Hauptbereich
Information für SwissSign-MPKI-Kunden
Das Regulierungsorgan für Public-Key-Zertifikate im Internet, das CA/Browser Forum, ist stetig darum bemüht, die Sicherheitsanforderungen an solche Zertifikate so zu gestalten, dass sie den aktuellen Gefahren im Internet standhalten. In diesem Sinne wurden auch dieses Jahr erhöhte Sicherheitsanforderungen beschlossen. Diese haben Auswirkungen auf die Ausstellung zukünftiger Zertifikate. Insbesondere beim Nachweis zum Besitz eines Domain-Namens für die Ausstellung von SSL-/TLS-Zertifikaten werden diese Änderungen in Kraft treten.
Frequenz zum Beweis des Besitzes eines Domain-Namens
Bisher musste der Nachweis für den Besitz eines Domain-Namens nur für die Ausstellung von sogenannten «Extended Validation» (EV) Zertifikaten jährlich erbracht werden. Neu muss diese Beweisführung für die Ausstellung aller SSL-/TLS-Zertifikaten jährlich durchgeführt werden.
-
Die Umstellung wird im September 2021 eingeführt werden. Für Details bezüglich der Änderungen der Vorgaben siehe https://cabforum.org/2021/04/22/ballot-sc42-398-day-re-use-period/
Methode zum Beweis des Besitzes eines Domain-Namens
Der Beweis wird mittels der kundenseitigen Publikation eines durch SwissSign als Anbieter erzeugten Zufallswerts («secret») durchgeführt. Als Managed-PKI-Kunde konnten Sie bisher auf zwei Methoden für diese Publikation zurückgreifen:
-
Publikation im Domain Name System (DNS)
-
Publikation in einer Text-Datei. Diese wird auf dem Webserver veröffentlicht, welcher unter diesem Domain-Namen erreichbar ist.
Neu wird die 2. Methode (Text-Datei) leider nicht mehr für alle Zertifikatstypen gültig sein. Wir müssen deshalb diese Beweisführung zukünftig auf die 1. Methode (DNS) beschränken, damit Sie als Kunde weiterhin vom ganzen Angebotsumfang profitieren können.
-
Die Umstellung wird im November 2021 eingeführt werden. Für Details bezüglich der Änderungen der Vorgaben siehe https://cabforum.org/2021/06/03/ballot-sc45-wildcard-domain-validation/
Abteilungsnamen: Die Möglichkeit, Abteilungsnamen (technisch: Attribut «Organizational Unit» - OU) zusätzlich zum Organisationsnamen in Zertifikate aufzunehmen, entfällt endgültig. Wir bitten Kunden, welche bisher von dieser Möglichkeit Gebrauch gemacht haben, zukünftig darauf zu verzichten. Für Kunden, welche bereits auf das OU-Attribut verzichten, entsteht kein Handlungsbedarf.
-
Die Umstellung wird im Laufe des Jahres 2022 eingeführt werden. Für Details bezüglich der Änderungen der Vorgaben siehe https://cabforum.org/2021/06/30/ballot-sc47v2-sunset-subjectorganizationalunitname/
Diese oben aufgeführten Änderungen bedürfen gegebenenfalls einer Anpassung Ihrer Abläufe. Die Vorgaben betreffen aber nur zukünftige Zertifikatsbezüge. Bisher ausgestellte Zertifikate mit korrekten Inhalten behalten ihre Gültigkeit.