Die (sich entwickelnden) Anforderungen an S/MIME und der Versuch, einen Standard zu schaffen
Wie Sie vielleicht wissen, müssen öffentlich vertrauenswürdige Zertifizierungsstellen (CAs) strenge Anforderungen erfüllen, um sich als öffentlich vertrauenswürdig zu qualifizieren (und zu bleiben). Neben den CAs selbst gibt es viele Interessengruppen, die alle sicherstellen wollen, dass die Praktiken für die Ausstellung von Zertifikaten sicher sind und PKI weiterhin eine grundlegende Rolle für Sicherheit im World Wide Web spielen kann. Eines der wichtigsten Gremien, das die Anforderungen, die CAs erfüllen müssen, regelt, ist das CA/Browser-Forum (CA/B-Forum) und seine einzelnen Arbeitsgruppen. Die Arbeitsgruppen des CA/B-Forums veröffentlichen bereits seit einiger Zeit die offiziellen Anforderungen für öffentlich vertrauenswürdige SSL/TLS- und Code-Signing-Zertifikate. CAs müssen diese Anforderungen unbedingt einhalten – andernfalls kann das öffentliche Vertrauen leicht verloren gehen.
Und dann gibt es noch S/MIME-Zertifikate. Diese haben in den letzten Jahren immer mehr an kommerzieller Relevanz gewonnen und viele große Unternehmen haben begonnen, öffentlich vertrauenswürdige S/MIME-Zertifikate zum Signieren und Verschlüsseln ihrer E-Mails zu nutzen. Aufgrund fehlender Industriestandards und Richtlinien haben CAs und E-Mail-Client-Anwendungen begonnen, ihre eigenen Regeln für Zertifikatprofile und -inhalte festzulegen, die sich teilweise gegenseitig widersprechen. Um dieses Problem zu lösen, wurde die S/MIME-Arbeitsgruppe unter dem CA/B-Forum gegründet. Die Arbeitsgruppe bemüht sich um die Standardisierung von Zertifikatprofilen, die einheitlicher akzeptiert werden und zu einer breiteren Interoperabilität führen.
Die Zeiten ändern sich
Ein wichtiger Standard, der diskutiert wird, ist die Gültigkeitsdauer von S/MIME-Zertifikaten - in der Tat verlangen einige E-Mail-Clients bereits eine kürzere Gültigkeitsdauer (siehe Abbildung von Google unten). In den letzten Jahren wurde die maximal zulässige Zertifikatgültigkeit für SSL/TLS von 5 Jahre über 3 Jahre auf zuletzt nur noch 13 Monate verkürzt - eine Änderung, die allgemein als sehr vorteilhaft im Hinblick auf die Gesamtsicherheit anerkannt wird.
Bildquelle: https://support.google.com/a/answer/7300887#zippy=%2Cend-entity-certificate
An dieser Stelle ist es wichtig, etwas klarzustellen: Kürzere Gültigkeitsdauern für Zertifikate sind eine Praxis, der wir bei GlobalSign voll und ganz zustimmen. Es gibt ein landläufigeres Argument, das für kürzere Gültigkeitsdauern angeführt werden kann. Kürzere Gültigkeitsdauern von Zertifikaten steigern die „Krypto-Agilität“. Vereinfacht ausgedrückt bedeutet häufigerer Austausch von Schlüsselmaterial eine häufigere Reduzierung von kryptographischen Schwächen und weniger Auswirkungen durch Schlüsselkompromittierung.
Im Gegensatz zu SSL/TLS bietet die automatisierte Registrierung für S/MIME-Zertifikate jedoch nicht die gleiche Unterstützung wie ACME für SSL/TLS, um nur ein Beispiel zu nennen. Außerdem bedeutet eine vollständige Einführung von S/MIME-Zertifikaten in einem Unternehmen normalerweise die Installation und Konfiguration auf viel mehr Geräten als bei SSL/TLS-Zertifikaten. Administratoren profitieren daher von längeren Gültigkeitsdauern, da sie den Aufwand für die manuelle Unterstützung der Zertifikaterneuerung reduzieren können – ein Argument für eine „längere“ Gültigkeitsdauer.
Wie würden sich diese entwickelnden Standards auf Kunden auswirken? Und wie geht es weiter?
GlobalSign ist in der bereits erwähnten Arbeitsgruppe des CA/B-Forums für S/MIME vertreten und versucht aktiv, einen Standard für S/MIME-Zertifikate zu gestalten, auf den sich alle einigen können. Gleichzeitig entwickelt GlobalSign kontinuierlich Innovationen, wenn es darum geht, das Zertifikatslebenszyklus-Management im Unternehmen zu unterstützen. GlobalSigns Auto Enrollment Gateway eliminiert einen Großteil des „manuellen“ Aufwands bei der Erneuerung von S/MIME-Zertifikaten und unterstützt damit perfekt unsere Vision von kürzeren Gültigkeitsdauern für S/MIME und andere Zertifikatstypen.
Für den Moment: Ziehen Sie den Kauf von S/MIME-Zertifikaten mit einer maximalen Gültigkeit von 27 Monaten in Betracht, wenn Ihnen das Vertrauen ALLER E-Mail-Clients am wichtigsten ist. Wenn Sie noch nicht bereit sind, Ihr Zertifikatslebenszyklus-Management zu automatisieren und den manuellen Aufwand bei der Erneuerung so weit wie möglich reduzieren möchten, brauchen Sie sich keine Sorgen zu machen. Für die absehbare Zukunft werden wir weiterhin S/MIME-Zertifikate mit einer Gültigkeit von 3 Jahren anbieten. Unabhängig davon, welche Änderungen sich in den nächsten Jahren ergeben (und sie werden sich ergeben), seien Sie versichert, dass wir bei GlobalSign Ihnen gerne dabei helfen werden, Ihr Unternehmen mit krypto-agilen Lösungen, denen Sie vertrauen können, zukunftssicher zu machen.
