SEPPmail: Neue SwissSign CA-Zertifikate

Am 07. September 2021 hat SwissSign ihre Kunden informiert, dass neue CAs in Betrieb genommen werden. Diese Änderung betrifft alle SwissSign Zertifikate, welche seit dem 17. Oktober 2021 ausgestellt werden und benötigt ein aktives Eingreifen durch den SEPPmail-Administrator.

Als erstes muss geprüft werden, ob eine SwissSign MPKI im Einsatz ist. Das weitere Vorgehen ist dann in den folgenden Abschnitten beschrieben.

SEPPmail ohne SwissSign MPKI

Die SEPPmail analysiert laufend den Mailfluss und informiert den Administrator per Mail, falls neue X.509 Root Certificates erkannt werden. Der Administrator ist für die Klassifierzung der Root Zertifikate verantwortlich und muss die neuen SwissSign CAs manuell freigeben.

Ohne eine Freigabe durch den Administrator kann die S/MIME-Signatur von eingehenden Nachrichten nicht validiert werden (Betreff = [signed INVALID]) und das Absenderzertifikat steht nicht für die benutzerbasierte S/MIME-Verschlüsselung zur Verfügung.

SEPPmail mit SwissSign MPKI

Damit die SEPPmail beim Signieren die korrekten Zwischenzertifikate mitsenden kann, muss der Administrator die neuen SwissSign S/MIME CA-Zertifikate auf seine SEPPmail importieren.

Seit SEPPmail 12.1.1 sind diese neuen CA-Zertifikate in der Firmware enthalten, aber müssen bei bestehenden Installationen durch den Administrator aktiviert werden.

Empfohlenes Vorgehen

1) Die SEPPmail auf mindestens 12.1.1 aktualisieren

2) Im Register MPKI prüfen, dass SwissSign als Anbieter gewählt ist (anstonsten hier abbrechen)

3) Das SwissSign Zertifikatspaket über die Funktion Chain certificates: Add or update… installieren

4) Im Register X.509 Root Certificats prüfen, dass die neue SwissSign CA-Zertifikate importiert wurden

Weshalb patched SEPPmail die Appliance diesbezüglich nicht?

Das Aussprechen des Vertrauens in eine Root CA unterliegt ausschließlich dem Betreiber der SEPPmail Appliance. Somit würde an dieser Stelle ein Patch einen Eingriff in das Sicherheitskonzept des Betreibers darstellen.

Quelle: SEPPmail

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.