De (evoluerende) vereisten voor S/MIME en de poging om een standaard te creëren
Zoals u wellicht weet, moeten publiek vertrouwde certificeringsinstanties (CA’s) aan strenge eisen voldoen om als publiek vertrouwd te worden (en te blijven) beschouwd. Naast de CA’s zelf zijn er nog vele andere belanghebbenden; iedereen wil ervoor zorgen dat de procedures voor de uitgifte van certificaten veilig zijn en dat PKI een fundamentele rol kan blijven spelen in de veiligheid op het World Wide Web. Een van de belangrijkste organen die de eisen bepalen waaraan CA’s moeten voldoen, is het CA/Browser Forum (CA/B Forum) en zijn specifieke werkgroepen. De werkgroepen van het CA/B Forum hebben de officiële eisen voor publiek vertrouwde SSL/TLS- en Code Signing-certificaten al een tijd geleden gepubliceerd. Het is van het grootste belang dat CA’s aan deze eisen voldoen, want anders kan het publieke vertrouwen gemakkelijk verloren gaan.
En dan zijn er nog S/MIME-certificaten. Deze zijn de afgelopen jaren steeds meer commercieel relevant geworden en veel grote bedrijven zijn publiek vertrouwde S/MIME-certificaten beginnen te gebruiken voor het ondertekenen en versleutelen van hun e-mail. Bij gebrek aan industriële normen en richtlijnen zijn CA’s en e-mailclienttoepassingen hun eigen regels beginnen te bepalen voor certificaatprofielen en -inhoud, waarvan sommige met elkaar in strijd zijn. Om dit probleem op te lossen, werd de S/MIME-werkgroep onder het CA/B Forum opgericht. De werkgroep streeft naar de standaardisering van certificaatprofielen, die op meer uniforme wijze zouden worden aanvaard, wat tot een grotere interoperabiliteit zou leiden.
Tijden veranderen
Een belangrijke standaard waarover wordt gepraat, is de geldigheidsduur van S/MIME-certificaten – in feite eisen sommige e-mailclients nu al een kortere geldigheidsduur (zie afbeelding van Google hieronder). De afgelopen jaren is de maximaal toegestane geldigheidsduur van SSL/TLS-certificaten teruggebracht van 5 jaar tot 3 jaar en recentelijk tot slechts 13 maanden – een wijziging die over het algemeen wordt erkend als zeer gunstig op het gebied van de algemene veiligheid.
Bron van afbeelding: https://support.google.com/a/answer/7300887#zippy=%2Cend-entity-certificate
Op dit punt is het belangrijk om het volgende te verduidelijken: Kortere geldigheidsperiodes voor certificaten is een praktijk waar we het bij GlobalSign volledig mee eens zijn. Er kan een algemeen argument worden aangevoerd ten gunste van kortere geldigheidsperiodes. Kortere geldigheidsperiodes van certificaten verhogen de ‘crypto-flexibiliteit’. Simpel gezegd betekent een frequentere uitwisseling van sleutelmateriaal dat cryptografische zwakheden vaker worden beperkt en dat de impact van gecompromitteerde sleutels vermindert.
In tegenstelling tot SSL/TLS worden geautomatiseerde inschrijvingen voor S/MIME-certificaten echter niet in dezelfde mate ondersteund als ACME voor SSL/TLS, om maar een voorbeeld te geven. Bovendien betekent een volledige uitrol van S/MIME-certificaten in een onderneming doorgaans installatie en configuratie op veel meer apparaten dan SSL/TLS-certificaten. Beheerders hebben dus baat bij langere geldigheidsperiodes omdat ze minder tijd hoeven te besteden aan het handmatig vernieuwen van certificaten – dat is één argument voor een ‘langere’ geldigheidsperiode.
Hoe zouden deze evoluerende normen klanten beïnvloeden? En hoe moet het nu verder?
GlobalSign is vertegenwoordigd in de bovengenoemde werkgroep van het CA/B Forum voor S/MIME en probeert actief vorm te geven aan een standaard voor S/MIME-certificaten waarmee iedereen kan instemmen. Tegelijkertijd innoveert GlobalSign voortdurend als het gaat om de ondersteuning van het beheer van de levenscyclus van certificaten in de onderneming. De Auto Enrollment Gateway van GlobalSign neemt een groot deel van de ‘handmatige’ inspanningen weg bij het vernieuwen van S/MIME-certificaten en ondersteunt daarom perfect onze visie voor kortere geldigheidsperiodes voor S/MIME en andere soorten certificaten.
Voorlopig geldt: overweeg het aanschaffen van S/MIME-certificaten met een maximale geldigheidsduur van 27 maanden als vertrouwen door ALLE e-mailclients voor u het belangrijkst is. Als u nog niet klaar bent voor het automatiseren van het beheer van de levenscyclus van uw certificaten en u de handmatige overheadkosten bij het vernieuwen zoveel mogelijk wilt beperken, hoeft u zich geen zorgen te maken. In de nabije toekomst zullen we S/MIME-certificaten blijven aanbieden met een geldigheidsduur van 3 jaar. Ongeacht de veranderingen in de komende jaren (en die zullen er komen), kunt u er zeker van zijn dat wij bij GlobalSign u graag helpen om uw bedrijf toekomstbestendig te maken met flexibele cryptografische oplossingen waarop u kunt vertrouwen.
