FAQ | SwissSign
Eine Datensicherheitsspezialistin der Schweizerischen Post

Hauptbereich

Häufig gestellte Fragen (FAQ)

Allgemeine Fragen

Die aktuelle Liste der Länder mit Exportbeschränkungen finden Sie hier: swisssign.com/support/exportbeschraenkungen

Zwischenzertifikate auch Intermediate-Zertifikate genannt

Jedes SwissSign Endbenutzerzertifikat wird von einem SwissSign Zwischenzertifikat signiert. Das Zwischenzertifikat wiederum wird vom Rootzertifikat signiert. Damit ein Zertifikat vertrauensvoll erscheint, ist es wichtig, dass die komplette Zertifikatskette z.B. auf dem Webserver vorhanden ist. Die Betriebssysteme und Applikationen haben praktisch alle das Rootzertifikat mit dabei, das/die Zwischenzertifikat(e) muss aber installiert werden. Entweder wird das Endzertifikat auf swisssign.net (bisherige SwissSign CA) oder ra.swisssign.ch (neue SwissSign CA) mit der gesamten Zertifikatskette heruntergeladen, oder es wird das Zwischenzertifikat später nachträglich installiert. 

Rootzertifikate

Jedes SwissSign Endbenutzerzertifikat wird von einem SwissSign Zwischenzertifikat signiert. Das Zwischenzertifikat wiederum wird vom Rootzertifikat signiert. Damit ein Zertifikat vertrauensvoll erscheint, ist es wichtig, dass die komplette Zertifikatskette z.B. auf dem Webserver vorhanden ist. Die Betriebssysteme und Applikationen haben praktisch alle das Rootzertifikat mit dabei. Dennoch kann es für besondere Applikationen notwendig sein, Rootzertifikate zu installieren. Entweder wird das Endzertifikat auf swisssign.net oder ra.swisssign.ch mit der gesamten Zertifikatskette heruntergeladen, oder es wird das Rootzertifikat später nachträglich installiert. 

Das Rootzertifikat ist der Vertrauensanker einer PKI. Die Benutzung eines Rootzertifikats beinhaltet, dass die Benutzerinstanz alle Zertifikate akzeptiert, die von der betreffenden CA ausgegeben wurden.

Weitere Informationen über die CA-Nutzung, die Organisation, die Funktionen, Methoden und Prozesse sind dem SwissSign Certificate Policy CP und Certification Practice Statement (CPS) zu entnehmen: Repository

Sperrlisten

Gesperrte bzw. zurückgezogene Zertifikate werden in sogenannten Sperrlisten publiziert oder in einem Onlinedienst vorgehalten (OCSP), der online und aktuell die Gültigkeit eines Zertifikats beauskunftet.

Einer der gebräuchlichsten Validierungsdienste stellt die Überprüfung der Gültigkeit eines Zertifikats mittels einer sogenannten Zertifikatssperrliste (CRL) dar oder mittels OCSP (Online Certificate Status Protocol) dar.

Wie in der physischen Welt ist es auch in der digitalen Welt gefährlich, wenn man einen Schlüssel verliert oder der Schlüssel, z.B. aufgrund des Weggangs eines Mitarbeiters, keine Gültigkeit mehr hat. Daher werden immer wieder Schlüssel/Zertifikate gemeldet, die gesperrt werden müssen, um Schäden zu verhindern. SwissSign veröffentlicht – wie jede CA – diese Schlüssel/Zertifikate in sogenannten «Certificate Revocation Lists» (CRL).

Die CRL (Widerrufsliste oder Zertifikatssperrliste) enthält alle Seriennummern der Zertifikate, welche vor Ablauf ihrer Zertifikats-Lebensdauer für ungültig erklärt wurden. Bei der Zertifikatsstatusprüfung wird die Liste von einer öffentlichen URL geladen und die Seriennummer des Zertifikats, das geprüft werden soll, in dieser Liste gesucht: Ist es vorhanden, ist das Zertifikat gesperrt, andernfalls ist es gültig.

Revozierte bzw. für ungültig erklärte Zertifikate bleiben auch nach dem im Zertifikat angegeben Ablaufdatum auf der CRL. Grund dafür ist, dass es für die Validierung der Signatur wichtig ist zu wissen, wann ein Zertifikat revoziert wurde.

CRLs werden in der Regel in regelmässigen Abständen aktualisiert. Wie bei den Zertifikaten ist auch bei den CRL die Lebensdauer in der CRL selber festgelegt. Diese Lebensdauer ist massiv länger als die Ausstellungshäufigkeit (mindestens 2 mal pro Tag) vermuten lässt. Damit wird auch der «Fault majeur» abgedeckt. CRLs können lokal zwischengespeichert werden und ermöglichen die Offline-Abfrage eines Zertifikatsstatus. Dabei wird die Verbindung zwischen Zertifikatsinhaber und der Relying Party dem CSP nicht offengelegt. Allerdings gibt es eine relativ hohe Ungenauigkeit bei der Statusabfrage eines Zertifikats.

Eine Alternative bildet der online funktionierende Validierungsdienst OCSP (Online Certificate Status Protocol). Dieser gibt in Echtzeit Auskunft über die Gültigkeit eines Zertifikates. Für den OCSP Einsatz ist eine hohe Performance der CA wichtig. Die SwissSign CA stellt diese hohe Performance sicher und setzt auch für OCSP nur eigene, in der Schweiz entwickelte Software ein. Online-Statusprüfungen werden üblicherweise dort eingesetzt, wo die zeitgenaue Prüfung des Zertifikates wichtig ist – z.B. bei finanziellen Transfers.

Alle unseren Root-CA- und Intermediate-/Zwischen-CA-Zertifikate, sowie die ausgestellten Sperrlisten (CRLs) können unter dem folgenden Link https://www.swisssign.com/support/ca-prod.html heruntergeladen werden.

Gemäss CP/CPS muss die Sperrlistendatei für Zertifikate (CRL) mindestens alle 24 Stunden aktualisiert werden. In der Praxis aktualisiert SwissSign diese häufiger, nämlich auf Stundenbasis.

Grundsätzlich ist eine CRL-Datei zehn Tage gültig, daher enthält diese den Vermerk «Nächstes Update ...» (Erstellungsdatum+zehn Tage). Das ist bedingt durch die Regelung im Force-majeure-Fall: Hier sollte bei Ausfall der Systeme die Sperrlistendatei spätestens nach zehn Tagen wieder aktualisiert werden.

Fragen zur Ausstellung, Installation und Fehlerbehebung

Mein Betriebssystem oder meine Anwendung zeigt mir Fehler an bzw. ich weiss nicht, wie ich das Zertifikat richtig installieren soll.

SwissSign trägt in den FAQs und Dokumentationen bekannte Probleme und deren Lösungen zusammen. Leider können wir keinen direkten Support hierzu leisten. Die Kernkompetenz der SwissSign AG ist die Erstellung standardisierter, vertrauenswürdiger Zertifikate. Da SwissSign weder Applikationen noch Betriebssysteme entwickelt, grenzt sich SwissSign vom Support von Applikationen und Betriebssystemen bewusst ab.

Vielleicht kann Ihnen aber einer unserer Partner bei seiner Applikation weiterhelfen: SwissSign Partner

Die Rootzertifikate von SwissSign werden in den am häufigsten genutzten Browsern installiert. Aktualisieren Sie Ihren Browser mit der neuesten Version und installieren Sie die neuesten Rootzertifikate von der Windows-Update-Seite. 

Informationen zur Kompatibilität und Verbreitung der SwissSign Rootzertifikate finden Sie hier: Kompatibilität | SwissSign

SwissSign erlaubt die Generierung eines eigenen Schlüsselpaares – privater und öffentlicher Schlüssel bei allen Angeboten. Die Mindestlänge des Schlüssels muss 2048 Bit sein.

Es ist zudem möglich, dass Ihr Webserver nicht die vollständige Zertifikatskette an Clients sendet. Dieses Problem lösen Sie mit der Funktion «SSLCertificateChainFile» in der Apache-Konfiguration.

Mit SwissSign SSL Zertifikaten erwerben Sie unlimitierte Serverlizenzen. Im Gegensatz zu den meisten anderen SSL Zertifikaten können Sie Ihr SwissSign SSL unbegrenzt nutzen.

Zertifikate samt privatem Schlüssel (.p12, PKCS#12)*

*Dieses Verfahren ist für SSL Zertifikate nicht anwendbar! 

.p12- oder PKCS#12-Formate enthalten ein öffentliches Zertifikat und den privaten Schlüssel (passwortgeschützt). Die Dateien .p12 oder PKCS#12 werden zum Beispiel zum Installieren in E-Mail-Programmen, Betriebssystemen und Webservern verwendet.

Bei Webservern ist die gesamte Zertifikatskette zu installieren. Die CA, die das Zertifikat ausgibt, vertraut typischerweise einer höher angesiedelten CA, die z.B. wiederum dem Rootzertifikat der SwissSign vertraut. Nur das Zertifikat der Root-CA der SwissSign ist bei allen Browsern anerkannt. Bitte laden Sie deshalb die Zertifikate der Zwischen-CAs auf der Download-Seite herunter und installieren Sie diese ebenfalls. Dies betrifft nur Personen, die einen Webserver installieren, und nicht Endnutzer.


Zertifikate ohne privaten Schlüssel

  • .cer: DER- oder BASE64-codiert
  • .crt: DER- oder BASE64-codiert
  • .pem: Base64-kodiertes Zertifikat, umschlossen von «-----BEGIN CERTIFICATE-----» und «-----END CERTIFICATE-----»
  • .p7b (Zertifikatskette): Zertifikate im Base64-kodierten ASCII-Format (z.B. für Windows OS, Java Tomcat)
  • .p7c (Zertifikatskette): PKCS#7-signierte Datenstruktur ohne Dateninhalt, nur mit Zertifikat/en inklusive der gesamten Zertifikatskette (z.B. für Windows OS, Java Tomcat)
  • .pem (Zertifikatskette): Base64-kodiertes Zertifikat inklusive kompletter Zertifikatskette (z.B. für Apache und ähnliche Plattformen)

Das Format .pfx ist deckungsgleich mit dem .p12-Format. Laden Sie das .p12-Format herunter und benennen Sie die Extension der Datei in .pfx um.

Wenn Sie das Passwort des privaten Schlüssels vergessen oder verlieren, kann SwissSign Ihnen leider nicht weiterhelfen. Das Passwort kann nicht wiederhergestellt oder zurückgesetzt werden. Es bleibt Ihnen leider nichts anderes übrig, als ein neues Zertifikat zu beantragen und das Passwort gut zu verwahren.

  • Erstellen Sie auf dem Synology-System einen CSR – einen Zertifikatsantrag –, damit ist dann auch gleich das Schlüsselpaar auf dem Synology-Server erstellt.

  • Nach der Ausstellung laden Sie von swisssign.net das Zertifikat im Format .pem herunter. Alle anderen Formate können Fehlermeldungen provozieren wie z.B.: «Die Dateikodierung muss als UTF-8 gespeichert werden.»

  • Laden Sie zudem das Zwischenzertifikat (Typ G22) von der Downloadseite herunter.

  • Nun können Sie auf dem Synology-Server die Dateien «privater Schlüssel» (lokal erzeugt) sowie das Zertifikat im .pem-Format und das Zwischenzertifikat im .perm-Format laden.

Dies kann grundsätzlich zwei Ursachen haben:

  • Beim Aufsetzen einer SSL-Verschlüsselung oder auch in E-Mail-Systemen ist vergessen worden, ein Zwischenzertifikat zu installieren. Siehe FAQ «Mein Zertifikat läuft auf meinem Betriebssystem oder Browser nicht, obwohl SwissSign diese unterstützt».

  • Der Kunde betreibt in seinem Proxy eine sogenannte «SSL Inspection». Diese Funktionalität bricht die verschlüsselte Verbindung auf und prüft die Kommunikation auf nicht zugelassene Inhalte oder sogar Malware beim Download. SSL Inspection arbeitet in der Regel mit nicht vertrauenswürdigen, eigenen Zertifikaten. Somit sind nicht nur Seiten mit SwissSign Zertifikaten, sondern auch andere Seiten betroffen. Abhilfe schafft das Herauskonfigurieren der betreffenden Seite im Proxy.

Häufig basieren diese Probleme nicht auf fehlenden oder fehlerhaften Root-Zertifikaten in den Betriebssystemen oder Browsern, sondern es wurde beim Aufsetzen einer SSL-Verschlüsselung oder auch in E-Mail-Systemen vergessen, ein Zwischenzertifikat zu installieren.

Zertifikate sind hierarchisch angeordnet: Das Zertifikat selber vertraut einem Zwischenzertifikat, ggfs. vertraut dieses einem weiteren Zwischenzertifikat usw. Schliesslich vertrauen die Zwischenzertifikate auch wieder den Root-Zertifikaten, die in den Browsern und Betriebssystemen gelistet sind. Da die Browser und Betriebssysteme nur die Root-Zertifikate enthalten, ist die Vertrauenskette ohne Zwischenzertifikate unterbrochen.

Im Windows-Umfeld kommen diese Probleme seltener vor, da Microsoft Windows bzw. die Windows-Browser versuchen, Zwischenzertifikate zwischen zu speichern, sobald eine Seite z.B. mit korrekter Installation eines SwissSign Zertifikates einmal aufgerufen wurde. Diese Zwischenspeicherung wird dann automatisch herangezogen, wenn das Zwischenzertifikat nicht korrekt installiert wurde, und der «Fehler» fällt dem Anwender gar nicht auf.

Bei Linux hingegen fällt die fehlende Konfiguration sofort auf. Abhilfe schaffen der Download der gesamten Zertifikatskette und die Installation der Zertifikatskette inklusive Zwischenzertifikaten:

Anleitung für bisherige CA (swisssign.net):

  • Öffnen Sie hierzu den Link, den Sie bei der Zertifikatsausstellung erhalten haben, um die Zertifikate herunterzuladen. Alternativ können Sie auch Ihr Zertifikat auf swisssign.net suchen und dann die Schaltfläche «Herunterladen» betätigen.
  • In den angebotenen Downloadformaten wählen Sie die Datei mit der Endung .p7c oder .pem (ganze Zertifikatskette). Alle anderen Downloads – auch die .p12-Datei – enthalten keine Zwischenzertifikate.

Anleitung für neue CA (ra.swisssign.ch):

  • Öffnen Sie hierzu den Link, den Sie bei der Zertifikatsausstellung erhalten haben, um die Zertifikate herunterzuladen. Alternativ können Sie auch Ihr Zertifikat auf ra.swisssign.ch, Menü «Bestellungen und Zertifikate» suchen.
  • Sieh haben dann die Möglihchkeit, das Zertifikat herunterzuladen:
    • Im PEM- bzw. base64-Format
    • Direkt im DER-Format
    • Als Zertifikatskette (PKCS#7-Format)

Allgemeine Fragen zu digitalen Zertifikaten

In der elektronischen Welt erhält der Begriff Vertrauenswürdigkeit eine neue Dimension. Benutzer müssen in der Lage sein, den Kommunikationspartner eindeutig zu identifizieren.

Ein digitales oder elektronisches Zertifikat (Certificate) ist eine elektronische Bescheinigung, die einen Signaturprüfschlüssel mit dem Namen einer Person, Organisation oder eines Servers verknüpft. Oder anders: Bei einem Zertifikat handelt es sich um eine nicht veränderbare «elektronischen Identitätskarte», die der Benutzer für die Identifikation und/oder Verschlüsselung im Internet verwenden kann.

Identifikation: Zertifikate werden verwendet,

  •  um den Sender von Informationen zu identifizieren.
  •  um den Server, mit dem sich ein User verbindet, zu identifizieren.
  •  um den User, der sich mit einem Server verbindet, zu identifizieren.

Verschlüsselung: Digitale Zertifikate enthalten den öffentlichen Schlüssel des Zertifikats-Inhabers. Dieser kann von seinem Gegenüber benutzt werden, um eine E-Mail oder ein Dokument zu verschlüsseln, das über das Internet versendet wird.

Zertifikate spielen auch eine wichtige Rolle bei sicheren Web-Transaktionen wie https (SSL Zertifikate).

Es gibt verschiedene Typen von digitalen Zertifikaten. Das minimale Set enthält Folgendes:

  • Den öffentlichen Schlüssel des Zertifikatsinhabers (Person, Computer/Maschine oder Organisation)

  • Informationen zum Zertifikatsinhaber

  • Information zum Herausgeber des Zertifikats, also zur CA oder zur Organisation, die das Zertifikat ausgeliefert hat.

  • Digitale Signatur dieses Zertifikats durch den Herausgeber

  • Auslieferungs- und Auslaufdatum des Zertifikats

  • Seriennummer des Zertifikats

  • Zertifikate von SwissSign enthalten noch Angaben zur CP und CPS.

Der Gebrauch von Zertifikaten garantiert Ihnen Sicherheit, Datenschutz und Vertrauen. Zertifikate werden bei verschiedenen Anwendungen eingesetzt. Zum Beispiel bei Secure E-Mail, E-Business, E-Government, E-Health usw. 

Auf der Webseite zu unseren Partner-Lösungen erfahren Sie mehr.

Das Public Key Verfahren ist ein asymmetrisches, kryptographisches Verfahren, bei dem ein Schlüsselpaar zum Einsatz kommt. Dieses kryptographisches Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Daten, die mit einem dieser Schlüssel verschlüsselt wurden, können nur mit dem anderen Schlüssel wieder entschlüsselt werden. Diese kryptographische Methode kann nun sowohl für Verschlüsselung als auch für technische Signaturen genutzt werden.

Im Falle der Verschlüsselung werden die Daten für den Empfänger mit dem öffentlichen Schlüssel (Public Key, Schlüssel im Zertifikat) verschlüsselt, und können nun nur noch durch den entsprechenden privaten Schlüssel entschlüsselt werden.

Im Falle der technischen Signatur werden die Daten für den Empfänger durch den privaten Schlüssel des Senders verschlüsselt und können dann durch den Empfänger mit Hilfe des öffentlichen Schlüssels geprüft werden.

Der öffentliche Schlüssel/Public Key ist öffentlich über das Zertifikat zugänglich. Dieser Schlüssel wird zur Verschlüsselung von Daten oder zur Bestätigung der digitalen Signatur des Unterzeichners (Identifikation) verwendet. Mit dem öffentlichen Schlüssel verschlüsselte Daten können nur mit dem zugehörigen privaten Schlüssel entschlüsselt werden.

Der private Schlüssel/Private Key ist nur dem Zertifikatsinhaber bekannt bzw. darf nur ihm zugänglich sein. Er wird für die Entschlüsselung von Daten und zur Erstellung einer digitalen Signatur verwendet.

Das Zertifikat enthält einen Eintrag «Key Usage». Dieses Feld definiert die Verwendung für das Zertifikat. Mögliche Einträge für die Key Usage sind: Digitale Signatur, Non-Repudiation/Content-Commitment (Nicht-Abstreitbarkeit bzw. Verpflichtung auf den Inhalt), Key Agreement (Schlüsselvereinbarung), Verschlüsselung und/oder Datenverschlüsselung.

Jedes digitale Zertifikat durchläuft den folgenden Lebenszyklus:

  • Zertifikats-Antrag: Ein Benutzer beantragt ein Zertifikat.

  • Antrags-Prüfung: Die Registration Authority (RA) prüft die Identität des Benutzers/Antragstellers.

  • Generierung/Ausstellung der Zertifikate: Die Certificate Authority (CA) stellt das Zertifikat aus. Dieses Zertifikat enthält Angaben zum Inhaber, zum Herausgeber, der erlaubten Nutzung und dessen Lebensdauer (gültig von und gültig bis)

  • Revokation/Ungültigkeit: Das Zertifikat wird vor dem Verfall revoziert bzw. für ungültig erklärt.

  • Zertifikats-Laufzeitende: Die Lebensdauer des Zertifikats ist abgelaufen.

  • Zertifikats-Renewal bzw. «Rekey»: Erneuerung des Zertifikats.

Vertrauen ist das grundlegende Prinzip in jedem Sicherheits-Modell. Dies ist auch bei der Public Key Infrastruktur (PKI) der Fall. Um mit Zertifikaten überhaupt arbeiten zu können, müssen Sie der CA, die das Zertifikat ausgestellt hat, vertrauen.

PKIs sind immer hierarchisch organisiert. Die oberste Ebene der Hierarchie (Root) muss ausdrücklich als vertrauenswürdig hinterlegt sein, so dass dem Inhalt des entsprechenden Root-Zertifikats (Stammzertifikate) vertraut wird.

Die SwissSign Root-Zertifikate sind als vertrauenswürdig anerkannt, d.h. sie sind in u.a. folgenden Root Trust Stores hinterlegt: Microsoft, Mozilla (NSS) und Apple OS X. Anbei sehen Sie die Verbreitung der SwissSign Root-Zertifikate.

Dem Endnutzer dieser Anwendungen werden deshalb die SwissSign Zertifikate als vertrauenswürdig angezeigt. Sobald also das Root-Zertifikat einer PKI als vertrauenswürdig hinterlegt ist, kann jedes Unter-Zertifikat dieses hierarchischen Stammes sicher überprüft werden.

Einer CA wie SwissSign zu vertrauen bedeutet zudem, den verschiedenen zur PKI gehörigen Prozessen zu vertrauen, wie etwa der Benutzerregistrierung oder der Zertifikatsvalidierung (CRL, OCSP). Die Certificate Policy und Certification Practice Statements (CP/CPS) bringen dabei Transparenz in die Prozesse und helfen das Vertrauen zu stützen. So bestimmen Sie Ihr Vertrauen in die SwissSign CA, indem Sie die entsprechenden CP/CPS lesen. SwissSign ist zudem eine nach Schweizer Recht qualifizierter Zertifizierungsdienstanbieter (CSP), welcher die Anforderungen des Schweizerischen Bundesgesetzes über die elektronische Signatur (ZertES) erfüllt. Das ZertES seinerseits entspricht den strengsten internationalen Standards auf diesem Gebiet.

Importieren Sie schliesslich auch die entsprechenden SwissSign Root-Zertifikate in Ihre Programme, um das Vertrauensverhältnis aufzusetzen.

Eine Public Key Infrastructure (PKI) ist eine Infrastruktur bzw. eine Umgebung, in der verschiedene Anwendungen und Funktionen mit kryptographischen Schlüsseln (öffentliche und private Schlüssel) und Zertifikaten ausgeführt werden. Diese Anwendungen reichen von Zugangskontrollen und sicheren E-Mail-Anwendungen bis hin zu verschiedenen Arten von digital signierten Informationen im Zusammenhang mit der CA oder RA.

Eine Certificate Authority (CA) ist eine Anbieterin von Zertifizierungsdiensten oder eine Zertifizierungsstelle – eine «Trusted Third Party». Teils ist auch von einem Zertifizierungsdienstanbieter/Certification Service Provider (CSP) die Rede.

SwissSign ist eine CA – eine Stelle, die im Rahmen einer elektronischen Umgebung Daten von Personen, Organisationen oder Maschinen bestätigt und zu diesem Zweck digitale Zertifikate ausstellt.

Eine Registration Authority/Registrierungsstelle (RA) ist ein Dienst von SwissSign, der darin besteht, die Identität und wenn nötig die Attribute jedes Antragstellers eines Zertifikats zu überprüfen, bevor die CA das entsprechende Zertifikat erzeugt oder die Daten zur Aktivierung der Nutzung des Signaturschlüssels zuweist.

Die Zertifizierungspolitik/Certificate Policy (CP) ist ein Dokument des Zertifizierungsdienstanbieters (CSP), das die für einen Zertifikatstyp geltenden Regeln beschreibt («Was soll erreicht werden»). Es umfasst die Gesamtheit von Regeln, welche die Anwendbarkeit eines Zertifikats für einen bestimmten Personenkreis und/oder eine Klasse spezieller Anwendungen mit gemeinsamen Sicherheitsanforderungen vorschreiben. Es dient Dritten zur Analyse der Vertrauenswürdigkeit.

Das CPS macht Aussagen über die Zertifizierungspraxis, d.h. wie die Anforderungen umgesetzt werden.

CP und CPS bilden die rechtliche Basis für die Beziehung zwischen den Zertifikatsinhabern und SwissSign.

Sie finden diese Dokumente im SwissSign Repository.

Hersteller von Browsern, Betriebssystemen, Mailclients und anderen Softwares, die Zertifikate auswerten, müssen ein Programm pflegen, in dem sie die CSPs verwalten, die sie ihren Kunden als vertrauenswürdige CSPs empfehlen (Rootstore Programm).

Die Pflege eines eigenen Rootstore Programmes ist aufwendig. Es umfasst die Pflege der Anforderungsdokumente und der aufgenommen CSPs. Das Pflegen der minimalen Anforderungsdokumente übernimmt deshalb das CA Browser Forum. In diesem Gremium sind die Rootstore Progamm-Pfleger (Software Hersteller) und die CSPs vertreten und erarbeiten und pflegen gemeinsam die Anforderungsdokumente.

Heute basieren immer mehr Rootstore Programme auf den «Baseline Requirements» des CA Browser Forums. www.cabforum.org

Über das «Certificate Transparency» (CT) -Sicherheitsverfahren sollen fehlerhaft arbeitende Zertifizierungsstellen identifiziert und aus der abgesicherten Internetkommunikation ausgeschlossen werden. Das von Google Chrome vorangetriebene Verfahren ist ein wichtiger Eckpfeiler der vertrauenswürdigen Internetkommunikation.

Grundidee: In einem kryptografisch geschützten Log-System sollen alle für die sichere Internet-kommunikation genutzten Zertifikate registriert und von mindestens 3 weltweit verteilten, zentralen Log-Servern verwaltet werden. Nachträgliche Veränderungen, Auffällige und unzulässige Registrierungen, falsche Zertifikate, Ergänzungen oder sonstige Manipulationen eines einmal registrierten Zertifikats wären damit ausgeschlossen bzw. würden von jedem Browser umgehend erkannt.

SwissSign unterstützt mit ihren SSL-Zertifikaten vollumfänglich Certificate Transparency.

In der entsprechenden CP/CPS des Herausgebers können Sie nachlesen, mit welcher Qualität der Zertifikatsinhaber (Absender) durch den Herausgeber identifiziert wurde. So ist die Authentizität des Absenders durch eine gültige und vertrauenswürdige Signatur gegeben. Gesundes Misstrauen ist aber trotzdem angezeigt bei unbekannten Absendern, besonders wenn der Herausgeber der Signatur ebenfalls nicht bekannt ist.

E-Mails werden mit dem Public Key (öffentlicher Schlüssel) des Empfängers verschlüsselt und dem Private Key (privater Schlüssel) des Empfängers entschlüsselt. Signiert wird mit dem Zertifikat.

  • Zertifikate bzw. das Passwort zum privaten Schlüssel können verlorengehen. Die mit diesem Zertifikat verschlüsselten E-Mails können nie mehr und durch niemanden mehr gelesen werden.

  • Zertifikate werden erneuert, aber es wird vergessen, das abgelaufene alte Zertifikat ebenfalls noch zu installieren. Alle alten aufbewahrten E-Mails können nicht mehr gelesen werden. Zugriff nach Zertifikats-Ablauf

  • Ein Mitarbeitender verlässt die Firma oder ist längere Zeit abwesend. Seine E-Mails können durch keinen anderen mehr gelesen werden.

  • Ein Virus oder Trojaner wird mit einer verschlüsselten E-Mail zugesendet. Kein Virenschutzprogramm kann eine verschlüsselte E-Mail durchsuchen, der Virus oder Trojaner kann ungestraft eindringen. Somit kann Verschlüsselung in diesem Falle sogar ein Sicherheitsrisiko bedeuten.

Das SSL Zertifikat mit seinen asymmetrischen Schlüsseln wird nur für die eindeutige und sichere Identifikation des Servers, für die gegenseitige Authentisierung verwendet. Bei Legacy-Anwendungen wird das Zertifikat auch für Verschlüsselung verwendet.

Die Zertifikatsausstellung richtet sich nach der Norm RFC 5280. Die neuere Norm sieht den Eintrag im Subject Distinguished Name vor als auch im Subject Alternative Name (SAN). Insbesondere auf letzteres achten die meisten Mailapplikationen am Markt. Die Platzierung der E-Mail-Adresse im emailAddress Attribut des Subject distinguished Name ist veraltet und wird von SwissSign nicht mehr genutzt.

RFC steht für «Request for Comments». RFCs sind eine Reihe technischer und organisatorischer Dokumente des RFC-Editors, die allgemein und international als Internet Standards akzeptiert werden. Das RFC System wurde bereits 1969 initiiert.

Mehr Informationen siehe www.rfc-editor.org.

Fragen zum SwissSign Managed PKI Service

Bitte folgen Sie den Angaben auf der folgenden Webseite: Managed PKI Service | SwissSign

Für den Zugriff auf Ihre neue MPKI brauchen Sie ein SwissID Login mit entsprechender 2-Faktoren Autorisierung.

Beachten Sie dabei, dass Sie für das Login zwingend die E-Mail Adresse nutzen müssen, die Sie in den Bestellunterlagen zu Ihrer MPKI angegeben haben.

Auf dieser Seite finden Sie eine Schritt-für-Schritt Anleitung zur Erstellung Ihrer SwissID. 

Stellen Sie sicher, dass Sie das Onboarding auf die SwissID gemäss dieser Anleitung ausgeführt haben. 

Stellen Sie sicher, dass die SwissID mit der gleichen E-Mail Adresse registriert wurde, die in den Vertragsunterlagen unter der Rubrik «RA Operatoren» angegeben wurde.

Allenfalls wurde Ihre Identifikation zur manuellen Überprüfung an unser Back-Office weitergeleitet. Sie erhalten eine E-Mail, sobald die Identifikation erfolgreich abgeschlossen werden konnte.

Ja, das ist möglich. Senden sie uns den gescannten und wenn notwendig unterschriebenen Vertrag zusammen mit den kompletten Antragsunterlagen an [email protected]

Alternativ können Sie uns die Bestellung auch wie bis anhin auf dem Postweg zustellen:

SwissSign AG
Sales & Partner Management
Sägereistrasse 25
8152 Glattbrugg Schweiz

Der Eingang der Bestellung wird von SwissSign per E-Mail bestätigt.

Das Einsenden des Dokuments «Vertrag und Bestellung Managed PKI Services» gilt als verbindliche Bestellung einer zahlungspflichtigen Leistung. Vertragslaufzeit und Verrechnungsperiode beginnen mit dem Datum der Bestellung.

Die Leistungsperiode der Managed PKI beträgt immer ein Jahr und verlängert sich automatisch um ein Jahr, wenn der Vertrag nicht gekündigt wird. Bei Vertragskündigung werden die noch aktiven Zertifikate auf den Kündigungstermin zurückgezogen (revoziert).

Domänen-Angaben

Die Angabe der SSL oder E-Mail-Domänen erfolgen ohne Zuordnung zu einem speziellen Zertifikatstyp. Das heisst, Sie können später für alle genannten SSL Domänen ein beliebiges SSL Zertifikat, das Sie bestellt haben, ausstellen. Analog können die bestellten E-Mail ID Zertifikate für alle genannten E-Mail Domänen ausgestellt werden.

Domänenzugriffsberechtigung

Sie weisen Ihre Zugriffsberechtigung durch Publikation eines Random value (Geheimnis) nach (im DNS), welches Sie über den MPKI-Zugang beziehen.

Veröffentlichung von Zertifikaten

SwissSign führt auf directory.swisssign.ch ein allgemeines Verzeichnis aller veröffentlichten E-Mail Zertifikate (via LDAP-Protokoll erreichbar). Dieses Verzeichnis ist öffentlich und vergleichbar mit einem Telefonbuch. Gerade für eine verschlüsselte E-Mail-Kommunikation ist das sinnvoll, damit Ihr Kommunikationspartner mit Ihrem im Zertifikat befindlichen öffentlichen Schlüssel die Nachrichten an Sie verschlüsseln kann.

Das öffentliche Verzeichnis kann durch Parametereingabe direkt in die E-Mail-Programme eingebunden werden, um die Verschlüsselung innerhalb der E-Mail-Programme durch automatisierten Abruf der Zertifikate durchzuführen.

Falls Sie Ihre Zertifikate nicht im Verzeichnis aufgeführt haben möchten, wählen Sie den Auswahlknopf «Ich möchte meine Zertifikate nicht veröffentlichen.». Sie können diese Einstellung auch nachträglich gegen eine Gebühr von 150 CHF resp. 135€ ändern lassen.

LDAP-Parameter:

  • Verzeichnis: directory.swisssign.ch.
  • Suchbasis: ‹o=SwissSign AG,c=CH›.

DV SSL Silver Zertifikate

Zertifikate der Stufe DV bzw. Silver werden als domänenvalidiert ausgewiesen. Im Zertifikat ist nur die E-Mail- oder Webserver-Adresse eingetragen. Sie können zudem auch den Organisationsnamen beinhalten. Eine Verschlüsselung und Signatur bei E-Mail-Zertifikaten ist möglich, aber keine Authentisierung. Zertifikate der Stufe DV sind in den MPKI Produkten DV, OV und EV enthalten.


OV SSL Gold Zertifikate

Zertifikate der Stufe OV / Gold werden als organisationsvalidiert oder personenvalidiert ausgewiesen. Es besteht ein Organisationseintrag und bei E-Mail (S/MIME) Zertifikaten ein Personeneintrag im Zertifikat. Zertifikate der Stufe OV sind in den MPKI Produkten OV und EV enthalten.


EV SSL Gold Zertifikate

Sie können im Rahmen der Managed PKI auch EV SSL Gold Zertifikate für Ihr Unternehmen ausstellen. Diese werden gründlich organisationsvalidiert. Zertifikate der Stufe EV sind im MPKI Produkt EV enthalten.

Bitte beachten Sie, dass für Zertifikate mit Organisationseintrag immer eine eigene Bestellung bzw. Annahmeerklärung eingereicht werden muss.

Probleme beim Login auf Ihren SwissSign Managed PKI Service

Für den Zugang zu Ihrer MPKI muss Ihre SwissID auf ein höheres Vertrauensniveau gehoben werden. Wie das geht, erfahren Sie unter dem folgenden Link, der Ihnen Schritt-für-Schritt hilft, Ihre Identität zu verifizieren:

https://www.swisssign.com/support/dokumentationen/ra-operator-onboarding.html

Das Anlegen eines SwissID Kontos braucht nur wenige Minuten. Wichtig ist, dass Sie dabei als MPKI Operator immer die E-Mail-Adresse nutzen, die in der MPKI Bestellung im Abschnitt «RA Operatoren» hinterlegt wurde. Danach folgen Sie bitte der Schritt-für-Schritt Anleitung unter folgendem Link:

https://www.swisssign.com/support/dokumentationen/ra-operator-onboarding.html

Wenn Sie sich als MPKI Operator plötzlich nicht mehr auf Ihrer MPKI einloggen können, kann das damit zusammenhängen, dass die letzte Überprüfung Ihrer Identität bereits vor mehr als einem Jahr stattgefunden hat und deshalb eine Re-Identifikation notwendig ist. Bitte beachten Sie, dass Sie kein neues SwissID Konto anlegen müssen und direkt auf der SwissID App mit der Identifikation starten können. Beginnen Sie direkt in Kapitel 2 der Schritt-für-Schritt Anleitung unter dem folgenden Link:

https://www.swisssign.com/support/dokumentationen/ra-operator-onboarding.html