• Information

SwissSign widerruft S/MIME-Zertifikate – Was NoSpamProxy-Kunden jetzt wissen müssen

Die Zertifizierungsstelle SwissSign widerruft eine große Anzahl von S/MIME-Silver-Zertifikaten. Kunden, die NoSpamProxy in Verbindung mit der SwissSign Managed PKI (MPKI) einsetzen, sind potenziell betroffen. Es besteht kein Sicherheitsrisiko für E-Mails oder verschlüsselte Inhalte dennoch sollten betroffene Kunden umgehend handeln.

21.04.2026|Zuletzt aktualisiert:21.04.2026

Was ist passiert?

SwissSign wurde im Rahmen eines externen Audits auf eine Abweichung in der eigenen Zertifikatsrichtlinie (CPR) hingewiesen. Dabei stellte sich heraus, dass die betroffenen Zertifikate zwar den Anforderungen der S/MIME Baseline Requirements entsprechen, insbesondere hinsichtlich der Belegung des Feldes commonName mit der E‑Mail‑Adresse (Mailbox Address). Die Abweichung betrifft ausschliesslich eine abweichende Formulierung in der CPR, die für S/MIME-Silver-Zertifikate zusätzlich Vor‑ und Nachnamen vorsah.

Der Fehler betrifft also nur die Dokumentation, nicht die Zertifikate selbst. Dennoch verpflichten die Vorgaben des CA/Browser-Forums SwissSign dazu, alle betroffenen Zertifikate innerhalb von 120 Stunden zu widerrufen.

Wichtig: Es besteht kein Sicherheitsrisiko für E-Mails oder verschlüsselte Inhalte. Der Widerruf ist eine reine formale Compliance-Maßnahme; es handelt sich nicht um einen Angriff oder eine Kompromittierung.

Welche Zertifikate sind betroffen?

Alle DV-E-Mail-Zertifikate “SwissSign Personal S/MIME E-Mail ID Silver”, die zwischen dem 15. Juli 2025 (00:00 Uhr) und dem 17. April 2026 (17:00 Uhr) ausgestellt wurden.

Was passiert, wenn Sie nichts unternehmen?

SwissSign widerruft alle betroffenen Zertifikate automatisch am 22. April 2026 um 15:00 Uhr MEZ. Danach können damit signierte E-Mails von Empfängern als ungültig oder nicht vertrauenswürdig eingestuft werden. E-Mail-Verschlüsselung auf Basis dieser Zertifikate wäre ebenfalls nicht mehr möglich.

Was müssen NoSpamProxy-Kunden tun?

  1. Prüfen Sie, ob in Ihrer NoSpamProxy-Konfiguration eine Anbindung an die SwissSign Managed PKI besteht.
  2. Identifizieren Sie alle betroffenen S/MIME-Zertifikate anhand des Ausstellungszeitraums (15. Juli 2025 bis 17. April 2026).
  3. Fordern Sie über die SwissSign MPKI Ersatzzertifikate an. Das Produkt selbst bleibt unverändert verfügbar, der Fehler in der Dokumentation wurde bereits behoben.
  4. Installieren und aktivieren Sie die neuen Zertifikate in NoSpamProxy vor dem 22. April 2026, 15:00 Uhr MEZ.
  5. Informieren Sie gegebenenfalls Kommunikationspartner, deren Systeme die alten Zertifikate im Truststore hinterlegt haben.

Weitere Informationen

SwissSign hat betroffene Kunden per E-Mail informiert. Den offiziellen Compliance-Bericht finden Sie im Mozilla Bugtracker Bugzilla.

ZIP-Bomben: erst klein, dann gemeinZIP-Bomben: erst klein, dann gemein 800x800Warum IT-Dienstleister mit NoSpamProxy ihr Portfolio gezielt stärken