TIPPS & BEST PRACTICE 12. MAI 2022
Wann sind Domainzertifikate für E-Mail-Verschlüsselung sinnvoll?
Immer wieder erreichen uns Fragen nach den Einsatzmöglichkeiten von Domainzertifikaten bei der E-Mail-Verschlüsselung. Im Folgenden klären wir darüber auf.
Gatewayzertifikat zur E-Mail-Verschlüsselung
Domainzertifikate, auch Gateway-Zertifikate oder Organisationszertifikate genannt, werden üblicherweise auf Firmen oder Organisationen ausgestellt, also auf juristische Personen. Ein Nutzer- oder Personenzertifikat dagegen ist immer einer natürlichen Person zugeordnet. Technisch unterscheiden sich beide Zertifikatstypen nicht voneinander.
(Allgemeine Grundlagen zum Thema Zertifikate finden Sie in unserem White Paper „Sichere E-Mail im Zeitalter hoher Mobility“.)
Man könnte nun annehmen, dass ein Unternehmen mit 500 Mitarbeitern und einem zentralen E-Mail-Gateway anstelle von 500 Personenzertifikaten einfach nur ein Domainzertifikat zur E-Mail-Verschlüsselung einsetzen könnte. Das klingt erst einmal effizient und wirtschaftlich überzeugend. In der Praxis gestaltet sich der Einsatz von Domainzertifikaten jedoch oftmals problematisch.
S/MIME-Domainzertifikate können Fehlermeldungen beim Verschlüsseln und Signieren von E-Mails auslösen
Manche Mailprogramme wie MS Outlook und auch Webmailer können S/MIME-Domainzertifikate nicht verarbeiten. Bei der Gültigkeitsprüfung des Zertifikats beim Verschlüsseln wird die E-Mail-Adresse im Zertifikat mit der E-Mail-Adresse des Empfängers abgeglichen. Ein Domainzertifikat enthält jedoch nur eine zentrale und keine persönliche E-Mail-Adresse. Aus diesem Grund verweigern Mailprogramme die Verschlüsselung mit Domainzertifikaten. Das Zertifikat wird für die Empfängeradresse nicht als gültig betrachtet.
Auch bei der Signaturvalidierung können Probleme entstehen, wenn mit einem Domainzertifikat signiert wurde, da die Senderadresse und die E-Mail-Adresse im Zertifikat nicht übereinstimmen. Dies sorgt beim Empfänger für unnötige Irritation und verursacht Aufwand bei der Problemlösung.
MS Outlook-Fehlermeldung beim „Senden an“, wenn für den Empfänger nur ein Domain- bzw. Gateway-Zertifikat zur Verfügung steht.
Domainverschlüsselung: S/MIME Domainzertifikate punkten bei Gateway-zu-Gateway-Verschlüsselung
Der Einsatz von Domainzertifikaten ist immer dann empfehlenswert, wenn die Gegenstelle ebenfalls ein Gateway zur Verschlüsselung und Signatur einsetzt. Allerdings sollten beide Kommunikationspartner verabreden, dass sie mit Domainzertifikaten arbeiten und ihre E-Mail-Gateways entsprechend konfigurieren. Ist sowohl beim Sender als auch beim Empfänger ein Z1 SecureMail Gateway im Einsatz, greift die Domainverschlüsselung, das bedeutet Domainzertifikate werden automatisch erkannt und verwendet. Wenn Gateways anderer Hersteller ihre Domainzertifikate am Zertifikatsportal Z1 Global TrustPoint veröffentlichen, gelingt auch mit diesen die Domainverschlüsselung vollautomatisch.
Sollte keiner oder nur einige Ihrer Kommunikationspartner über ein Verschlüsselungs-Gateway verfügen, empfehlen wir die Verwendung von Nutzerzertifikaten. Mit Z1 SecureMail Gateway können Sie Domainzertifikate und Nutzerzertifikate natürlich auch parallel einsetzen. Das Gateway erkennt automatisch, welches Zertifikat wann verwendet werden soll.
One-Stop-Shop: Domainzertifikate und Nutzerzertifikate im Paket mit Z1 SecureMail Gateway über Zertificon beziehen
Zertificon vereinfacht für Sie die Beschaffung sowohl der Nutzerzertifikate als auch der Domainzertifikate. Sie können diese automatisiert direkt mit dem Z1 SecureMail Gateway über Zertificon einkaufen. Wir haben Partnerschaften mit mehreren Trustcentern, bei denen wir mit besonderen Konditionen einkaufen und Ihnen dadurch sehr attraktive Preise anbieten können. Anders als bei weiteren Gateway-Anbietern läuft so auch die kaufmännische Abwicklung der E-Mail-Zertifikatsbestellung direkt über Zertificon. Sie benötigen nur den Kontakt zu uns und erhalten alles, was Sie für sichere E-Mail-Kommunikation benötigen. Sprechen Sie uns an!
Zertifikatsthemen knapp erklärt in unserem Live-Webinar mit Produktdemo
Thema: „E-Mail-Verschlüsselung einfach und zentral umsetzen mit Z1 SecureMail Gateway“
Domainzertifikate bei OpenPGP nicht mehr generell empfohlen
Beim Einsatz des OpenPGP-Standards in Verbindung mit einem Gateway gelang es bis Anfang 2021 sehr einfach, für jegliche Kommunikation mit einem OpenPGP Domainschlüssel zu arbeiten. Doch durch neuere Entwicklungen bei der Schlüsselvalidierung in den Mailprogrammen wurden uns auch für OpenPGP vermehrt Probleme gemeldet. Durch den Adressabgleich von Schlüsseleintrag und Empfänger- bzw. Senderadresse, der bei Domainschlüsseln eben nicht übereinstimmt, kann es zur gleichen Fehlermeldung kommen, wie oben im Text bei den S/MIME-Zertifikaten erläutert. Diese Fehlermeldung bleibt aus, wenn beide Seiten ein Gateway nutzen. Hier gilt wie bei S/MIME: Z1 SecureMail Gateway managt Ihre OpenPGP-Schlüssel für Domains genauso wie für User.
Unsere aktuelle Empfehlung lautet deshalb auch beim Einsatz von OpenPGP, neben dem Domainschlüssel auch für jeden Mitarbeiter einen eigenen Schlüssel auszustellen. Natürlich lässt sich mit Z1 SecureMail Gateway auch dieser Prozess automatisieren. Die Nutzung von OpenPGP-Nutzerschlüsseln braucht nur einmal konfiguriert zu werden und mit jedem neuen Mitarbeiter wird ein Schlüsselpaar erzeugt und automatisiert verwaltet.
Mit Z1 SecureMail Gateway ist auch die Schlüsselverteilung einfach gelöst. Neu ausgestellte eigene Schlüssel können automatisch am Z1 Global TrustPoint veröffentlicht werden und sind somit für jedermann verfügbar. Die Arbeit mit User-Schlüsseln ist mit Zertificons Lösungen nicht viel aufwändiger als mit einem zentralen PGP E-Mail Domainkey. Und anders als bei gekauften S/MIME-Zertifikaten ist die Ausstellung einzelner OpenPGP Keys kein Kostenfaktor.
