| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision |
| cert-basics [2012/08/31 12:05] – [Ein Zertifikat erstellen] bush | cert-basics [2012/08/31 12:15] – [Die Qualität von Zertifikaten] bush |
|---|
| * In **Schritt 2** erzeugt man einen Zertifikatsantrag (certificate signing request, CSR), der neben dem öffentlichen Schlüssel die Daten aufnimmt, die ins Zertifikat übernommen werden sollen. Der CSR wird als separate PEM-Datei üblicherweise mit der Dateiendung .csr abgespeichert und an die Zertifizierungsstelle geschickt. Bei der Beantragung eines persönlichen Zertifikates wird der CSR vom Browser implizit durchgeführt. | * In **Schritt 2** erzeugt man einen Zertifikatsantrag (certificate signing request, CSR), der neben dem öffentlichen Schlüssel die Daten aufnimmt, die ins Zertifikat übernommen werden sollen. Der CSR wird als separate PEM-Datei üblicherweise mit der Dateiendung .csr abgespeichert und an die Zertifizierungsstelle geschickt. Bei der Beantragung eines persönlichen Zertifikates wird der CSR vom Browser implizit durchgeführt. |
| |
| * **Schritt 3:** Die vorgelagerte Registrierungsstelle (registration authority, hier die Uni FR RA) identifiziert den Antragsteller/die Antragstellerin, indem diese(r) persönlich dort erscheint und sich mit einem amtlichen Dokument ausweist. | * **Schritt 3:** Die vorgelagerte Registrierungsstelle (registration authority, hier die Uni FR RA) identifiziert den Antragsteller/die Antragstellerin, indem diese/r persönlich dort erscheint und sich mit einem amtlichen Dokument ausweist. |
| |
| * **Schritt 4:** Nach erfolgter Identifizierung unterschreibt die RA den Zertifikatsantrag digital und löst damit die Herstellung des Zertifikates aus. | * **Schritt 4:** Nach erfolgter Identifizierung unterschreibt die RA den Zertifikatsantrag digital und löst damit die Herstellung des Zertifikates aus. |
| Zur Qualität trägt z.B. bei: | Zur Qualität trägt z.B. bei: |
| |
| - wie aufwändig die Zuordnung eines Zertifikates und seines öffentlichen Schlüssels zu seinem Eigentümer (=Antragsteller) kontolliert wird.\\ Gelegentlich werden kostenfreie(!) Zertifikate herausgegeben, die diese Kontrolle nicht durchführen.\\ Die Uni FR CA betreibt eine Registrierungsstelle, bei der sich die Antragsteller persönlich ausweisen müssen, bevor derzen Zertifikatsantrag freigegeben werden kann.\\ Dazu schreibt der DFN:\\ //"In der DFN-PKI werden fortgeschrittene Zertifikate ausgestellt, da für persönliche Zertifikate alle gesetzlichen Anforderungen an fortgeschrittene elektronische Signaturen erfüllt sind. Darüber hinaus muss sich jeder Antragsteller mit einem amtlichen Ausweispapier mit Lichtbild persönlich identifizieren. Damit wird bei der Zuverlässigkeit der Identifikation zum Erhalt eines persönlichen Zertifikats in der DFN-PKI ein vergleichbares Sicherheitsniveau erreicht wie bei der Identifikation zum Erhalt eines Zertifikats zur Ausstellung von qualifizierten elektronischen Signaturen (Vgl. § 5 Abs. 1 S. 1 SigG)."//\\ Gleichwohl dürfen sich diese Zertifikate nicht "qualifiziert" nennen, da bei der Ausstellung keine Behörde wie z.B. die Bundesnetzagentur beteiligt ist. | - wie aufwändig die Zuordnung eines Zertifikates und seines öffentlichen Schlüssels zu seinem Eigentümer (=Antragsteller) kontolliert wird.\\ Gelegentlich werden kostenfreie(!) Zertifikate herausgegeben, die diese Kontrolle nicht durchführen.\\ Die Uni FR CA betreibt eine Registrierungsstelle, bei der sich die Antragsteller persönlich ausweisen müssen, bevor derzen Zertifikatsantrag freigegeben werden kann.\\ Dazu schreibt der DFN:\\ //"In der DFN-PKI werden fortgeschrittene Zertifikate ausgestellt, da für persönliche Zertifikate alle gesetzlichen Anforderungen an fortgeschrittene elektronische Signaturen erfüllt sind. Darüber hinaus muss sich jeder Antragsteller mit einem amtlichen Ausweispapier mit Lichtbild persönlich identifizieren. Damit wird bei der Zuverlässigkeit der Identifikation zum Erhalt eines persönlichen Zertifikats in der DFN-PKI ein vergleichbares Sicherheitsniveau erreicht wie bei der Identifikation zum Erhalt eines Zertifikats zur Ausstellung von qualifizierten elektronischen Signaturen (Vgl. § 5 Abs. 1 S. 1 SigG)."//\\ Gleichwohl dürfen sich diese Zertifikate nicht "qualifiziert" nennen, da bei der Ausstellung keine Behörde wie z.B. die Bundesnetzagentur beteiligt ist.\\ \\ |
| - ob und wie schnell ein ungültig gewordenes Zertifikat gesperrt werden kann und wie rasch diese Information an die Nutzer gelangt.\\ Zertifikate, deren geheimer Schlüssel verloren wurde oder in die falschen Hände geraten ist sollten vorzeitig gesperrt werden können. Die Sperrung wird üblicherweise in Sperrlisten (certificate revocation list, **[[http://de.wikipedia.org/wiki/Zertifikatsperrliste|CRL]]**) veröffentlich, die regelmäßig gelesen bzw. importiert werden müssen oder über ein spezielles Verfahren (z.B. **[[http://de.wikipedia.org/wiki/OCSP|OCSP]]**) online abgefragt werden können.\\ Die Uni FR CA testet zur Zeit OCSP-fähige Zertifikate. | - ob und wie schnell ein ungültig gewordenes Zertifikat gesperrt werden kann und wie rasch diese Information an die Nutzer gelangt.\\ Zertifikate, deren geheimer Schlüssel verloren wurde oder in die falschen Hände geraten ist sollten vorzeitig gesperrt werden können. Die Sperrung wird üblicherweise in Sperrlisten (certificate revocation list, **[[http://de.wikipedia.org/wiki/Zertifikatsperrliste|CRL]]**) veröffentlich, die regelmäßig gelesen bzw. importiert werden müssen oder über ein spezielles Verfahren (z.B. **[[http://de.wikipedia.org/wiki/OCSP|OCSP]]**) online abgefragt werden können.\\ Die Uni FR CA testet zur Zeit OCSP-fähige Zertifikate. |
| |
| |
| Zu 2:\\ | Zu 2:\\ |
| {{ :bilder-netzsicherheit:crl-update.png|}} Web- oder Mailclients sollten den Download von CRLs ermöglichen. Im nebenstehenden Bild sehen Sie das Konfigurationsfenster von Mozilla Firefox, in dem ein täglicher Download eingestellt ist. Damit wird zumindest zugesichert, dass eine veröffentlichte Sperrliste spätestens nach einem Tag beim Browser angekommen ist. Das sagt natürlich nichts darüber aus, wie schnell der Inhaber des Zertifikates mit einer Sperrung reagiert hat.\\ \\ Ein betrübliches Bild liefert beim Firefox wie auch beim Thunderbird die in den Sperrlisteneinträgen genannten Aktualisierungszeiten, denen man hoffentlich nicht glauben muss :-( Da wird nämlich meist von monatlichen Intervallen, z.T. weit in der Vergangenheit, erzählt. Bei der manuellen Aktualisierung widerspricht sich das Programm anschließend selbst. | {{ :bilder-netzsicherheit:crl-update.png|}} Web- oder Mailclients sollten den Download von CRLs ermöglichen. Im nebenstehenden Bild sehen Sie das Konfigurationsfenster von Mozilla Firefox, in dem ein täglicher Download eingestellt ist. Damit wird zumindest zugesichert, dass eine veröffentlichte Sperrliste spätestens nach einem Tag beim Browser angekommen ist. Das sagt natürlich nichts darüber aus, wie schnell der Inhaber des Zertifikates mit einer Sperrung reagiert hat.\\ \\ Ein betrübliches Bild liefert beim Firefox wie auch beim Thunderbird die in den Sperrlisteneinträgen genannten Aktualisierungszeiten, denen man hoffentlich nicht glauben muss :-( Da wird nämlich meist von monatlichen Intervallen, z.T. weit in der Vergangenheit, erzählt. Bei einer manuellen Aktualisierung widerspricht sich das Programm anschließend selbst. |
| <html><br clear="all"></html> | <html><br clear="all"></html> |
| |
