Hallo.
Heute kam eine Info von SwissSign, in der auf Änderungen in S/MIME-Zertifikaten hingewiesen wird. Es wird auch erwähnt, "dass etwas zu tun ist".
Ich füge hier auch mal den Text aus der Mail ein. Wir nutzen "silver"-Zertifkate, die automatisch vom NSP bei SwissSign angefordert werden. Laufzeit eh nur 1 Jahr.
Wird hier eine Anpassung (evtl. ein Update) für den NSP erforderlich sein? Gibt es ansonsten noch etwas zu beachten? (Es hört sich jetzt nicht so schlimm an, was in der Mail genannt ist - soll aber halt weiterhin funktionieren.)
Die internationalen Regelungen für die Ausstellung von E-Mail-Zertifikaten (S/MIME) werden auf Juli 2025 hin verschärft. Dementsprechend aktualisieren wir bestimmte Eigenschaften unserer E-Mail-Zertifikate per Juni 2025. Falls Sie diese Zertifikate automatisiert über einen Lösungsanbieter ausstellen, bedeutet dies Handlungsbedarf für Sie.
Was ändert sich in den Zertifikaten?
Im WebGUI für die manuelle Ausstellung werden die Änderungen mit der Umstellung direkt ersichtlich sein.
Was ist für Sie zu tun?
Bitte berücksichtigen Sie die oben genannten Änderungen, ggf. zusammen mit Ihrem Lösungsanbieter, und beziehen Sie dies bei Ihrer Planung mit ein. Falls die Zertifikate automatisiert bezogen werden, müssen die o.g. Parameter richtig gesetzt, also ggf. angepasst werden.
Unsere Empfehlung
Diese Änderungen dienen der erhöhten Sicherheit und Interoperabilität von S/MIME-Zertifikaten. Für den Fall eines automatisierten Zertifikatsbezugs setzen Sie die neuen Attribute so rasch wie möglich und profitieren Sie schon heute vom neuen Standard – und vermeiden Sie spätere Probleme bei der automatisierten Ausstellung.
Heute kam eine Info von SwissSign, in der auf Änderungen in S/MIME-Zertifikaten hingewiesen wird. Es wird auch erwähnt, "dass etwas zu tun ist".
Ich füge hier auch mal den Text aus der Mail ein. Wir nutzen "silver"-Zertifkate, die automatisch vom NSP bei SwissSign angefordert werden. Laufzeit eh nur 1 Jahr.
Wird hier eine Anpassung (evtl. ein Update) für den NSP erforderlich sein? Gibt es ansonsten noch etwas zu beachten? (Es hört sich jetzt nicht so schlimm an, was in der Mail genannt ist - soll aber halt weiterhin funktionieren.)
Die internationalen Regelungen für die Ausstellung von E-Mail-Zertifikaten (S/MIME) werden auf Juli 2025 hin verschärft. Dementsprechend aktualisieren wir bestimmte Eigenschaften unserer E-Mail-Zertifikate per Juni 2025. Falls Sie diese Zertifikate automatisiert über einen Lösungsanbieter ausstellen, bedeutet dies Handlungsbedarf für Sie.
Was ändert sich in den Zertifikaten?
▪ | Verkürzung der maximalen Laufzeit von S/MIME-Zertifikaten (Silver und Gold) von 3 Jahren auf 2 Jahre. | |
▪ | Eintragung von Vornamen und Nachnamen (technisch 'givenName' und 'surname') oder Pseudonym in E-Mail-Gold-Zertifikaten als eigene, separate Attribute im Zertifikatsnamen neu obligatorisch - damit diese Attribute automatisiert von den Lösungsanbietern ausgefüllt werden, sind wir im engen Austausch mit diesen. Sollten Sie eine selbst entwickelte Lösung zur Automatisierung nutzen, kommen Sie bitte auf uns zu. | |
▪ | Abschaffung des Attributs UserID (UID) im Subject Distinguished Name (SDN). Dieses war bisher in E-Mail-Gold-Zertifikaten mit Authentisierungs-Funktion optional erlaubt (Produkte "SwissSign Pro S/MIME E-Mail ID Gold with Auth" und "SwissSign Pro S/MIME E-Mail ID Gold RSASSA-PSS"). |
Im WebGUI für die manuelle Ausstellung werden die Änderungen mit der Umstellung direkt ersichtlich sein.
Was ist für Sie zu tun?
Bitte berücksichtigen Sie die oben genannten Änderungen, ggf. zusammen mit Ihrem Lösungsanbieter, und beziehen Sie dies bei Ihrer Planung mit ein. Falls die Zertifikate automatisiert bezogen werden, müssen die o.g. Parameter richtig gesetzt, also ggf. angepasst werden.
▪ | Laufzeit: Der Wert "3y" darf nicht mehr gesetzt werden (Parameter 'Validity'). | |
▪ | Für E-Mail-Gold-Zertifikate: Beide Parameter für 'givenName' (gn) und 'surname' (sn) müssen gesetzt werden. Alternativ kann der Parameter für 'Pseudonym' ('pseudonym') gesetzt werden. Der Parameter für 'Common Name' muss die Werte von 'givenName' und 'surname', getrennt durch ein Leerzeichen enthalten. Oder alternativ 'pseudo: ' gefolgt vom Wert des Pseudonyms. | |
▪ | Der Parameter für userID ('uid', nicht zu verwechseln mit 'UUID') darf nicht mehr gesetzt werden. |
Unsere Empfehlung
Diese Änderungen dienen der erhöhten Sicherheit und Interoperabilität von S/MIME-Zertifikaten. Für den Fall eines automatisierten Zertifikatsbezugs setzen Sie die neuen Attribute so rasch wie möglich und profitieren Sie schon heute vom neuen Standard – und vermeiden Sie spätere Probleme bei der automatisierten Ausstellung.
