Prossimi requisiti di base SMIME: aggiorna ciò che devi sapere

Un aggiornamento significativo ai requisiti di base S/MIME entrerà in vigore il  16 luglio 2025. Questo aggiornamento, imposto dal CA/Browser Forum, interesserà tutte le organizzazioni che utilizzano autorità di certificazione (CA) pubbliche per rilasciare certificati S/MIME per la posta elettronica sicura.  

Le modifiche interessano tutte le piattaforme Unified Endpoint Management (UEM) e Mobile Device Management (MDM) che automatizzano l’emissione di certificati tramite CA pubbliche.  

 

** Informazioni aggiuntive per i clienti KeyTalk ** 

KeyTalk CKMS supporta pienamente l’automazione S/MIME ed è conforme a tutti i requisiti di base S/MIME. Per i nuovi clienti, l’emissione di questi certificati S/MIME aggiornati è semplice e completamente automatizzata. 

Se utilizzi una versione on-premise di KeyTalk CKMS, potrebbe essere necessario modificare alcune impostazioni del certificato per soddisfare i nuovi standard. Il nostro team di supporto è disponibile 24 ore su 24, 7 giorni su 7 per assisterti in caso di domande sulla configurazione o l’implementazione. 

 

Riepilogo dell’aggiornamento 

• Data di entrata in vigore:  16 luglio 2025 

• Ambito:  tutte le CA pubbliche che rilasciano certificati S/MIME 

• Requisito fondamentale:  tutti i certificati S/MIME convalidati dallo sponsor devono includere gli  attributi “Nome”  e  “Cognome”  nel nome del soggetto del certificato. I certificati privi di questi attributi saranno rifiutati dalle CA pubbliche . 

Questa modifica garantisce che ogni certificato S/MIME identifichi chiaramente la persona che lo riceve, rendendo le comunicazioni e-mail sicure più affidabili e coerenti tra le diverse organizzazioni. 

 

Spiegazione dettagliata 

Cosa sta cambiando? 

I requisiti di base S/MIME del CA/Browser Forum ora specificano che i certificati S/MIME convalidati dallo sponsor devono identificare chiaramente gli individui includendo il loro nome e cognome (Nome e Cognome) nel Subject Name del certificato. Questo per garantire una maggiore garanzia di identità e uniformità tra tutti i certificati S/MIME pubblici. 

I certificati convalidati dallo sponsor indicano che il processo di convalida del certificato si basa sulla sponsorizzazione di un’organizzazione o di un’entità attendibile, anziché sulla verifica dell’identità del richiedente. Questo può essere particolarmente utile nei casi in cui un’organizzazione desideri rilasciare certificati S/MIME ai propri dipendenti o membri senza sottoporsi all’intero processo di verifica che potrebbe essere richiesto per i certificati personali o emessi individualmente. 

 

Chi è interessato da questo aggiornamento? 

• Qualsiasi organizzazione che utilizza CA pubbliche per i certificati S/MIME. 

• Tra questi rientrano coloro che utilizzano piattaforme come Microsoft Intune, ManageEngine Endpoint Central, Workspace ONE, Ivanti, Jamf, Cisco Meraki, Scalefusion, BlackBerry UEM e altre. 

• Amministratori IT e team  che gestiscono profili o modelli di certificati per l’emissione automatizzata di certificati S/MIME. 

• Non interessato:  organizzazioni che utilizzano solo CA private/interne per S/MIME o che non utilizzano certificati S/MIME per la posta elettronica. 

 

** Informazioni aggiuntive per i clienti KeyTalk ** 

KeyTalk CKMS supporta pienamente l’automazione S/MIME ed è conforme a tutti i requisiti di base S/MIME. Per i nuovi clienti, l’emissione di questi certificati S/MIME aggiornati è semplice e completamente automatizzata. 

Se utilizzi una versione on-premise di KeyTalk CKMS, potrebbe essere necessario modificare alcune impostazioni del certificato per soddisfare i nuovi standard. Il nostro team di supporto è disponibile 24 ore su 24, 7 giorni su 7 per assisterti in caso di domande sulla configurazione o l’implementazione. 

 

 

Cosa deve cambiare? 

Se la tua organizzazione utilizza CA pubbliche per i certificati S/MIME, devi seguire i seguenti passaggi: 

• Esaminare i profili o i modelli dei certificati 
  • Controllare tutti i profili/modelli di certificati SCEP o simili utilizzati per S/MIME. 
• Aggiorna il formato del nome dell’oggetto 
  • Assicurati che il campo Nome soggetto includa: 
  • G={{Nome}} 
  • SN={{Cognome}} 
  • Senza questi requisiti, le richieste di certificato verranno respinte dalle CA pubbliche dopo il 16 luglio 2025. 
• Test prima di implementare le modifiche 
  • Crea o aggiorna un profilo con i nuovi attributi. 
  • Assegnarlo prima a un piccolo gruppo per verificare il corretto rilascio del certificato e la funzionalità della posta elettronica. 
• Piano per la riemissione del certificato 
  • La modifica dei profili esistenti comporta la ripubblicazione per tutti gli utenti. Ciò potrebbe comportare costi aggiuntivi, a seconda degli accordi stipulati con la CA. 
• Coordinarsi con il proprio fornitore di CA 
  • Verifica che la tua CA sia pronta per i nuovi requisiti e chiedi informazioni su eventuali modifiche ai processi o ai costi. 
• Monitorare per ulteriori aggiornamenti 
  • Rimani informato tramite il tuo fornitore di piattaforma e l’autorità di certificazione per eventuali nuove linee guida o risorse di supporto. 

 

Tabella di riferimento rapido 

Azione	Chi deve farlo	Scadenza	Note
Aggiungi nome e cognome all’oggetto	Tutti utilizzano CA S/MIME pubblico	16 luglio 2025	Usa G={{GivenName}} e SN={{SurName}}
Testare i profili aggiornati prima del lancio completo	Tutte le organizzazioni interessate	Prima del 16 luglio	Assegnare prima a un piccolo gruppo
Piano per la riemissione del certificato	Chiunque modifichi i profili esistenti	Dopo la modifica del profilo	Potrebbero verificarsi costi aggiuntivi; coordinarsi con il fornitore di CA
Nessuna azione necessaria per CA privata/nessun S/MIME	Non si utilizza la CA S/MIME pubblica	N / A	Nessuna modifica richiesta

 

Perché è necessario l’aggiornamento dei requisiti di base S/MIME? 

L’aggiornamento dei requisiti di base S/MIME è necessario per risolvere diversi problemi di vecchia data nel modo in cui i certificati S/MIME vengono emessi e gestiti: 

• Mancanza di coerenza:  in precedenza, non esistevano standard universali per il rilascio dei certificati S/MIME da parte delle autorità di certificazione pubbliche (CA). Ogni CA poteva avere una propria procedura, con conseguenti incoerenze e potenziali lacune di sicurezza. 

• Diversi livelli di garanzia dell’identità:  senza regole chiare, le informazioni incluse nei certificati (come nomi o indirizzi e-mail) potrebbero variare, rendendo più difficile fidarsi dell’identità dietro un’e-mail sicura. 

• Rischi per la sicurezza:  pratiche incoerenti aumentano il rischio che i certificati vengano utilizzati in modo improprio o rilasciati alla persona sbagliata, il che potrebbe compromettere la sicurezza delle comunicazioni e-mail. 

I nuovi requisiti di base, stabiliti dal CA/Browser Forum, creano un quadro uniforme in modo che tutti i certificati S/MIME pubblici soddisfino gli stessi elevati standard di verifica dell’identità, sicurezza e compatibilità 

 

Quali sono i vantaggi per gli utenti? 

L’aggiornamento apporta diversi importanti vantaggi agli utenti finali e alle organizzazioni: 

1. Verifica dell’identità più forte 

• Identificazione chiara:  richiedendo che ogni certificato S/MIME convalidato dallo sponsor includa gli attributi “Nome” e “Cognome”, il certificato identifica ora chiaramente il singolo destinatario. Ciò riduce il rischio di impersonificazione e garantisce che le email sicure vengano inviate alla persona giusta. 

• Maggiore fiducia:  i destinatari possono essere più certi che un’e-mail firmata digitalmente o crittografata provenga effettivamente dalla persona indicata nel certificato. 

2. Sicurezza migliorata 

• Riduzione delle frodi:  la standardizzazione delle informazioni nei certificati rende più difficile per gli aggressori ottenere certificati fraudolenti o utilizzarli impropriamente per phishing o altri attacchi. 

• Migliore protezione dei dati sensibili:  grazie a regole più severe, i certificati utilizzati per crittografare e firmare le e-mail sono più affidabili, contribuendo a mantenere le comunicazioni sensibili private e a prova di manomissione. 

3. Compatibilità e interoperabilità migliorate 

• Standard uniformi:  tutte le CA pubbliche ora seguono le stesse regole, quindi i certificati S/MIME funzioneranno in modo più affidabile su diversi client e servizi di posta elettronica. 

• Risoluzione dei problemi più semplice:  i team IT avranno un’idea più chiara di cosa aspettarsi dai certificati, semplificando la gestione e la risoluzione dei problemi. 

4. Maggiore privacy dell’utente 

• Informazioni controllate:  l’aggiornamento limita le informazioni che possono essere incluse nel certificato, proteggendo gli utenti da un’esposizione non necessaria dei dati e garantendo comunque una solida convalida dell’identità. 

 

Tabella riassuntiva: vantaggi dell’aggiornamento 

Beneficio	Descrizione
Verifica dell’identità più forte	I certificati devono includere i nomi completi, riducendo il rischio di impersonificazione
Sicurezza avanzata	Le pratiche standardizzate riducono le frodi e gli abusi
Compatibilità migliorata	Standard uniformi garantiscono che i certificati funzionino su tutte le piattaforme e su tutti i client
Maggiore privacy dell’utente	Sono incluse solo le informazioni di identità necessarie, proteggendo i dati dell’utente

 

 

Punti chiave 

• L’aggiornamento è universale:  tutti i certificati S/MIME rilasciati dalle CA pubbliche devono essere conformi, indipendentemente dalla piattaforma. 

• È richiesta un’azione manuale:  nessuna piattaforma aggiornerà automaticamente i tuoi profili. 

• I test sono importanti:  verifica sempre le modifiche con un piccolo gruppo prima di distribuirle a tutti. 

• Gli utenti di CA private o coloro che non utilizzano S/MIME per la posta elettronica non sono interessati. 

 

Suggerimenti finali 

• Inizia subito a rivedere e aggiornare i profili dei tuoi certificati per evitare problemi dell’ultimo minuto. 

• Contatta la tua CA e il fornitore della piattaforma per ricevere supporto e indicazioni aggiornate. 

• Assicurati che i tuoi utenti siano preparati a qualsiasi modifica nei flussi di lavoro relativi al rilascio dei certificati o alla sicurezza della posta elettronica. 

Agendo tempestivamente, le organizzazioni possono garantire la conformità, mantenere operazioni di posta elettronica sicure ed evitare interruzioni del servizio quando i nuovi requisiti entreranno in vigore. 

 

Conclusione 

Il prossimo aggiornamento dei requisiti di base S/MIME rappresenta una modifica fondamentale per la conformità delle organizzazioni che rilasciano certificati S/MIME tramite CA pubbliche. Aggiornando i profili dei certificati per includere gli attributi richiesti e testando le modifiche prima della data di entrata in vigore, è possibile garantire la continuità della funzionalità di posta elettronica sicura ed evitare interruzioni del servizio. 

Questo aggiornamento è progettato per rendere le comunicazioni e-mail sicure più affidabili, sicure e intuitive per tutti. Stabilendo standard chiari e uniformi, garantisce che i certificati S/MIME offrano il massimo livello di sicurezza e affidabilità a tutti gli utenti. 

 

Supporto KeyTalk CKMS per l’automazione S/MIME

KeyTalk CKMS supporta pienamente l’automazione S/MIME ed è conforme a tutti i requisiti di base S/MIME. Per i nuovi clienti, l’emissione di questi certificati S/MIME aggiornati è semplice e completamente automatizzata. 

Se utilizzi una versione on-premise di KeyTalk CKMS, potrebbe essere necessario modificare alcune impostazioni del certificato per soddisfare i nuovi standard. Il nostro team di supporto è disponibile 24 ore su 24, 7 giorni su 7 per assisterti in caso di domande sulla configurazione o l’implementazione. 

 

Il team KeyTalk