Wann ist der Einsatz von Domainzertifikaten sinnvoll?

Immer wieder erreichen uns Fragen nach den Einsatzmöglichkeiten von Domainzertifikaten bei der E-Mail-Verschlüsselung. Im Folgenden klären wir darüber auf.

Domainzertifikat zur E-Mail-Verschlüsselung

Domainzertifikat zur E-Mail-Verschlüsselung

Domainzertifikate, auch Gateway- oder Organisationszertifikate genannt, werden üblicherweise auf Firmen oder Organisationen ausgestellt, also auf juristische Personen. Ein Nutzer- oder Personenzertifikat dagegen ist immer einer natürlichen Person zugeordnet. Technisch unterscheiden sich beide Zertifikatstypen nicht voneinander.

(Allgemeine Grundlagen zum Thema Zertifikate finden Sie in unserem White Paper „Sichere E-Mail im Zeitalter hoher Mobility“.)

Man könnte nun annehmen, dass ein Unternehmen mit 500 Mitarbeitern anstelle von 500 Personenzertifikaten einfach nur ein Domainzertifikat zur E-Mail-Verschlüsselung einsetzen könnte. Das klingt erst einmal effizient und wirtschaftlich überzeugend. In der Praxis gestaltet sich der Einsatz von Domainzertifikaten jedoch oftmals problematisch.

S/MIME Domainzertifikate können Fehlermeldungen auslösen

Manche Mailprogramme wie MS Outlook und auch Webmailer können S/MIME Domainzertifikate nicht verarbeiten. Bei der Gültigkeitsprüfung des Zertifikats wird die E-Mail-Adresse im Zertifikat mit der Absenderadresse abgeglichen. Ein Domainzertifikat enthält jedoch nur eine zentrale und keine persönliche E-Mail-Adresse. Aus diesem Grund verweigern Mailprogramme die Verschlüsselung mit Domainzertifikaten. Das Zertifikat wird für die Empfängeradresse nicht als gültig betrachtet. Auch bei der Signaturvalidierung können Probleme entstehen, die für den Kommunikationspartner unnötige Irritation und Aufwand bei der Problemlösung verursachen.

Vor diesem Hintergrund werden die neuesten Entwicklungen und Lösungskonzepte im Zusammenhang mit der eIDAS-Verordnung mit Spannung erwartet. Diese sieht explizit die Einführung eines Unternehmenssiegels vor.

MS Outlook-Fehlermeldung durch Nutzung eines Domainzertifikats

MS Outlook-Fehlermeldung durch Nutzung eines Domainzertifikats

S/MIME Domainzertifikate punkten bei Gateway-zu-Gateway-Verschlüsselung

Der Einsatz von Domainzertifikaten ist nur dann empfehlenswert, wenn die Gegenstelle ebenfalls ein Gateway zur Verschlüsselung und Signatur einsetzt. Allerdings sollten beide Kommunikationspartner verabreden, dass sie mit Domainzertifikaten arbeiten und die Gateways entsprechend konfigurieren. Bei der Kommunikation zwischen zwei Z1 SecureMail Gateways werden alle relevanten Informationen automatisch zwischen den Z1 Produkten ausgetauscht, sodass Sie in diesem Fall Domainzertifikate völlig problemlos einsetzen können.

Beim Einsatz von Z1 SecureMail Gateway können Sie natürlich auch Gateway-Zertifikate mit Nutzerzertifikaten im S/MIME-Standard kombinieren. Das Gateway verwendet je nach Kommunikationspartner immer die beste Lösung.

Domainzertifikate auch bei OpenPGP empfohlen

Beim Einsatz des OpenPGP-Standards in Verbindung mit einem Gateways kann sehr einfach mit einem Domainzertifikat gearbeitet werden. Die OpenPGP-Validierung interessiert sich nicht für die Adressübereinstimmung von Zertifikat und Absender. Grundsätzlich ist bedingt durch das Vertrauensmodell das Ausrollen von OpenPGP-Schlüsseln für jeden einzelnen Mitarbeiter beim Einsatz eines Gateways überflüssig.

Domainzertifikate und Ende-zu-Ende-Verschlüsselung

Naturgemäß können Mitarbeiter eines Unternehmens untereinander nicht mit dem gleichen Domainzertifikat verschlüsseln. Und doch können Domainzertifikate sogar in Kombination mit Zertificons Organizational End2End genutzt werden. Gerne erklären wir Ihnen, wie!

 

Autor: Zertificon Solutions
Erschienen: 9. November 2016
Bildrechte: Zertificon Solutions
Original Blogbeitrag: https://www.zertificon.com/blog/2016/wann-ist-der-einsatz-von-domainzertifikaten-sinnvoll