sus usuarios estén preparados para cualquier cambio en la emisión de certificados o en los flujos de trabajo de seguridad del correo electrónico.

Al actuar con anticipación, las organizaciones pueden garantizar el cumplimiento, mantener operaciones de correo electrónico seguras y evitar interrupciones del servicio cuando entren en vigencia los nuevos requisitos.

 

Conclusión

La próxima actualización de los Requisitos Base de S/MIME supone un cambio crucial para el cumplimiento normativo de las organizaciones que emiten certificados S/MIME a través de CA públicas. Al actualizar sus perfiles de certificado para incluir los atributos requeridos y probar los cambios antes de la fecha de entrada en vigor, puede garantizar la continuidad de la funcionalidad del correo electrónico seguro y evitar interrupciones del servicio.

Esta actualización está diseñada para que las comunicaciones por correo electrónico seguras sean más fiables, seguras y fáciles de usar para todos. Al establecer estándares claros y uniformes, garantiza que los certificados S/MIME ofrezcan el máximo nivel de seguridad y confianza a todos los usuarios.

 

Compatibilidad de KeyTalk CKMS con la automatización S/MIME.

KeyTalk CKMS es totalmente compatible con la automatización S/MIME y cumple con todos los requisitos básicos de S/MIME. Para los nuevos clientes, la emisión de estos certificados S/MIME actualizados es sencilla y totalmente automatizada.

Si utiliza una versión local de KeyTalk CKMS, es posible que deba ajustar algunas configuraciones del certificado para cumplir con los nuevos estándares. Nuestro equipo de soporte está disponible las 24 horas, los 7 días de la semana, para ayudarle con cualquier pregunta de configuración o implementación.

 

El equipo de KeyTalk