Ausgangssituation:

Auf dem SEPPmail Secure E-Mail Gateway liegen für einen User mehrere gültige Zertifikate vor.

 

Frage:

Welches der Zertifikate eines Users wird für das Signieren verwendet?

 

Antwort:

Für das Signieren wird jeweils der Schlüssel / das Zertifikat des Absenders mit der längsten Gültigkeit herangezogen.

Generell gilt jedoch, per MPKI ausgestellte Zertifikate werden bevorzugt zur Signierung verwendet („Bonus“ von 10 Jahren). Damit wird verhindert, dass „Umsteiger“, welche zunächst Zertifikate einer selbst signierten Zertifizierungsstelle (diese stellt in der Standard-Einstellung Zertifikate mit einer Laufzeit von zehn Jahren aus) im Einsatz hatten, weiterhin mit diesen Zertifikaten anstatt der über die MPKI bezogenen Trusted Zertifikate (diese werden in der Regel mit einer Laufzeit von nur einem Jahr ausgestellt) signieren (siehe auch Mail Processing Ruleset generator Signing Outgoing e-mails).