Multi-device toegankelijkheid van S/MIME (Key Rollover)

Multi-device toegankelijkheid van S/MIME (Key Rollover)
09 dec ‘24

Multi-device toegankelijkheid van S/MIME (Key rollover):
beperkingen van CA’s en de ideale oplossing van KeyTalk

 

In een tijdperk waarin medewerkers dagelijks schakelen tussen meerdere apparaten – van laptops tot smartphones – wordt de beveiliging van e-mail steeds complexer. S/MIME speelt hierin een cruciale rol door e-mails te versleutelen en de afzender te verifiëren (digital signing). Hoewel S/MIME een robuuste beveiligingsoplossing biedt, introduceert het specifieke uitdagingen als het gaat om multi-device toegankelijkheid (of key rollover om precies te zijn). Een belangrijke beperking is dat Certificate Authorities (CA’s) door de gevoelige aard van hun activiteiten eigenlijk geen privésleutels kunnen beheren, wat de implementatie en het gebruik van S/MIME op meerdere apparaten ingewikkeld maakt. In deze blog bespreken we waarom dit een probleem is, hoe het vaak onhandig wordt opgelost en waarom KeyTalk de ideale oplossing biedt.

 

Wat is multi-device toegankelijkheid in de context van S/MIME?

Multi-device toegankelijkheid (key rollover) betekent dat gebruikers hun beveiligde e-mails kunnen lezen en verzenden vanaf al hun apparaten, ongeacht of dit een desktop, laptop, smartphone of tablet is. Om dit mogelijk te maken, moeten de S/MIME-certificaten en exact dezelfde privésleutels beschikbaar zijn op elk apparaat.

In theorie klinkt dit eenvoudig, maar in de praktijk is het een complex proces. De privésleutel, die nodig is om versleutelde e-mails te ontsleutelen, moet veilig worden opgeslagen en toegankelijk zijn op elk apparaat. Hier stuiten we op een fundamenteel probleem in het traditionele PKI-ecosysteem.

 

De beperkingen van Certificate Authorities (CA’s)

CA’s spelen een centrale rol in het uitgeven van S/MIME-certificaten. Zij verifiëren de identiteit van de gebruiker en leveren een certificaat met de publieke sleutel. Wat CA’s echter niet mogen doen, is de privésleutel beheren. Dit is een bewuste beperking en een fundamenteel principe van Public Key Infrastructure (PKI). Het beheer van privésleutels door een CA zou het vertrouwen in de cryptografische infrastructuur ondermijnen. Gebruikers vertrouwen erop dat hun privésleutels uitsluitend toegankelijk zijn voor door hen geautoriseerde personen.

Ondanks deze beperkingen claimen sommige CA’s, zoals DigiCert, Sectigo of GlobalSign toch dat ze S/MIME-certificaatbeheer en -automatisering kunnen aanbieden. In werkelijkheid betekent dit vaak dat ze alleen het proces van certificaatuitgifte en verlenging automatiseren, maar dat gebruikers nog steeds zelf verantwoordelijk blijven voor het distribueren van privésleutels naar hun apparaten. Dit lost het probleem van multi-device toegankelijkheid door key synchronisatie niet op en blijft een bewerkelijke taak voor IT-afdelingen.

 

Hoe wordt multi-device toegankelijkheid vaak geregeld?

In de praktijk proberen organisaties en gebruikers op een tweetal manieren S/MIME-certificaten beschikbaar te maken op meerdere apparaten. Deze methoden zijn echter vaak omslachtig en brengen risico’s met zich mee.

1. Handmatige export en import

De meest voorkomende aanpak is dat gebruikers hun privésleutel en certificaat exporteren van het ene apparaat en deze vervolgens handmatig importeren op andere apparaten. Dit proces is echter behoorlijk technisch en foutgevoelig. Privésleutels worden bovendien vaak in slecht beveiligde vorm overgedragen, wat het risico op compromittering vergroot.

2. Gebruik van hardware tokens

Sommige organisaties maken gebruik van hardware tokens, zoals smartcards of USB-tokens, om privésleutels op te slaan. Deze tokens kunnen worden aangesloten op verschillende apparaten. Het nadeel van deze methode is dat de gebruiker het token altijd bij zich moet hebben, wat onpraktisch is in een mobiele werkomgeving. Bovendien kan verlies of beschadiging van het token er toe leiden dat de toegang tot versleutelde e-mails volledig blokkeren.

 

Waarom KeyTalk de ideale oplossing biedt, zelfs met certificaten van een publieke CA

KeyTalk maakt gebruik van een innovatieve aanpak waarmee het de beperkingen van traditionele methoden omzeilt, ook wanneer het werkt met S/MIME-certificaten die zijn uitgegeven door publieke CA’s. Dit is cruciaal, omdat publieke CA’s de standaard zijn voor e-mailcertificaten die worden vertrouwd door grote e-mailclients zoals Microsoft Outlook, Apple Mail en Gmail.

 

1. Dynamische certificaatbeheer met publieke CA’s

KeyTalk integreert naadloos met publieke CA’s en kan certificaten automatisch aanvragen en beheren namens de gebruiker. Dit betekent dat gebruikers toegang krijgen tot certificaten die worden vertrouwd door alle belangrijke e-mailclients, terwijl KeyTalk de complexiteit van het beheer elimineert.

2. Certificaatoverdracht zonder compromissen

KeyTalk voorkomt de noodzaak om privésleutels handmatig te exporteren of te delen. In plaats daarvan zorgt het platform ervoor dat het certificaat centraal wordt opgehaald en de privésleutels centraal gegenereerd. Deze worden vervolgens op een veilige manier gedistribueerd naar het device of de Mobile Device Management software (MDM).

3. Automatische configuratie van e-mailclients

Via integraties met Mobile Device Management (MDM)-oplossingen zoals Microsoft Intune en MobileIron kan KeyTalk e-mailclients op apparaten automatisch configureren voor S/MIME. Dit betekent dat zowel het certificaat als de instellingen voor S/MIME-gebruik (zoals encryptie en digitale handtekeningen) automatisch worden toegepast. De voordelen van deze automatisering:

· Gebruikers hoeven geen complexe configuratiestappen te doorlopen.

· IT-teams besparen tijd en minimaliseren de kans op configuratiefouten.

· Multi-device toegankelijkheid van versleutelde emails wordt naadloos en eenvoudig voor zowel eindgebruikers als beheerders.

4. Beveiligde multi-device toegankelijkheid

KeyTalk stelt gebruikers in staat om S/MIME-certificaten eenvoudig op meerdere apparaten te gebruiken. Elk apparaat dat de gebruiker onder beheer heeft wordt geregistreerd en geauthenticeerd via KeyTalk. Vervolgens ontvangt iedere apparaat automatisch het certificaat met exact dezelfde privésleutel. De voordelen:

· Gebruikers kunnen naadloos schakelen tussen apparaten zonder handmatige configuratie.

· IT-beheerders behouden controle over welke apparaten toegang hebben tot welke certificaten.

5. Centrale integratie met publieke CA’s

Het platform biedt organisaties een centrale beheeromgeving voor het aanvragen, vernieuwen en intrekken van certificaten die door publieke CA’s zijn uitgegeven.

Hierdoor wordt het certificaatbeheer geautomatiseerd zonder afbreuk te doen aan compliance of gebruikersgemak. De voordelen:

· Certificaatvernieuwing gebeurt automatisch en zonder onderbreking van de service.

· Organisaties voldoen aan compliance-eisen terwijl ze profiteren van een vereenvoudigde workflow.

 

Conclusie

Multi-device toegankelijkheid (key rollover)) van S/MIME-certificaten is essentieel in een wereld waarin medewerkers meerdere apparaten gebruiken voor email. De beperkingen van Certificate Authorities maken het echter moeilijk om privésleutels veilig en gebruiksvriendelijk te beheren op meerdere apparaten. Hoewel CA’s claimen dat ze S/MIME-certificaatbeheer kunnen automatiseren, lossen ze het fundamentele probleem van privésleutelbeheer niet op. Dit maakt hun oplossingen vaak onvolledig en omslachtig in de praktijk.

KeyTalk biedt een innovatieve en veilige oplossing door S/MIME-certificaten van publieke CA’s dynamisch te beheren en te distribueren. Het certificaat en exact dezelfde privésleutel wordt centraal door het platform gegenereerd en vervolgens veilig naar de verschillende apparaten van een gebruiker gedistribueerd. Door integratie met MDM-oplossingen zoals Intune en MobileIron configureert KeyTalk e-mailclients automatisch voor S/MIME, wat multi-device toegankelijkheid naadloos maakt. Hierdoor kunnen organisaties de beveiliging van hun e-mailcommunicatie verbeteren zonder in te leveren op gebruiksgemak. Met KeyTalk wordt de complexe wereld van S/MIME-certificaten beheersbaar, zelfs in de meest diverse en mobiele IT-omgevingen.

 

Benieuwd wat multi-device toegankelijkheid van S/MIME en het KeyTalk CKMS voor jouw organisatie kunnen betekenen? Neem contact met ons op door het onderstaande contactformulier in te vullen en ontdek hoe wij je kunnen helpen bij het optimaliseren van je certificaatbeheer.

Het KeyTalk team