S/MIME-certificaten lijken niet vertrouwd te worden.

10 feb ‘25

Bij het verzenden of ontvangen van S/MIME digitaal ondertekende en/of versleutelde e-mails zullen deze e-mails alleen vertrouwd worden als hun CA trust-chains vertrouwd zijn.

Deze CA trust-chain vertrouwensrelaties moeten aanwezig zijn aan de kant van de mailclient bij het gebruik van Windows, Mac of Linux. Wanneer je MacMail of Outlook voor Windows of Mac gebruikt, betekent dit dat de CA trust-chain vertrouwd en aanwezig is in de lokale certificaatopslag of sleutelhanger. Bij gebruik van Thunderbird moet de CA trust-chain aanwezig zijn in de mailclient zelf (aangezien het zijn eigen propriëtaire certificaatopslag gebruikt).

Openbaar vertrouwde certificaatdienstverleners, zoals DigiCert, QuoVadis, GlobalSign en Sectigo, zullen vrijwel altijd al als vertrouwd aanwezig zijn op je apparaat.

Bij het uitgeven van S/MIME-certificaten vanuit een privaat bedrijfs-CA zal je beheerder hebben gezorgd dat de trust-chain vertrouwd is, echter zullen partijen buiten je bedrijf deze privaat uitgegeven S/MIME-certificaten terecht niet vertrouwen.

Er is 1 opvallende uitzondering: Zowel de openbare als privé CA trust-chains moeten aanwezig zijn aan de kant van de mailserver, bij gebruik van Outlook voor mobiel, of bij gebruik van Outlook op het web (OWA) of Exchange Online (O365). Terwijl een on-prem Exchange-server deze vertrouwensrelatie zal hebben, zal Office 365 dit niet hebben!

Outlook voor mobiel zal het vertrouwen verkrijgen van de gebruikte Exchange-server, en als zodanig moet je beheerder ervoor zorgen dat de trust-chain aanwezig is, vooral op Office 365.

Om ervoor te zorgen dat Office 365 de juiste CA vertrouwensrelaties bevat, volg deze handleiding.