Wer seine E-Mail-Kommunikation mit S/MIME-Zertifikaten sicherer und vertraulicher gestaltet, muss sich seit 1. September 2023 auf Änderungen einstellen. Darauf machen IT-Sicherheitsexperten aufmerksam.

 

Die im Jahr 2020 vom CA/Browser Forum gegründete Arbeitsgruppe S/MIME Certificate Working Group hat neue S/MIME-Basisanforderungen (Baseline Requirements) erarbeitet, mit dem Ziel, die Ausstellung und Verwaltung von S/MIME-Zertifikaten einheitlich für alle Marktteilnehmer zu regeln und damit die E-Mail-Sicherheit zu erhöhen. »Denn obwohl das S/MIME-Protokoll bereits weltweit etabliert und stark verbreitet ist, gab es bislang nur wenige Standards, die die Ausstellung von S/MIME-Zertifikaten für Zertifizierungsstellen regeln«, begründet Patrycja Schrenk, Geschäftsführerin der PSW GROUP, diesen Schritt. Die PSW GROUP ist Teil der S/MIME Certificate Arbeitsgruppe, die aus Branchenexperten, darunter über 30 Zertifizierungsstellen (CAs) aus der ganzen Welt sowie E-Mail-Softwareanbietern und weiteren relevanten Stakeholdern besteht.

Die neuen Baseline Requirements werden als S/MIME-Standard im September 2023 branchenweit in Kraft treten. Über die vier wesentlichen Neuerungen informiert Patrycja Schrenk: »Die neuen S/MIME-Zertifikate dürfen nur noch mit einer maximalen Gültigkeitsdauer von zwei Jahren ausgestellt werden. Wie für SSL-/TLS-Zertifikate muss bei S/MIME-Zertifikaten zukünftig die Kontrolle über die verwendete Domain nachgewiesen werden. Darüber hinaus werden S/MIME-Zertifikate jetzt in vier Zertifikatstypen unterteilt, wobei für jeden dieser Zertifikatstypen nun drei Profile definiert wurden. Zusätzlich wurden einzelne Zertifikatsattribute geändert, beispielsweise entfällt jetzt die OrganisationalUnit.«

Unternehmen und Einzelpersonen, die S/MIME-Zertifikate einsetzen, können seit dem 28. August 2023 die vor diesem Datum ausgestellten S/MIME-Zertifikate nicht mehr austauschen. »Wenn das S/MIME-Zertifikat nicht mehr vorliegt, müssen User aufgrund der Änderung ein neues Zertifikat bestellen. Ich empfehle daher, eine Sicherung des aktuellen Zertifikats durchzuführen«, so Schrenk. Dazu kann die PKCS#12-Datei (.pfx oder .p12) an einem sicheren Ort gespeichert werden, um dieses bei Bedarf später auch ohne Austausch noch einmal installieren zu können.

»Mit den ersten S/MIME Baseline Requirements wurde ein wichtiger Standard geschaffen, der zur Steigerung der E-Mail-Sicherheit beiträgt und der in Zukunft mehr Klarheit schaffen wird, was die Ausstellung von S/MIME-Zertifikaten für Zertifizierungsstellen angeht. Der neue S/MIME-Standard wird aber laufend weiterentwickelt, weshalb es mittelfristig zu weiteren Änderungen kommen kann, wie zum Beispiel bei der maximalen Gültigkeitsdauer«, fasst Patrycja Schrenk zusammen.

 

S/MIME-Zertifikate: Vereinfachte Verwaltung mit einer MPKI-Lösung

Mit einer Verkürzung der Laufzeit von S/MIME-Zertifikaten wird sich ein Trend fortsetzen, der sich bereits bei SSL-Zertifikaten durchgesetzt hat. Verkürzte S/MIME-Zertifikatslaufzeiten werden jedoch vermutlich für einen höheren Verwaltungsaufwand sorgen. Die Gründe liegen auf der Hand: Die digitalen Zertifikate müssen häufiger ausgetauscht werden und es entstehen mehr Fehlerquellen bei Einrichtung und Installation.

Um das Zertifikatsmanagement dennoch zeit- und kostensparend zu gestalten, empfiehlt die Expertin die Verwendung einer Managed PKI Lösung: »Die Managed PKI ist ein persönlicher Account um SSL/TLS-, S/MIME- und Code-Signing-Zertifikate zu beantragen und zu managen. Sie ist ideal für Unternehmen, die zügig viele Zertifikate benötigen«, so Schrenk. Beim Anlegen eines MPKI-Accounts wird das Unternehmen einmalig validiert und erhält danach zahlreiche Vorteile. Mit einer Managed PKI ist es beispielsweise dann möglich, selbstständig innerhalb weniger Minuten S/MIME-Zertifikate für Organisationen, Partner und Kunden auszustellen. Zudem können Unternehmen dann ganz einfach Zeit und Kosten, beispielsweise für das Einrichten, sparen.

 

S/MIME Zertifikate kurz erklärt

S/MIME ist die Abkürzung für Secure/Multipurpose Internet Mail Extensions und ein weit verbreitetes technisches Protokoll zum Senden digital signierter und verschlüsselter E-Mail-Nachrichten. Eine S/MIME-Signatur ermöglicht den sicheren Austausch von verschlüsselten Nachrichten und gewährleistet die Vertraulichkeit, Integrität und Privatsphäre bei der E-Mail-Kommunikation. Mithilfe von S/MIME kann die Identität des Absenders einer E-Mail verifiziert und der Ursprung der Nachricht festgestellt werden. Dadurch ist die Nachricht vor Manipulation und Fälschung geschützt.

 

Weitere Informationen unter: https://www.psw-group.de/blog/s-mime-zertifikate-neuer-smime-standard-ab-september-2023/10188

 

---

 

Wie beantrage und installiere ich S/MIME-Zertifikate

S/MIME-Zertifikate sind digitale Zertifikate, die es Ihnen ermöglichen, E-Mails zu verschlüsseln und zu signieren. Mit S/MIME-Zertifikaten können Sie die Vertraulichkeit, Integrität und Authentizität Ihrer elektronischen Kommunikation sicherstellen. In diesem Beitrag erfahren Sie, wie Sie S/MIME-Zertifikate beantragen und installieren können.

 

Um ein S/MIME-Zertifikat zu erhalten, müssen Sie zunächst einen Anbieter auswählen, der solche Zertifikate ausstellt. Es gibt verschiedene Anbieter, die unterschiedliche Preise, Laufzeiten und Serviceleistungen anbieten. Sie sollten einen Anbieter wählen, der Ihren Anforderungen und Ihrem Budget entspricht. Einige Beispiele für Anbieter sind Comodo, DigiCert, GlobalSign und Sectigo.

 

Nachdem Sie einen Anbieter ausgewählt haben, müssen Sie einen Zertifikatsantrag (Certificate Signing Request, CSR) erstellen. Ein CSR ist eine Datei, die Ihre persönlichen Daten und Ihren öffentlichen Schlüssel enthält. Der öffentliche Schlüssel ist ein Teil eines Schlüsselpaars, das für die Verschlüsselung und Entschlüsselung von E-Mails verwendet wird. Der private Schlüssel ist der andere Teil des Schlüsselpaars, den Sie geheim halten müssen.

 

Um einen CSR zu erstellen, müssen Sie ein Programm verwenden, das diese Funktion unterstützt. Dies kann je nach Ihrem Betriebssystem und Ihrem E-Mail-Programm variieren. Zum Beispiel können Sie unter Windows den Internet Explorer oder Outlook verwenden, um einen CSR zu erstellen. Unter MacOS können Sie den Schlüsselbund oder Mail verwenden. Unter Linux können Sie OpenSSL oder Thunderbird verwenden.

 

Wenn Sie ein Programm zum Erstellen eines CSR gefunden haben, müssen Sie einige Angaben machen, wie zum Beispiel Ihren Namen, Ihre E-Mail-Adresse, Ihre Organisation und Ihren Standort. Diese Angaben werden in Ihrem Zertifikat angezeigt und müssen mit Ihrer Identität übereinstimmen. Außerdem müssen Sie ein Passwort festlegen, um Ihren privaten Schlüssel zu schützen.

 

Nachdem Sie einen CSR erstellt haben, müssen Sie ihn an Ihren Anbieter senden. Dies können Sie in der Regel über eine Webseite oder per E-Mail tun. Ihr Anbieter wird Ihren CSR überprüfen und Ihnen ein S/MIME-Zertifikat ausstellen, wenn alles in Ordnung ist. Dies kann einige Minuten bis einige Tage dauern.

 

Wenn Sie Ihr S/MIME-Zertifikat erhalten haben, müssen Sie es installieren. Dies bedeutet, dass Sie das Zertifikat in Ihrem E-Mail-Programm importieren und aktivieren müssen. Auch hier kann der Vorgang je nach Ihrem Betriebssystem und Ihrem E-Mail-Programm variieren. Zum Beispiel können Sie unter Windows Outlook verwenden, um das Zertifikat zu importieren und zu aktivieren. Unter MacOS können Sie den Schlüsselbund oder Mail verwenden. Unter Linux können Sie Thunderbird verwenden.

 

Wenn Sie das Zertifikat installiert haben, können Sie es verwenden, um E-Mails zu verschlüsseln und zu signieren. Um eine E-Mail zu verschlüsseln, müssen Sie den öffentlichen Schlüssel des Empfängers kennen oder anfordern. Um eine E-Mail zu signieren, müssen Sie Ihren privaten Schlüssel eingeben oder bestätigen. Ihr E-Mail-Programm sollte Ihnen Optionen anzeigen, um diese Funktionen auszuführen.

 

Mit S/MIME-Zertifikaten können Sie Ihre E-Mails sicherer machen und Ihre Identität bestätigen. Wir hoffen, dass diese Information Ihnen geholfen hat, zu verstehen, wie Sie S/MIME-Zertifikate beantragen und installieren können.

Genki Absmeier

 

---

 

Wie erstelle ich ein CSR in Outlook

 

Ein CSR (Certificate Signing Request) ist eine Anfrage, die Sie an eine Zertifizierungsstelle (CA) senden, um ein digitales Zertifikat für Ihre E-Mail-Adresse oder Ihren Domainnamen zu erhalten. Ein digitales Zertifikat ist eine elektronische Datei, die Ihre Identität bestätigt und es Ihnen ermöglicht, verschlüsselte E-Mails zu senden und zu empfangen. In diesem Blogbeitrag erklären wir Ihnen, wie Sie ein CSR in Outlook erstellen können.

 

Schritt 1: Erstellen Sie ein neues E-Mail-Konto in Outlook

Um ein CSR in Outlook zu erstellen, müssen Sie zunächst ein neues E-Mail-Konto in Outlook einrichten. Gehen Sie dazu wie folgt vor:

• Öffnen Sie Outlook und klicken Sie auf die Registerkarte »Datei«.
• Klicken Sie auf »Konto hinzufügen« und wählen Sie »Manuelle Konfiguration oder zusätzliche Servertypen«.
• Klicken Sie auf »Weiter« und wählen Sie »Internet-E-Mail«.
• Geben Sie Ihre persönlichen Daten ein, wie Ihren Namen, Ihre E-Mail-Adresse, Ihren Benutzernamen und Ihr Passwort.
• Geben Sie die Serverinformationen ein, wie den Typ Ihres E-Mail-Kontos (POP3, IMAP oder Exchange), den Namen Ihres Posteingangsservers und den Namen Ihres Postausgangsservers.
• Klicken Sie auf »Weitere Einstellungen« und gehen Sie zur Registerkarte »Erweitert«.
• Stellen Sie sicher, dass die Option »Dieser Server erfordert eine verschlüsselte Verbindung (SSL)« aktiviert ist und dass die Portnummern für den Posteingangs- und Postausgangsserver korrekt sind.
• Klicken Sie auf »OK«, »Weiter« und »Fertig stellen«.

 

Schritt 2: Erstellen Sie einen privaten Schlüssel in Outlook

Um ein CSR in Outlook zu erstellen, müssen Sie als nächstes einen privaten Schlüssel in Outlook generieren. Ein privater Schlüssel ist eine geheime Datei, die nur Ihnen bekannt ist und die mit Ihrem digitalen Zertifikat verknüpft ist. Gehen Sie dazu wie folgt vor:

• Öffnen Sie Outlook und klicken Sie auf die Registerkarte »Datei«.
• Klicken Sie auf »Optionen« und dann auf »Trust Center«.
• Klicken Sie auf »Einstellungen für das Trust Center« und dann auf »E-Mail-Sicherheit«.
• Klicken Sie unter »Verschlüsselte E-Mail« auf »Einstellungen«.
• Geben Sie einen Namen für Ihre Sicherheitseinstellungen ein, z.B. »Mein Zertifikat«.
• Klicken Sie unter »Verschlüsselungszertifikat« auf »Auswählen«.
• Klicken Sie auf »Neu« und dann auf »Weiter«.
• Wählen Sie die Option »Neues Schlüsselpaar erstellen« und klicken Sie auf »Weiter«.
• Wählen Sie einen Speicherort für Ihren privaten Schlüssel aus, z.B. »Persönlicher Informationsspeicher«, und geben Sie ein Kennwort für Ihren privaten Schlüssel ein.
• Klicken Sie auf »Weiter«, »Fertig stellen« und dann auf »OK«.

 

Schritt 3: Erstellen Sie ein CSR in Outlook

Um ein CSR in Outlook zu erstellen, müssen Sie schließlich das CSR selbst generieren. Ein CSR ist eine Textdatei, die Informationen über Ihre Identität enthält, wie Ihren Namen, Ihre Organisation, Ihren Standort und Ihre E-Mail-Adresse. Gehen Sie dazu wie folgt vor:

• Öffnen Sie Outlook und klicken Sie auf die Registerkarte »Datei«.
• Klicken Sie auf »Optionen« und dann auf »Trust Center«.
• Klicken Sie auf »Einstellungen für das Trust Center« und dann auf »E-Mail-Sicherheit«.
• Klicken Sie unter »Verschlüsselte E-Mail« auf »Einstellungen«.
• Wählen Sie die Sicherheitseinstellungen aus, die Sie im vorherigen Schritt erstellt haben, z.B. »Mein Zertifikat«.
• Klicken Sie unter »Verschlüsselungszertifikat« auf »Anzeigen«.
• Klicken Sie auf die Registerkarte »Details« und dann auf »Zertifikat kopieren«.
• Öffnen Sie einen Texteditor wie Notepad und fügen Sie das kopierte Zertifikat ein.
• Speichern Sie die Textdatei mit der Endung ».csr«, z.B. »mein_csr.csr«.

 

Sie haben nun ein CSR in Outlook erstellt. Sie können dieses CSR an eine CA senden, um ein digitales Zertifikat zu beantragen. Sobald Sie das digitale Zertifikat erhalten haben, können Sie es in Outlook importieren und verwenden, um verschlüsselte E-Mails zu senden und zu empfangen.

Genki Absmeier