NEWS: Why you should automate S/MIME
News & Events S/MIME

Why automation is important for companies that want to use S/MIME email certificates

by 18. October 2019

Verschlüsselung und digitale Signatur sind der beste Weg, um die Integrität und den Datenschutz der E-Mail-Kommunikation zu gewährleisten. Die Vorteile sind:

  • The knowledge of the email really came from the sender, including the identification of the organization represented
  • Enable checking that email content and attachments have not been changed after sending
  • Knowing that no one else could read the email on the mail server or while it was being sent because it was only encrypted for the sender and recipient

These skills fight spear - phishing attacks such as business email compromise (BEC ) and help meet a number of key global requirements including BIPR, HIPAA, the US Department of Defense DFARS and others.

Durch die Verwendung von S/MIME für die Verschlüsselung können sowohl Absender als auch Empfänger ihre vorhandenen S/MIME-fähigen E-Mail-Anwendungen mit ihren bekannten Funktionen verwenden. Alternative Ansätze erfordern separate E-Mail-Anwendungen oder Webportale mit unterschiedlichen Benutzererfahrungen.

Für das Unternehmen ist es verlockend, S / MIME ohne automatisierte Zertifikatsverwaltung zu verwenden, um Geld zu sparen, indem die Mitarbeiter die Last der Zertifikatsverwaltung teilen müssen. Beispielsweise erhielt Sectigo dieses Angebot von einem Kunden, der versuchte, die für S/MIME email certificates typische manuelle Verwaltung zu verwenden :

Wir haben die sicheren E-Mail-Zertifikate vor vier Monaten für unsere Endbenutzer bereitgestellt und hatten Schwierigkeiten bei der Bereitstellung. Obwohl wir eine schrittweise Anleitung für Endbenutzer zum Herunterladen und Installieren ihrer eigenen Zertifikate erstellt haben, gingen zahlreiche Supportanfragen ein, um die Einrichtung durchzuführen. Ist es möglich, zu Zero Touch zu wechseln, um die Zertifikatsverwaltung und den Installationsprozess zu vereinfachen? YES!

Der Preis für die Automatisierung ist eine gute Investition, die geringer ist als die erwarteten Kosten für Supportanrufe oder der Produktivitätsverlust für Mitarbeiter, die ihre eigenen S/MIME-Zertifikate manuell verwalten. Oder das Schlimmste ist, dass die Mitarbeiter keine Zertifikate verwenden und die damit verbundenen Compliance-Probleme auftreten.

Common reasons for support calls are:

  • Wenn das neue Zertifikat nicht in der globalen Adressliste des Unternehmens veröffentlicht wird, können Absender von Outlook- und ActiveSync-E-Mail-Anwendungen das für die Verschlüsselung für den Empfänger erforderliche Zertifikat nicht finden. Der Mitarbeiter verbringt entweder viel Zeit damit, herauszufinden, wie das Zertifikat veröffentlicht werden soll, oder die Absender verwenden keine Verschlüsselung.
  • Wenn die globale Adressliste nicht verwendet wird, müssen die Mitarbeiter untereinander signierte E-Mails senden, sodass die Absender die Zertifikate der Empfänger aus der signierten E-Mail extrahieren können. Dies verringert die Effektivität, da Sie eine verschlüsselte E-Mail erst senden können, wenn der Empfänger Ihnen zuerst eine E-Mail sendet. Sobald ein Empfänger ein Zertifikat erneuert, verfügt der Absender über ein älteres, abgelaufenes Zertifikat. Wenn die Beteiligten überhaupt bemerken, dass sie Informationen im Klartext per E-Mail versenden, müssen neue Zertifikatsinhaber erneut signierte E-Mails an alle senden, die sie in der Lage sein möchten, ihnen verschlüsselte Nachrichten zu senden.
  • Ohne Automatisierung muss jeder Mitarbeiter, der ein S / MIME-Zertifikat benötigt, ein Self-Service-Webportal besuchen, in dem er sich anhand eines gemeinsamen Geheimnisses identifiziert, durch 5-10 Bildschirme klickt, den privaten Schlüssel und das Zertifikat in einer PKCS # 12-Datei herunterlädt. und öffnen Sie die Datei, um das Zertifikat auf ihren Desktop zu importieren. Outlook-Benutzer müssen das Programm dann so konfigurieren, dass das neu installierte Zertifikat verwendet wird.
  • Jeder Mitarbeiter muss den privaten Verschlüsselungsschlüssel manuell sichern, damit er bei versehentlicher Zerstörung wiederhergestellt werden kann. Andernfalls können E-Mails und Anhänge, die mit diesem Schlüssel verschlüsselt wurden, nicht entschlüsselt werden. Dieses Supportproblem hat zwei spezifische Formen:
    • The employee forgets to secure the key, and if the private key is destroyed, past emails are not available for access.
    • Der Mitarbeiter sichert den privaten Schlüssel zusammen mit anderen Datendateien auf einem USB-Laufwerk. Dieser private Schlüssel ist dann potenziell einem Angreifer ausgesetzt, der die Verschlüsselung erzwingen kann, die den privaten Schlüssel vor Diebstahl schützt.
  • Um ein Mobilgerät einzurichten, muss der Mitarbeiter Schwierigkeiten haben, den privaten Schlüssel und das Zertifikat aus Outlook zu exportieren und dann die Datei mit dem privaten Schlüssel und dem Zertifikat auf das Mobilgerät zu übertragen. Dort muss der Mitarbeiter den privaten Schlüssel und das Zertifikat in die E-Mail-Anwendung importieren, was aufgrund der vielen, komplizierten und je nach E-Mail-Anwendung unterschiedlichen Methoden zu Helpdesk-Anrufen führt.
  • Sobald der private Schlüssel und das Zertifikat auf dem mobilen Gerät installiert sind, muss der Mitarbeiter herausfinden, wie die E-Mail-Anwendung für die Verwendung des neu installierten Zertifikats konfiguriert wird. Dies führt häufig zu einem Helpdesk-Anruf.
  • Wenn das Zertifikat in 1-3 Jahren abläuft, muss der Mitarbeiter vor dem Ablauf des Zertifikats über ausreichende Kenntnisse verfügen, um das Zertifikat auf mehreren Geräten zu erneuern. Andernfalls erhalten alle Empfänger eine Benachrichtigung, dass die digitale Signatur ungültig ist.
  • Nach der Erneuerung von Zertifikaten verwenden E-Mails dieses Absenders auf dem E-Mail-Server andere Schlüssel. Ohne Automatisierung muss der Mitarbeiter manuell sicherstellen, dass der gesamte Schlüsselverlauf verfügbar ist, oder einige E-Mails können nicht entschlüsselt werden.
Tags: