Klassifizierung neuer Root-CA-Zertifikate in SX-MailCrypt

    Einführung

    SX-MailCrypt nutzt eine Liste vertrauenswürdiger Root-CA-Zertifikate zur Validierung eingehender S/MIME-Zertifikate. Neue Root-CAs werden automatisch erkannt, erfordern jedoch eine manuelle Klassifizierung. In diesem Artikel erfahren Sie, wie neue Root-Zertifikate eingebunden, angezeigt und sinnvoll geprüft werden – inklusive Empfehlungen zur Klassifizierung.

    Wie gelangen neue Root-CA-Zertifikate in SX-MailCrypt?

    SX-MailCrypt wird mit einer Basisliste vertrauenswürdiger Root-Zertifikate ausgeliefert (Status: trusted). Während des laufenden Betriebs erkennt das System automatisch neue Root-CAs, sofern diese im Datenfluss auftauchen. Diese werden mit dem Status "?" (undefined) im Menü "X.509 Root CA Certificates" gelistet.

    In den Einstellungen lässt sich zudem festlegen, ob:

    • abgelaufene Zertifikate automatisch entfernt werden sollen
    • Zertifikate regelmäßig auf Widerruf (Revocation) geprüft werden

    Wie werden neue, nicht klassifizierte Root-CAs dargestellt?

    Alle erkannten Root-CAs finden Sie im Menü "X.509 Root CA Certificates" in einer tabellarischen Übersicht. Zertifikate ohne Klassifizierung erscheinen mit dem Trust-Status "?" (undefined).

    💡 Tipp: Sortieren Sie die Tabelle nach der Spalte "Trust state", um neu erkannte Einträge schnell zu finden.

    Was bedeutet der Trust-Status "trusted"?

    Ein Root-Zertifikat mit dem Status trusted wird von SX-MailCrypt als vertrauenswürdig eingestuft. Alle Benutzerzertifikate, die von dieser CA ausgestellt wurden, gelten dann automatisch als gültig – ohne weitere Prüfung.

    ⚠️ Achtung: Wird eine Root-CA kompromittiert oder missbräuchlich verwendet, kann dies dazu führen, dass fehlerhafte oder unautorisierte Zertifikate akzeptiert werden. Dies birgt erhebliche Risiken für die Sicherheit der E-Mail-Kommunikation.

    Was bedeutet der Status "untrusted"?

    Ein Root-Zertifikat mit dem Status untrusted wird nicht mehr für die automatische Validierung von Benutzerzertifikaten in eingehenden E-Mails verwendet.

    Es verbleibt im zentralen Zertifikatsspeicher, wird jedoch bei erneutem Auftreten nicht nochmals importiert oder mit dem Status "?" (undefined) zur Klassifizierung vorgemerkt.

    Auf diese Weise wird verhindert, dass bekannte, aber als nicht vertrauenswürdig eingestufte Zertifikate wiederholt geprüft oder irrtümlich zugelassen werden.

    Empfohlene Kriterien für die Klassifizierung

    Zur Beurteilung neuer Root-Zertifikate empfehlen wir folgende Prüfpunkte

    Vergleich des Fingerprints mit der offiziellen Webseite der ausstellenden CA

    Abgleich mit dem CA-Store des Betriebssystems (z. B. Windows, macOS, Linux)

    Einsatzbereich beachten: Nur branchenrelevante CAs zulassen (z. B. Finanzsektor)

    Reputation und Bekanntheit: Etablierte Organisationen wie Bosch oder die Bundesagentur für Arbeit betreiben meist seriöse CAs

    ⚠️ Vorsicht bei selbstsignierten Zertifikaten kleiner Anbieter – diese nur als trusted klassifizieren, wenn ein klarer Anwendungsfall und Bedarf besteht

    Wo finde ich den Fingerprint eines Zertifikats?

    Der Fingerprint (auch: „Thumbprint“ oder „Fingerabdruck“) ist ein eindeutiger Hash-Wert, der zur Identifikation eines Zertifikats verwendet wird – typischerweise mit SHA-1 oder SHA-256 berechnet.

    Sie können den Fingerprint auf verschiedenen Wegen einsehen:

    1. In SX-MailCrypt selbst:
      Im Menü "X.509 Root CA Certificates" lässt sich bei Auswahl eines Zertifikats der jeweilige Fingerprint direkt anzeigen. Dieser kann z. B. für den Abgleich mit einer offiziellen Quelle verwendet werden.
    2. Auf der Webseite der ausstellenden CA
      Viele Zertifizierungsstellen veröffentlichen den Fingerprint ihrer Root-Zertifikate auf ihrer Website, z. B. im Bereich "Downloads", "Repository" oder "Trust Center".
      Ein manueller Vergleich stellt sicher, dass das Zertifikat nicht manipuliert wurde.

    Kann die Klassifizierung nachträglich geändert werden?

    Ja – die Trust-Einstufung eines Root-CA-Zertifikats lässt sich jederzeit anpassen, z. B. von trusted auf untrusted oder umgekehrt.

    📝 Hinweis: Bereits importierte Benutzerzertifikate werden durch eine Änderung der Root-Klassifizierung nicht automatisch entfernt. In sicherheitsrelevanten Fällen sollte daher eine manuelle Nachkontrolle erfolgen.

    Was passiert beim Löschen – und wann ist es sinnvoll?

    Ein gelöschtes Root-Zertifikat wird vollständig entfernt. Sollte es später erneut im Datenfluss erkannt werden, erscheint es wieder mit dem Status "?".

    💡 Empfehlung: Setzen Sie statt einer Löschung lieber den Status auf untrusted. So wird das Zertifikat bei erneutem Auftreten nicht wieder als "neu" erkannt.

    Zertifikatsspeicher mit gängigen Root-CAs befüllen

    Für einen soliden Grundstock an vertrauenswürdigen Zertifikaten bietet sich das Mozilla Root-CA-Bundle an. Mozilla ist Mitglied im CA/Browser Forum und unterliegt damit bestimmten Qualitätsstandards.

    Eine manuelle Pflege des Zertifikatsspeichers bleibt auch nach dem Import jederzeit möglich.

    💡 Praxis-Tipp

    Wenn Sie sich bei einer neuen Root-CA unsicher sind, klassifizieren Sie sie zunächst als untrusted. Sollte sich später herausstellen, dass sie vertrauenswürdig ist, lässt sich der Status jederzeit ändern.

    Veröffentlicht