De komende S/MIME Baseline-vereisten – Wat u moet weten over de update
Home / Media / News / De komende S/MIME Baseline-vereisten - Wat u moet weten over de update

De komende S/MIME Baseline-vereisten – Wat u moet weten over de update
11 jul ‘25

Op 16 juli 2025 treedt een belangrijke update van de S/MIME-basisvereisten in werking . Deze update, die is opgelegd door het CA/Browser Forum, heeft gevolgen voor alle organisaties die gebruikmaken van openbare certificeringsinstanties (CA’s) om S/MIME-certificaten voor beveiligde e-mail uit te geven.

De wijzigingen zijn van invloed op alle Unified Endpoint Management (UEM)- en Mobile Device Management (MDM)-platformen die de uitgifte van certificaten via openbare CA’s automatiseren.

 

** Extra informatie voor KeyTalk-klanten **

KeyTalk CKMS is gebouwd met volledige ondersteuning voor S/MIME-automatisering en voldoet aan alle S/MIME-basisvereisten. Voor nieuwe klanten is de uitgifte van deze bijgewerkte S/MIME-certificaten eenvoudig en volledig geautomatiseerd.

Als u een on-premises versie van KeyTalk CKMS gebruikt, moeten mogelijk enkele certificaatinstellingen worden aangepast om te voldoen aan de nieuwe normen. Ons supportteam staat 24/7 voor u klaar om u te helpen met al uw vragen over configuratie of implementatie.

 

 

Samenvatting van de update

  • Datum van inwerkingtreding: 16 juli 2025
  • Toepassingsgebied: alle openbare certificeringsinstanties die S/MIME-certificaten uitgeven
  • Belangrijkste vereiste: Alle door de sponsor gevalideerde S/MIME-certificaten moeten de kenmerken ‘Voornaam’ en ‘Achternaam’ bevatten in de onderwerpnaam van het certificaat. Certificaten die deze kenmerken missen, worden door openbare certificeringsinstanties afgewezen .

Dankzij deze wijziging wordt voor elk S/MIME-certificaat de identiteit van de ontvanger duidelijk vastgesteld. Hierdoor wordt beveiligde e-mailcommunicatie betrouwbaarder en consistenter tussen verschillende organisaties.

 

Gedetailleerde uitleg

Wat verandert er?

De S/MIME-basisvereisten van het CA/Browser Forum specificeren nu dat door de sponsor gevalideerde S/MIME-certificaten personen duidelijk moeten identificeren door hun voor- en achternaam (voornaam en achternaam) in de onderwerpnaam van het certificaat op te nemen. Dit zorgt voor een grotere identiteitsgarantie en uniformiteit voor alle openbare S/MIME-certificaten.

Door sponsors gevalideerde certificaten geven aan dat het validatieproces voor het certificaat gebaseerd is op de sponsoring van een organisatie of een vertrouwde entiteit, in plaats van op het verifiëren van de identiteit van de persoon die het certificaat aanvraagt. Dit kan met name nuttig zijn in scenario’s waarin een organisatie S/MIME-certificaten wil uitgeven aan haar medewerkers of leden zonder het volledige verificatieproces te doorlopen dat mogelijk vereist is voor persoonlijk of individueel uitgegeven certificaten.

 

Op wie heeft deze update betrekking?

  • Elke organisatie die openbare CA’s gebruikt voor S/MIME-certificaten.
    • Dit geldt voor gebruikers van platforms als Microsoft Intune, ManageEngine Endpoint Central, Workspace ONE, Ivanti, Jamf, Cisco Meraki, Scalefusion, BlackBerry UEM en andere.
  • IT-beheerders en teams die certificaatprofielen of sjablonen beheren voor geautomatiseerde S/MIME-certificaatuitgifte.
  • Geen last van: organisaties die uitsluitend privé-/interne CA’s gebruiken voor S/MIME, of die geen S/MIME-certificaten gebruiken voor e-mail.

 

** Extra informatie voor KeyTalk-klanten **

KeyTalk CKMS is gebouwd met volledige ondersteuning voor S/MIME-automatisering en voldoet aan alle S/MIME-basisvereisten. Voor nieuwe klanten is de uitgifte van deze bijgewerkte S/MIME-certificaten eenvoudig en volledig geautomatiseerd.

Als u een on-premises versie van KeyTalk CKMS gebruikt, moeten mogelijk enkele certificaatinstellingen worden aangepast om te voldoen aan de nieuwe normen. Ons supportteam staat 24/7 voor u klaar om u te helpen met al uw vragen over configuratie of implementatie.

 

 

Wat moet er veranderen?

Als uw organisatie openbare CA’s gebruikt voor S/MIME-certificaten, moet u de volgende stappen ondernemen:

  1. Certificaatprofielen of -sjablonen bekijken
    • Controleer alle SCEP- of vergelijkbare certificaatprofielen/sjablonen die voor S/MIME worden gebruikt.
  2. Werk de indeling van de onderwerpnaam bij
    • Zorg ervoor dat het veld Onderwerpnaam het volgende bevat:
      • G={{GegevenNaam}}
      • SN={{Achternaam}}
    • Zonder deze documenten worden certificaataanvragen na 16 juli 2025 door openbare CA’s afgewezen.
  3. Testen voordat u wijzigingen doorvoert
    • Maak of werk een profiel bij met de nieuwe kenmerken.
    • Wijs het eerst toe aan een kleine groep om te controleren of het certificaat is uitgegeven en of de e-mailfunctionaliteit is ingeschakeld.
  4. Plan voor heruitgifte van certificaten
    • Het bewerken van bestaande profielen zorgt ervoor dat alle gebruikers hun profiel opnieuw moeten uitgeven. Dit kan extra kosten met zich meebrengen, afhankelijk van uw overeenkomst met uw CA.
  5. Coördineer met uw CA-provider
    • Controleer of uw CA klaar is voor de nieuwe vereisten en vraag naar eventuele proces- of kostenwijzigingen.
  6. Houd toezicht op verdere updates
    • Blijf via uw platformprovider en CA op de hoogte van nieuwe richtlijnen of ondersteuningsbronnen.

 

Referentietabel

Actie Wie moet het doen? Termijn Notities
Voeg voornaam en achternaam toe aan onderwerp Allemaal gebruikmakend van openbare CA S/MIME 16 juli 2025 Gebruik G={{GivenName}} en SN={{SurName}}
Test bijgewerkte profielen vóór volledige uitrol Alle getroffen organisaties Vóór 16 juli Wijs eerst toe aan een kleine groep
Plan voor heruitgifte van certificaten Iedereen die bestaande profielen bewerkt Bij profielbewerking Kan extra kosten met zich meebrengen; overleg met CA-provider
Geen actie nodig voor privé-CA/geen S/MIME Geen gebruik van openbare S/MIME CA N.v.t. Geen wijzigingen nodig

 

Waarom is de update van de S/MIME Baseline Requirements nodig?

De update van de S/MIME-basisvereisten is nodig om een aantal lang bestaande problemen aan te pakken in de manier waarop S/MIME-certificaten worden uitgegeven en beheerd:

  • Gebrek aan consistentie: Voorheen bestonden er geen universele standaarden voor de manier waarop publieke certificeringsinstanties (CA’s) S/MIME-certificaten uitgeven. Elke CA kon zijn eigen proces hanteren, wat leidde tot inconsistenties en mogelijke beveiligingslekken.
  • Verschillende niveaus van identiteitsgarantie: zonder duidelijke regels kan de informatie in certificaten (zoals namen of e-mailadressen) verschillen, waardoor het moeilijker wordt om de identiteit achter een beveiligde e-mail te vertrouwen.
  • Beveiligingsrisico’s: Inconsistente praktijken vergroten het risico dat certificaten worden misbruikt of aan de verkeerde persoon worden uitgegeven, wat de beveiliging van e-mailcommunicatie in gevaar kan brengen.

De nieuwe basisvereisten, vastgesteld door het CA/Browser Forum, creëren een uniform raamwerk zodat alle openbare S/MIME-certificaten voldoen aan dezelfde hoge normen voor identiteitsverificatie, beveiliging en compatibiliteit.

 

Wat zijn de voordelen voor gebruikers?

De update biedt eindgebruikers en organisaties verschillende belangrijke voordelen:

  1. Sterkere identiteitsverificatie
  • Duidelijke identificatie: Door te vereisen dat elk door de sponsor gevalideerd S/MIME-certificaat de kenmerken “Voornaam” en “Achternaam” bevat, identificeert het certificaat nu duidelijk de individuele ontvanger. Dit vermindert het risico op identiteitsfraude en zorgt ervoor dat beveiligde e-mails naar de juiste persoon worden verzonden.
  • Meer vertrouwen: ontvangers kunnen er beter op vertrouwen dat een digitaal ondertekende of versleutelde e-mail daadwerkelijk afkomstig is van de persoon die in het certificaat wordt genoemd.
  1. Verbeterde beveiliging
  • Minder fraude: Door de informatie in certificaten te standaardiseren, wordt het voor aanvallers moeilijker om frauduleuze certificaten te verkrijgen of deze te misbruiken voor phishing of andere aanvallen.
  • Betere bescherming van gevoelige gegevens: Dankzij strengere regels zijn de certificaten die worden gebruikt om e-mails te versleutelen en te ondertekenen betrouwbaarder. Hierdoor blijven gevoelige gegevens privé en beveiligd tegen sabotage.
  1. Verbeterde compatibiliteit en interoperabiliteit
  • Uniforme standaarden: Alle openbare CA’s volgen nu dezelfde regels, waardoor S/MIME-certificaten betrouwbaarder werken in verschillende e-mailclients en -services.
  • Eenvoudiger probleemoplossing: IT-teams weten beter wat ze van certificaten kunnen verwachten, waardoor ze problemen eenvoudiger kunnen beheren en oplossen.
  1. Verhoogde gebruikersprivacy
  • Gecontroleerde informatie: De update beperkt welke informatie in het certificaat kan worden opgenomen. Zo worden gebruikers beschermd tegen onnodige blootstelling van gegevens, terwijl toch een sterke identiteitsvalidatie wordt gegarandeerd.

 

Overzichtstabel voordelen van de update

Voordeel Beschrijving
Sterkere identiteitsverificatie Certificaten moeten volledige namen bevatten, om het risico op imitatie te verkleinen
Verbeterde beveiliging Gestandaardiseerde praktijken verminderen fraude en misbruik
Verbeterde compatibiliteit Uniforme standaarden zorgen ervoor dat certificaten op alle platforms en clients werken
Verhoogde gebruikersprivacy Alleen de noodzakelijke identiteitsgegevens worden opgenomen, waardoor gebruikersgegevens worden beschermd

 

 

Belangrijkste punten

  • De update is universeel: alle openbare CA S/MIME-certificaatuitgiften moeten hieraan voldoen, ongeacht het platform.
  • Er is een handmatige actie vereist: er is geen enkel platform dat uw profielen automatisch bijwerkt.
  • Testen is belangrijk: verifieer wijzigingen altijd met een kleine groep voordat u ze voor iedereen implementeert.
  • Dit heeft geen gevolgen voor particuliere CA-gebruikers of gebruikers die geen S/MIME voor e-mail gebruiken.

 

Laatste tips

  • Begin nu met het controleren en bijwerken van uw certificaatprofielen om last-minute problemen te voorkomen.
  • Neem contact op met uw CA en platformprovider voor de meest recente ondersteuning en begeleiding.
  • Zorg ervoor dat uw gebruikers voorbereid zijn op eventuele wijzigingen in de workflows voor certificaatuitgifte of e-mailbeveiliging.

Door vroegtijdig actie te ondernemen, kunnen organisaties naleving garanderen, veilig e-mailverkeer handhaven en serviceonderbrekingen voorkomen wanneer de nieuwe vereisten van kracht worden.

 

Conclusie

De aanstaande update van de S/MIME Baseline Requirements is een belangrijke compliancewijziging voor organisaties die S/MIME-certificaten uitgeven via openbare certificeringsinstanties. Door uw certificaatprofielen bij te werken met de vereiste kenmerken en wijzigingen te testen vóór de inwerkingtredingsdatum, kunt u blijvende veilige e-mailfunctionaliteit garanderen en serviceonderbrekingen voorkomen.

Deze update is ontworpen om veilige e-mailcommunicatie betrouwbaarder, betrouwbaarder en gebruiksvriendelijker te maken voor iedereen. Door duidelijke, uniforme standaarden vast te stellen, wordt gegarandeerd dat S/MIME-certificaten het hoogste niveau van beveiliging en vertrouwen bieden voor alle gebruikers.

 

KeyTalk CKMS-ondersteuning voor S/MIME-automatisering:

KeyTalk CKMS is gebouwd met volledige ondersteuning voor S/MIME-automatisering en voldoet aan alle S/MIME-basisvereisten. Voor nieuwe klanten is de uitgifte van deze bijgewerkte S/MIME-certificaten eenvoudig en volledig geautomatiseerd.

Als u een on-premises versie van KeyTalk CKMS gebruikt, moeten mogelijk enkele certificaatinstellingen worden aangepast om te voldoen aan de nieuwe normen. Ons supportteam staat 24/7 voor u klaar om u te helpen met al uw vragen over configuratie of implementatie.

 

Het KeyTalk-team