Hauptbereich

Häufig gestellte Fragen

Bestellung und Kauf

Wie kann ich das E-Mail zur Bestätigung bzw. Genehmigung meiner E-Mail Adresse oder Domäne nochmals auslösen?

SSL Silver Zertifikate und Personal ID Silver Zertifikate können Sie selber genehmigen, indem Sie im zugstellten E-Mail den Genehmigungslink aktivieren. Manchmal wird dieses E-Mail bereits ausgelöst, bevor der notwendige E-Mail Account erstellt wurde.

Sie können dieses E-Mail nochmals auslösen, indem Sie wie folgt vorgehen:
a) Loggen Sie sich in Ihrem Konto auf swisssign.net ein und betätigen die Schaltfläche «Suchen». 
b) Sofern Sie kein Konto auf swisssign.net haben: Geben Sie im Suchfeld die zugrundeliegende Lizenz für den Zertifikatsantrag ein und betätigen die Schaltfläche «Suchen».

In beiden Fällen wird der Zertifikatsantrag in einer Ergebnistabelle angezeigt. Neben Ihrem Eintrag finden Sie die Schaltfläche «Attribute». Betätigen Sie diese. Auf der nachfolgenden Seite können Sie über eine Schaltfläche unter der Sektion «Genehmigung» die «E-Mail zum Eigentumsnachweis» erneut senden.

Zusendung von Unterlagen mit DPD, UPS oder mit einem anderen Kurier- oder Expressdienst

Sie können Ihre Unterlagen zu einem Zertifikatsantrag auch gerne mit Kurier einreichen. Bitte verwenden Sie hierfür folgende Adresse: SwissSign Group AG, Kundendienst, Sägereistrasse 25, CH-8152 Glattbrugg.

Ich habe bereits ein SwissSign Zertifikat erworben. Muss ich für ein weiteres nochmals alle Unterlagen einreichen?

Die hohen Sicherheitsstandards im Zertifikatsgeschäft verlangen, dass Sie die Unterschriften der bevollmächtigten Personen bei einem weiteren Zertifikatsantrag erneut einholen und uns zusammen mit den entsprechenden Kopien der IDs/Pässe zukommen lassen.

Um den Prozess bei einem mehrfachen Kauf von Zertifikaten zu vereinfachen, können Sie sich von den Verantwortlichen Ihrer Organisation bevollmächtigen lassen: Vollmachtsformular (PDF, 106 KB). Bitte weisen Sie bei jeder Bestellung auf diese Vollmacht hin oder fügen Sie eine Kopie bei.

Ab einem Bestellvolumen von CHF 1000 und einem mehrfachen Kauf lohnt sich für Sie auch unser Managed PKI Zertifikat Service.

Ich habe das E-Mail zum Eigentumsnachweis der Domäne nicht erhalten.

Bei SSL Silver und Personal ID Silver Zertifikaten wird eine elektronische Validierung via E-Mail an die gewünschte Adresse durchgeführt. Diese E-Mail läuft ins Leere, wenn Sie zum Beispiel das E-Mail-Konto erst nach dem Antrag einrichten.

Sie haben auf swisssign.net ein Konto erstellt? Dann gehen Sie bitte wie folgt vor:

  • Loggen Sie sich auf swisssign.net ein.
  • Suchen Sie nach dem gewünschten Zertifikatsantrag. Wenn Sie im Suchfeld keine Parameter eingeben und auf «Suchen» klicken, werden Ihnen alle Ihre Zertifikate und Zertifikatsanträge angezeigt.
  • Klicken Sie neben dem gewünschten Zertifikatsantrag auf «Attribute».
  • Es wird ein neues Fenster mit dem Abschnitt «Genehmigung» angezeigt.
  • Wählen Sie hier «E-Mail zum Eigentumsnachweis senden».
  • Die Validierungs-E-Mail wird nun erneut zugestellt.


Sie haben auf swisssign.net kein Konto erstellt? Dann gehen Sie bitte wie folgt vor:

  • Loggen Sie sich in Ihr Webshop-Benutzerkonto auf swisssign.com ein und gehen Sie weiter zu Ihren Lizenzen.
  • Wählen Sie die gewünschte Lizenz aus und klicken Sie auf «Code aktivieren».
  • Da Sie die Lizenz bereits in einen Zertifikatsantrag verwandelt haben, erhalten Sie nun folgende Fehlermeldung: «Ein Zertifikat bereits angefordert».
  • Wählen Sie nun unterhalb der Fehlermeldung den Link «Suchen Sie nach bereits gestellten Anforderungen». Sie werden auf swisssign.net weitergeleitet.
  • Sie erhalten nun das Suchfenster mit Ihrem hängigen Zertifikatsantrag angezeigt.
  • Klicken Sie neben dem gewünschten Zertifikatsantrag auf «Attribute».
  • Es wird ein neues Fenster mit dem Abschnitt «Genehmigung» angezeigt.
  • Wählen Sie hier «E-Mail zum Eigentumsnachweis senden».
  • Die Validierungs-E-Mail wird nun erneut zugestellt.
Ich möchte das Antragsformular nochmals ausdrucken.

Sie haben auf swisssign.net ein Konto erstellt? Dann gehen Sie bitte wie folgt vor:

  • Loggen Sie sich auf swisssign.net ein.
  • Suchen Sie nach dem gewünschten Zertifikatsantrag. Wenn Sie im Suchfeld keine Parameter eingeben und auf «Suchen» klicken, werden Ihnen alle Ihre Zertifikate und Zertifikatsanträge angezeigt.
  • Wählen Sie neben dem gewünschten Zertifikatsantrag «Attribute».
  • Es wird ein neues Fenster mit dem Abschnitt «Genehmigung» angezeigt.
  • Klicken Sie auf den Link neben «Registrierungsdokument».
  • Das Antragsformular wird nun erneut angezeigt.


Sie haben auf swisssign.net kein Konto erstellt? Dann gehen Sie bitte wie folgt vor:

  • Loggen Sie sich in Ihr Webshop-Benutzerkonto auf swisssign.com ein und gehen Sie weiter zu Ihren Lizenzen.
  • Wählen Sie die gewünschte Lizenz aus und klicken Sie auf «Code aktivieren».
  • Da Sie die Lizenz bereits in einen Zertifikatsantrag verwandelt haben, erhalten Sie nun folgende Fehlermeldung: «Ein Zertifikat bereits angefordert».
  • Wählen Sie nun unterhalb der Fehlermeldung den Link «Suchen Sie nach bereits gestellten Anforderungen». Sie werden auf swisssign.net weitergeleitet.
  • Wählen Sie neben dem gewünschten Zertifikatsantrag «Attribute».
  • Es wird ein neues Fenster mit dem Abschnitt «Genehmigung» angezeigt.
  • Klicken Sie auf den Link neben «Registrierungsdokument».
  • Das Antragsformular wird nun erneut angezeigt.
Wie schnell erhalte ich mein SwissSign Zertifikat?

Die Fristen gelten ab Erhalt der Antragsdokumente und können nur eingehalten werden, wenn alle Dokumente vollständig und korrekt sind.

Ausstellungsgeschwindigkeit für SSL Zertifikate

  • SSL Silver: wenige Sekunden bis Minuten
  • SSL Silver Wildcard: wenige Sekunden bis Minuten
  • SSL Gold / SSL Gold Multi-Domain (UCC/SAN): bis 2 Arbeitstage
  • SSL Gold Wildcard: bis 2 Arbeitstage
  • SSL Gold EV / SSL Gold EV Multi-Domain (UCC/SAN): 5 bis 10 Arbeitstage


Ausstellungsgeschwindigkeit für Personenzertifikate

  • Personal Silver ID: wenige Sekunden bis Minuten
  • Personal Gold ID: bis 2 Arbeitstage
  • Mitarbeiter Gold ID: bis 2 Arbeitstage


Ausstellungsgeschwindigkeit für Organisationszertifikate

  • Organisationszertifikat auf Smartcard/USB: 5 bis 10 Arbeitstage (ausgenommen Hardwarelieferung ausserhalb der Schweiz)
  • Organisationszertifikat für HSM: 5 bis 10 Arbeitstage
Länder mit Exportbeschränkungen

Leider kann SwissSign aufgrund von Regularien in der Schweiz keine Zertifikate für folgende Länder ausstellen:

  • Algerien
  • Demokratische Republik Kongo
  • Demokratische Volksrepublik Korea (Nordkorea)
  • Elfenbeinküste
  • Ecuador
  • Eritrea
  • Guinea
  • Guinea-Bissau
  • Irak
  • Islamische Republik Iran
  • Jemen
  • Kuba
  • Libanon
  • Liberia
  • Libyen
  • Myanmar (Burma)
  • Simbabwe
  • Somalia
  • Sudan
  • Syrien
  • Weissrussland
  • Zentralafrikanische Republik

Die Zertifikatausstellung wird – wenn möglich – hier unterbunden. Zertifikatsanträge oder -ausstellungen für diese Länder können aber auch im Nachhinein zurückgezogen werden.

Was verbirgt sich hinter PKCS#10, CN und OU?

Bevor ein SSL Zertifikat ausgestellt werden kann, muss eine Zertifikatsanforderung – ein Certificate Signing Request (CSR) – erstellt werden. Der CSR wird im Webshop swisssign.com automatisch erstellt* oder kann, falls die Zertifikatsanforderung schon via ein anderes Tool erstellt wurde, im sogenannten PKCS#10-Format während des Bestellvorganges übermittelt werden. In diesem Fall zertifiziert die CA nur das bereits anderweitig erstellte Zertifikat. Ist keine Datei im PKCS#10-Format vorhanden, so löst der Webshop den CSR-Prozess aus und übermittelt das Zertifikatspaar im verschlüsselten Standardformat PKCS#12. Deshalb hat die Datei auch die Endung .p12. 

Während der Erstellung des CSR werden mehrere Felder ausgefüllt, darunter die Organisation (O), die Organisation Unit (OU), Country (C), State (S), Locality (L) und Common Name (CN). Je nach Zertifikatstyp enthält der Common Name (CN) entweder den Domäneneintrag, z.B. domain.com, oder beim Personenzertifikat die E-Mail-Adresse der Person, z.B. Foo@gmail.com. 

Wenn das Zertifikat einen Organisationseintrag hat, kann optional ein OU-Eintrag gesetzt werden. Bitte beachten Sie, dass je nach Zertifikatstyp einige Attribute übersprungen werden können.

*Bitte beachten Sie, dass dieses Vorgehen für SSL Zertifikate nicht mehr zulässig ist.

Was bedeuten die Sicherheitsstufen-Auswahloptionen (Privacy)?

Im technischen Benutzerkonto auf swisssign.net – Menüpunkt «Meine Zertifikate», letzte Kolonne rechts – können Sie unter dem Eintrag «Sicherheitsstufe» zwischen «Privat» und «Öffentlich zugänglich» auswählen. Diese Auswahloption betrifft den öffentlichen Teil Ihres Zertifikates und bestimmt dessen Sichtbarkeit für Dritte:

 

  • Privat: Bei dieser Option finden Dritte Ihr Zertifikat nicht. Zertifikat und Subject werden im SwissSign LDAP-Verzeichnis nicht aufgeführt. Unter dem Menüpunkt «Suchen nach IDs» auf swisssign.net wird Ihr Zertifikat ebenfalls nicht publiziert. Standardmässig ist jeweils die Option «Privat» gewählt.
  • Öffentlich zugänglich: Bei dieser Option wird der öffentliche Teil des Zertifikates – Subject und Public Key – veröffentlicht und kann von jedermann heruntergeladen werden. Diese Option ist insbesondere dann sinnvoll, wenn Sie Ihr Zertifikat zum Verschlüsseln von Nachrichten einsetzen. So können Kommunikationspartner Ihren öffentlichen Schlüssel beziehen, welcher zur Verschlüsselung mit Ihnen notwendig ist.

 

Für Serverzertifikate hat die Privacy-Einstellung keine grosse Bedeutung, denn der Status des Zertifikates kann via CRL oder OCSP (Links sind im Zertifikat enthalten) überprüft werden – unabhängig davon, was unter Privacy ausgewählt wurde.

Intermediate, Rootzertifkate und CRL Listen

Sperrlisten

Gesperrte bzw. Zurückgezogene Zertifikate warden in sogenannten Sperrlisten publiziert oder in einem Onlinedienst vorgehalten (OCSP), der online und aktuell die Gültigkeit eines Zertifikats überprüft. Die Sperrlisten werden laufend aktualisiert und können über folgende URLs erreicht werden:

Download von Sperrlisten (CRL) 

Wurzelzertifikate

Jedes SwissSign Zertifikat wird von einem SwissSign Zwischenzertifikat signiert. Das Zwischenzertifikat wiederum wird vom Wurzelzertifikat signiert. Damit ein Zertifikat vertrauensvoll erscheint, ist es wichtig, dass die komplette Zertifikatskette z.B. auf dem Webserver vorhanden ist. Die Betriebssysteme und Applikationen haben praktisch alle das Wurzelzertifikat mit dabei. Dennoch kann es für besondere Applikationen notwendig sein, Wurzelzertifikate zu installieren. Entweder wird das Endzertifikat auf swisssign.net mit der gesamten Zertifikatskette heruntergeladen, oder es wird das Wurzelzertifikat später nachträglich installiert. 

Download von Wurzelzertifikaten

  • SSL Silver, SSL Silver Wildcard, Personal Silver ID: Silver_G2.pem
  • SSL Silver, SSL Silver Wildcard, Personal Silver ID: Silver_G2.der
  • SSL EV Gold, SSL EV Gold Wildcard, SSL Gold, SSL Gold Multidomain, SSL Gold Wildcard, Personal ID Gold, CodeSigning: Gold_G2.pem
  • SSL EV Gold, SSL EV Gold Wildcard, SSL Gold, SSL Gold Multidomain, SSL Gold Wildcard, Personal ID Gold, CodeSigning: Gold_G2.der
  • Organisationszertifikat: Platinum_G2.pem
  • Organisationszertifikat: Platinum_G2.der
Zwischenzertifikate

Jedes SwissSign Zertifikat wird von einem SwissSign Zwischenzertifikat signiert. Das Zwischenzertifikat wiederum wird vom Wurzelzertifikat signiert. Damit ein Zertifikat vertrauensvoll erscheint, ist es wichtig, dass die komplette Zertifikatskette z.B. auf dem Webserver vorhanden ist. Die Betriebssysteme und Applikationen haben praktisch alle das Wurzelzertifikat mit dabei, das Zwischenzertifikat muss aber installiert werden. Entweder wird das Endzertifikat auf swisssign.net mit der gesamten Zertifikatskette heruntergeladen, oder es wird das Zwischenzertifikat später nachträglich installiert. 

Download von Zwischenzertifikaten 

Installation

Schutz vor Man-in-the-Middle: Zertifikats-Pinning

Bei Man-in-the-Middle-Angriffen nutzt der Angreifer eine Kopie Ihrer Webseite und schützt diese mit einem falschen Zertifikat. Er manipuliert die Router und lenkt den Datenstrom von Ihrer Seite auf seine um. Hier lauscht er meistens nur mit und lenkt den Datenstrom direkt zu Ihrer Webseite weiter. Dieser Mechanismus wird häufig von Geheimdiensten eingesetzt.

Sie können Ihre Webseiten vor Man-in-the-Middle-Angriffen schützen: Mit Zertifikats-Pinning wird sichergestellt, dass der Aufrufende die Webseite nur aufrufen kann, wenn er das ursprünglich installierte Zertifikat vorfindet.

Anleitung zum Zertifikats-Pinning (PDF, 98 KB)

Ich erhalte eine CRL-Fehlermeldung – was muss ich tun?

Mein Betriebssystem oder meine Anwendung zeigt mir Fehler an bzw. ich weiss nicht, wie ich das Zertifikat richtig installieren soll.

SwissSign trägt in den FAQs und Dokumentationen bekannte Probleme und deren Lösungen zusammen. Leider können wir keinen direkten Support hierzu leisten. Die Kernkompetenz der SwissSign AG ist die Erstellung standardisierter, vertrauenswürdiger Zertifikate. Da SwissSign weder Applikationen noch Betriebssysteme entwickelt, grenzt sich SwissSign vom Support von Applikationen und Betriebssystemen bewusst ab.

Vielleicht kann Ihnen aber einer unserer Partner weiterhelfen: SwissSign Partner

Wie beziehe ich nach dem Kauf meine Zertifikate?

Nach dem Kauf Ihrer Zertifikate im Webshop swisssign.com gehen Sie bitte wie folgt vor, um diese zu beziehen:

  • Melden Sie sich in Ihrem Benutzerkonto an.
  • Wählen Sie «Meine Lizenzen» und starten Sie die Aktivierung des gewünschten Zertifikates, indem Sie auf «Code aktivieren» klicken.
  • Sie gelangen nun zur technischen Antragsstellung Ihres Zertifikates. Folgen Sie dazu den Anweisungen im Antragsprozess.
  • Sobald Ihr Antrag geprüft und akzeptiert ist, erhalten Sie eine E-Mail mit dem Link, über den Sie Ihr Zertifikat herunterladen können.

Anleitung Wie löse ich Zertifikatslizenz auf swisssign.net ein? (PDF, 1 MB)

Wie delegiere ich Zertifikatsgutscheine?
  • Loggen Sie sich in Ihr Webshop-Benutzerkonto auf swisssign.com ein und gehen Sie weiter zu Ihren Zertifikatsgutscheinen.
  • Wählen Sie den gewünschte Zertifikatsgutschein aus und klicken Sie auf «Aktivierungslink senden», um den Zertifikatsgutschein an eine andere Person weiterzuleiten. Es wird interaktiv mit Ihren Eingaben eine E-Mail für den Empfänger des Zertifikatsgutscheins vorbereitet und kann dann versendet werden.
  • Diese erhält kurz darauf eine E-Mail, die die persönliche Nachricht sowie einen Link enthält, mit dem sie das Zertifikat sofort auf swisssign.net ausstellen kann.
Kann ich meine Schlüsselpaare selbst erzeugen und falls Ja, welche Schlüssellänge wird verlangt?

SwissSign erlaubt die Generierung eines eigenen Schlüsselpaares – privater und öffentlicher Schlüssel – bei allen Angeboten. Diese müssen eine Mindestlänge von 2048 Bit aufweisen. Die von SwissSign generierten Schlüssel haben ebenfalls eine Länge von 2048 Bit.

Kann ich ein Zertifikat testen und erhalte ich eine Erstattung bei der Revozierung des Zertifikates?

Grundsätzlich hat der Endkunde oder Partner gemäss AGB kein Anrecht auf eine Erstattung oder Gutschrift. Es handelt sich also in allen Fällen immer um ein Entgegenkommen seitens SwissSign.

Derzeit verfahren wir nach folgenden Kulanzregeln:

  • Binnen 30 Tagen nach Ausstellung erhält jeder Kunde wahlweise eine Rückerstattung oder einen 100%-Gutschein in Höhe des bezogenen und revozierten Zertifikates.
  • Nach 30 Tagen erhält der Kunde bei Revozierung einen Gutschein für die Restlaufzeit des betroffenen Zertifikates.
  • Unbenommen davon ist natürlich die Gewährleistungspflicht von SwissSign bezüglich Beratung und Ausstellung von Zertifikaten.
Warum wird mein SSL Zertifikat nicht als vertrauenswürdig angesehen?

Die Stammzertifikate von SwissSign werden in den verbreitetesten Browsern installiert. Aktualisieren Sie Ihren Browser mit der neuesten Version und installieren Sie die neuesten Stammzertifikate von der Windows-Update-Seite. Verbreitung der SwissSign Stammzertifikate

Es ist zudem möglich, dass Ihr Webserver nicht die vollständige Zertifikatskette an Clients sendet. Dieses Problem lösen Sie mit der Funktion «SSLCertificateChainFile» in der Apache-Konfiguration.

Wie viele Server-Installationen beinhalten SwissSign SSL?

Mit SwissSign SSL Zertifikaten erwerben Sie unlimitierte Serverlizenzen. Im Gegensatz zu den meisten anderen SSL Zertifikaten können Sie Ihr SwissSign SSL Zertifikat somit auf beliebig vielen physischen Servern installieren.

Fehlende «Proof of Posession»: Das beantragte SSL Silver Zertifikat kann nicht heruntergeladen werden bzw. wird nicht ausgestellt.

Bei einem SSL Silver Zertifikat überprüft SwissSign die im Zertifikats-Request angegebene Domäne. Diese Überprüfung wird als «Proof of Possession» bezeichnet. Im Vorgang der Zertifikatsbeantragung kann der Antragsteller auswählen, wer die E-Mail zur Domänenzugehörigkeit erhält. Folgende Auswahl ist per Radio Button möglich:

  • admin@angegebeneDomäne
  • administrator@angegebeneDomäne
  • hostmaster@angegebeneDomäne
  • postmaster@angegebeneDomäne
  • webmaster@angegebeneDomäne

An die hier ausgewählte E-Mail-Adresse wird die «Proof of Possession»-E-Mail gesendet. Sobald der in dieser E-Mail enthaltene Link angeklickt wird, wird das Zertifikat ausgestellt.

Ich habe Probleme mit der Installation oder Fehlermeldung meiner Anwendung.

Sie erhalten folgende E-Mail:
 

Dear operator,

The automatic CRL issuance for CA 'Silver Personal G3' failed. Please use the following link to do it manually: https://swisssign.net/cgi-bin/auth/ca?_crl=do&;selected=Silver Personal G3

Regards,

Your SwissSign Team


Bitte ignorieren Sie dies, wir prüfen den Fehler und korrigieren ihn so rasch wie möglich.

Installation von Zwischen- und E-Mail-Zertifikaten

Zwischenzertifikate helfen dabei, die «Vertrauenskette» von Ihrem bei uns erworbenen E-Mail-Zertifikat zum vertrauenswürdigen Wurzelzertifikat von SwissSign aufrechtzuerhalten.

Sie haben den privaten und öffentlichen Schlüssel zu Ihrem Zertifikat von SwissSign erzeugen lassen? Dann finden Sie Ihr E-Mail-Zertifikat und auch das Zwischenzertifikat zum Wurzelzertifikat in der .p12 Datei, die Sie auf swisssign.net herunterladen können.

Sie haben die Schlüssel selbst erzeugt und bei der Registrierung einen CSR eingegeben? Dann achten Sie darauf, dass Sie die gesamte Zertifikatskette bei sich installieren. Beim Download auf swisssign.net bieten wir Ihnen dazu verschiedene Formate an. Diejenigen mit der kompletten Zertifikatskette sind deutlich gekennzeichnet: «p7c», «pem».

Mit welchem Client-Zertifikat kann ich mich authentisieren?

Sehr häufig benötigen unsere Kunden ein Zertifikat, um sich auf einer Webseite zu authentisieren (anzumelden).

Für so eine TLS-WWW-Client-Authentisierung ist das Zertifikat Personal Gold ID mit oder ohne Organisationseintrag vorgesehen. Es kann zudem auch zur E-Mail-Verschlüsselung und -signierung genutzt werden. Mit Personal ID Silver ist eine Authentisierung nicht möglich.

Personenzertifikate

Wie kann ich nun sicherstellen, dass meine Webseite nur noch zertifikatsgeschützt erreicht wird?

Mit einer kleinen Massnahme können Sie Ihre Besucher zwingen, eine gesicherte Verbindung mit Ihrer Webseite aufzubauen: Hierzu passen Sie die .htaccess-Datei so an, dass alle nicht sicheren http-Aufrufe in https-Aufrufe umgeleitet werden. Die Anpassung lautet wie folgt:

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

Mit der ersten Zeile wird die Rewrite-Engine eingeschaltet. Die zweite Zeile enthält die Bedingung, dass immer wenn es sich nicht um den «sicheren» https-Port 443 handelt, die Anfrage (dritte Zeile) über einen permanenten Redirect 301 auf die https-Seite weitergeleitet wird.

Sie können Zertifikate auf swisssign.net in verschiedenen Formaten herunterladen. Wofür stehen diese Formate?

Die Endungen der Dateinamen zeigen die Dateitypen an. Es können auf swisssign.net folgende Dateitypen mit unterschiedlichen Inhalten heruntergeladen werden:

Zertifikate samt privatem Schlüssel (.p12, PKCS#12)*

*Dieses Verfahren ist für SSL Zertifikate nicht anwendbar! 

(IMAGE: swisssign_faq_ZertifikateMitPrivatemSchlüssel.png)

.p12- oder PKCS#12-Formate enthalten ein öffentliches Zertifikat und den privaten Schlüssel (passwortgeschützt). Die Dateien .p12 oder PKCS#12 werden zum Beispiel zum Installieren in E-Mail-Programmen, Betriebssystemen und Webservern verwendet.

Bei Webservern ist die gesamte Zertifikatskette zu installieren. Die CA, die das Zertifikat ausgibt, vertraut typischerweise einer höher angesiedelten CA, die z.B. wiederum dem Stammzertifikat der SwissSign vertraut. Nur das Zertifikat der Stamm-CA der SwissSign ist bei allen Browsern anerkannt. Bitte laden Sie deshalb die Zertifikate der Zwischen-CAs auf der folgenden Seite herunter und installieren Sie diese ebenfalls. Dies betrifft nur Personen, die einen Webserver installieren, und nicht Endnutzer.

Zertifikate ohne privaten Schlüssel

(IMAGE: swisssign_faq_ZertifikateOhnePrivatenSchlüssel.png)

  • .cer: DER- oder BASE64-codiert
  • .crt: DER- oder BASE64-codiert
  • .pem: Base64-kodiertes Zertifikat, umschlossen von «-----BEGIN CERTIFICATE-----» und «-----END CERTIFICATE-----»
  • .p7b (Zertifikatskette): Zertifikate im Base64-kodierten ASCII-Format (z.b für Windows OS, Java Tomcat)
  • .p7c (Zertifikatskette): PKCS#7-signierte Datenstruktur ohne Dateninhalt, nur mit Zertifikat/en inklusive der gesamten Zertifikatskette (z.b für Windows OS, Java Tomcat)
  • .pem (Zertifikatskette): Base64-kodiertes Zertifikat inklusive kompletter Zertifikatskette (z.b für Apache und ähnliche Plattformen)
Zertifikatsprüfung

Die Registration Authority (RA), ein Dienst von SwissSign, überprüft die Identität und wenn nötig die Attribute jedes Antragstellers eines Zertifikates. Erst danach erzeugt die CA das Zertifikat des Antragstellers oder weist die Daten zur Aktivierung der Nutzung des Signaturschlüssels zu.

Wo finde ich das pfx-Format zum Herunterladen?

Das Format .pfx ist deckungsgleich mit dem .p12-Format. Laden Sie das .p12-Format herunter und benennen Sie die Datei um.

Ich habe mein Passwort des privaten Schlüssels vergessen oder verloren – was muss ich tun?

Wenn Sie das Passwort des privaten Schlüssels vergessen oder verlieren, kann SwissSign Ihnen leider nicht weiterhelfen. Das Passwort kann nicht wiederhergestellt oder zurückgesetzt werden. Es bleibt Ihnen leider nichts anderes übrig, als ein neues Zertifikat zu beantragen und das Passwort gut zu verwahren.

Was muss bei Zertifikaten und Synology beachtet werden?
  • Erstellen Sie auf dem Synology-System einen CSR – einen Zertifikatsantrag –, damit ist dann auch gleich das Schlüsselpaar auf dem Synology-Server erstellt.
  • Nach der Ausstellung laden Sie von swisssign.net das Zertifikat im Format .pem herunter. Alle anderen Formate können Fehlermeldungen provozieren wie z.B.: «Die Dateikodierung muss als UTF-8 gespeichert werden.»
  • Laden Sie zudem das Zwischenzertifikat (Typ G22) von der Downloadseite herunter.
  • Nun können Sie auf dem Synology-Server die Dateien «privater Schlüssel» (lokal erzeugt) sowie das Zertifikat im .pem-Format und das Zwischenzertifikat im .perm-Format laden.

Betrieb und Support

Darstellung Umlaute bei CSV Export auf swisssign.net

Umlaute werden in Excel nach einem CSV Export beispielsweise bei Suchresultaten auf der Plattform swisssign.net nicht korrekt dargestellt.

Excel öffnet die Datei nicht als UTF-8 codierte Datei, was dazu führt, dass Umlaute in Excel falsch dargestellt werden. Um dieses Problem zu vermeiden, empfehlen wir folgendes Vorgehen:

  1. Speichern Sie die exportierte CSV Datei lokal als CSV Datei ab
  2. Öffnen Sie Excel und wählen Sie unter dem Reiter «Daten» den Punkt «Aus Text»
  3. Wählen Sie die abgespeicherte CSV Datei aus
  4. Geben Sie im ersten Fenster des Import-Wizzards als Datei-Ursprung UTF-8 an

Als Resultat werden die Umlaute in Excel korrekt dargestellt.

Ich habe mein Zertifikat über einen Reseller erhalten. Wie muss ich vorgehen, um auf SHA-2 zu wechseln?

Wenn Sie Ihr SHA-1-basiertes SSL und Code-Signing-Zertifikat über einen Reseller erhalten haben, hat der Reseller einen entsprechenden Gutscheincode für Ihr Zertifikat bekommen. Sprechen Sie ihn darauf an.

Wie signiere ich PDF-Dokumente?

Hier finden Sie die Anleitungen zum Signieren von PDF-Dokumenten.

Werden revozierte Zertifikate nach einer gewissen Zeit von der CRL, der Zertifikatssperrliste, gelöscht?

Nein, revozierte – für ungültig erklärte – Zertifikate bleiben auch nach dem im Zertifikat angegebenen Ablaufdatum auf der Certificate Revocation List (CRL), denn für die Validierung der Signatur ist es wichtig zu wissen, ob das Zertifikat zum Zeitpunkt der Signatur noch gültig war.

Wie können Geschäftspartner mich über LDAP kontaktieren?

SwissSign führt ein LDAP-Verzeichnis unter directory.swisssign.net. Die Suchbasis hierfür lautet: ‹o=SwissSign,c=CH›.

Wichtig ist, dass Ihr Zertifikat die Sicherheitseinstellung «öffentlich prüfbar» oder «öffentlich zugänglich» hat, damit es im LDAP-Verzeichnis gefunden wird.

Wie formatiere ich von einem Format in ein anderes um?

Für die Umformatierung gibt es verschiedene Werkzeuge. Eines der bekanntesten ist www.openssl.org

  • Convert a certificate from PEM to DER format: openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER
  • Convert a certificate from DER to PEM format: openssl x509 -in cert.der -inform DER -out cert.pem -outform PEM
Ich habe das Passwort für mein Benutzerkonto auf swisssign.net vergessen. Was mache ich jetzt?

Setzen Sie sich als Kunde einer Managed PKI Lösung von SwissSign mit der RA (Registrierungsstelle) in Ihrem Unternehmen in Verbindung. Falls Sie Ihr Zertifikat über den Webshop swisssign.com oder einen unserer Webshop Partner erhalten haben, senden Sie uns eine digital signierte E-Mail an helpdesk@swisssign.com.

Warum erscheint keine grüne Adresszeile bei EV SSL?

SwissSign SSL EV Zertifikate werden in den meisten aktuellen Browsern grün dargestellt.

Browser und Betriebssysteme bieten meist dynamische Updates von Stammzertifikaten an. In diesen Fällen müssen Sie als Benutzer keine manuellen Software-Updates durchführen. Wenn aber keine grüne Adresszeile angezeigt wird, gehen Sie wie folgt vor (erläutert anhand von IE9):

  • Führen Sie ein «Windows Update» durch. Leeren Sie den Browser-Cache und testen Sie erneut, zum Beispiel mit swisssign.com im IE9.
  • Wenn das nicht hilft, führen Sie die folgenden Schritte durch. Wichtiger Hinweis: Hierfür brauchen Sie Administratorenrechte für Ihren Computer.
    • Schliessen Sie den IE9.
    • Klicken Sie im Startmenü auf «Ausführen»: Geben Sie «certmgr.msc» ein und drücken Sie «Enter».
    • In «Vertrauenswürdige Stammzertifizierungsstellen/Zertifikate» löschen Sie «SwissSign Gold CA – G2 Zertifikate».
    • Testen Sie erneut, indem Sie swisssign.com im IE9 eingeben. Im IE9 gehen Sie zu «Extras – Internetoptionen – Erweitert» und klicken auf «Zurücksetzen». Bitte beachten Sie, dass bestimmte individuelle Einstellungen dadurch gelöscht werden. Testen Sie erneut, indem Sie swisssign.com im IE9 eingeben.
Wie versende ich verschlüsselte E-Mails an eine externe Person?

Die Verschlüsselung des E-Mails findet mit Hilfe des Empfänger-Zertifikats statt. Daher ist es notwendig, dass der Sender das Zertifikat des Empfängers erhält. Dies kann manuell geschehen oder in dem ein entsprechender Secure Mail Gateway, die Zertifikate aus eingehenden E-Mails sammelt.

Wie signiere ich Dokumente mit dem Organisationszertifikat auf Smartcard/USB?

Das Organisationszertifikat auf Smartcard/USB basiert auf der SuisseID. Entsprechende Software und Treiber finden Sie hier:


Unter Unix finden Sie nach der Installation das PKCS#11-Modul unter «/usr/local/lib/libcvP11.so».

Wenn unter Unix mit PKCS#11, ACS ACR38T USB Reader und der Siemens ATOS Smartcard (SuisseID Komponente) signiert wird (Schlüssellänge 2048 Bit), ergibt sich eine Performance von einer Signatur pro Sekunde.

Kann ich auch mit meiner SuisseID MwSt.-konform signieren?

Ja. Die qualifizierten Zertifikate von SwissSign erfüllen die Anforderungen der Verordnung des Eidgenössischen Finanzdepartementes über elektronische Daten und Informationen (ElDI-V) und der Geschäftsbücherverordnung (GeBüV). Damit können zum Beispiel einzelne Rechnungen MwSt.-konform signiert werden. Für die Massensignatur von MwSt.-konformen Dokumenten empfehlen wir hingegen unser Organisationszertifikat.

Wie schalte ich OCSP Stapling ein?

Die grossen Webbrowser unterstützen alle OCSP Stapling von Hause aus:

Mein System funktioniert nicht mit SHA-2-Zertifikaten, nur mit SHA-1.

Wir empfehlen Ihnen, Ihr System so hochzurüsten oder zu ersetzen, dass auch SHA-2-Zertifikate genutzt werden können, denn die neuen Bestimmungen des CA/Browser Forums sehen vor, dass Zertifizierungsstellen nur noch kurzfristig auf SHA-1 basierende Zertifikate ausstellen dürfen.

SwissSign bietet Grosskunden mit mehreren Zertifikaten den Service an, für eine Übergangszeit Zertifikate mit einigen Monaten Laufzeit auszustellen. Dies geschieht auf Projektbasis. Um ein Angebot erstellen zu können, benötigen wir eine genaue Auflistung der Zertifikatstypen und der Anzahl Zertifikate.

Zudem bieten wir grundsätzlich auch das Zurückziehen und Erstatten von SHA-2-Zertifikaten an, wenn diese nicht genutzt werden können.

Können Probleme mit SHA-2 auftreten?

Wenn Sie SHA-2-basierte SSL Zertifikate einsetzen, können Ihre Kunden mit älteren Betriebssystemen oder Browsern Ihre Webseiten eventuell nicht mehr öffnen: Betroffen sind beispielsweise alle Kunden, die noch Windows XP Systeme mit Service Pack 2 einsetzen und diese nicht auf das Service Pack 3 erneuert haben.

Die neuen Windows Systeme unterstützen alle SHA-2. SwissSign ist allerdings auch nur Lieferant von Zertifikaten, die einer Norm unterliegen. Ob SHA-2 von allen Herstellern in allen Versionen unterstützt wird, können wir Ihnen leider nicht sagen. Es gibt zu viele Systeme und Versionen auf dem Markt. Wir bitten Sie, sich an Ihren Hersteller oder IT-Fachbetrieb zu wenden.

Die folgenden Informationen wurden uns mitgeteilt und möchten wir hier ohne Gewähr wiedergeben:

  • Java-basierte Webserver unterstützen SHA-2, solange Java SDK 1.4.2 oder höher im Einsatz ist.
  • Apache-basierte Server sollten eine Apache-Version 2.x oder höher nutzen. Für die Schlüsselgenerierung sollte mindestens Open SSL 1.1.x im Einsatz sein.
  • Ältere spezifische Hardware, z.B. Kassenterminalsysteme, könnten ebenfalls Probleme mit SHA-2 haben. Hier empfehlen wir rechtzeitig beim Hersteller nachzufragen, ob diese Systeme auf eine aktuelle Softwareversion aktualisiert werden können.
     

Im Einzelnen haben die Betriebssystem- und Softwarehersteller folgende Empfehlungen abgegeben, welche Systemversionen SHA-2 unterstützen (Angaben ohne Gewähr):


Betriebssysteme

  • Windows ab Version XP SP3
  • Windows Phone ab Version 7
  • Windows Server ab Version 2003 SP2 inklusive Hotfixes
  • Android ab Version 2.3
  • Apple OS X ab Version 10.5
  • Apple iOS ab Version 3.0
  • Blackberry ab Version 5.0


Serversysteme

  • Apache ab Version 2.0.63 mit OpenSSL 0.9.80; wegen Heartbleed höhere Version empfohlen.
  • JAVA ab Version 1.4.2
  • Mozilla NSS ab Version 3.8
  • Oracle Weblogic ab Version 10.3.1
  • IBM Domino Server: Unterstützung ab Version 9.0.1 FP2
  • Citrix: siehe detaillierte Aufstellung
  • IBM http Server ab Version 8.5


Browser

  • Internet Explorer ab Version 6, mit Windows Betriebssystem ab Version XP SP3
  • Mozilla ab Version 1.4
  • Firefox ab Version 1.5
  • Chrome ab Version 26
  • Netscape ab Version 7.1
  • Opera ab Version 9.0
  • Safari ab Version 3


E-Mail-Applikationen

  • Outlook 2003/2007 mit Windows XP SP3 kann keine SHA-2-signierte E-Mail verifizieren und versenden.
  • Outlook 2007 und höher unterstützt SHA-2.
  • Mozilla Thunderbird 24 mit Windows XP SP3 kann SHA-2 signierte E-Mails verifizieren. Es gab mit SHA-1 generell Probleme mit dem Versand signierter E-Mails.
  • IBM Notes 9, IBM Notes unterstützt prinzipiell auch SHA-2, hat aber Probleme mit der Verifikation signierter E-Mails.
Warum erscheinen bei manchen Kunden Zertifikate nicht als vertrauenswürdig?

Dies kann grundsätzlich zwei Ursachen haben:

  • Beim Aufsetzen einer SSL-Verschlüsselung oder auch in E-Mail-Systemen ist vergessen worden, ein Zwischenzertifikat zu installieren. Siehe FAQ «Mein Zertifikat läuft auf meinem Betriebssystem oder Browser nicht, obwohl SwissSign diese unterstützt».
  • Der Kunde betreibt in seinem Proxy eine sogenannte «SSL Inspection». Diese Funktionalität bricht die verschlüsselte Verbindung auf und prüft die Kommunikation auf nicht zugelassene Inhalte oder sogar Malware beim Download. SSL Inspection arbeitet in der Regel mit nicht vertrauenswürdigen, eigenen Zertifikaten. Somit sind nicht nur Seiten mit SwissSign Zertifikaten, sondern auch andere Seiten betroffen. Abhilfe schafft das Herauskonfigurieren der betreffenden Seite im Proxy.
Chrome Version 42 zeigt eine mit SSL EV geschützte Seite als unsicher an. Warum?

Chrome Version 42 markiert alle SSL-Verbindungen, die noch auf den SHA-1 Algorithmus setzen, als unsicher und zwar mit einem roten Kreuz im Browser oder einem Ausrufezeichen. Die Verbindung wird noch nicht blockiert.

Bitte ersetzen Sie Ihr SSL Zertifikat mit einem Zertifikat mit SHA-2 Algorithmus. SwissSign hat ihren Kunden von Oktober 2014 – Januar 2015 ein Austauschprogramm angeboten. Wir haben die noch nicht eingelösten Coupons nun bis Ende November 2015 verlängert.

Welche SSL Zertifikate sind von Certificate Transparency betroffen?

Betroffen sind nur SSL EV Zertifikate, die ab dem 1. Januar 2015 ausgestellt worden sind. Bei diesen Zertifikaten fehlt beim Google-Chrome-Browser ab Version 41 die grün hinterlegte Adresszeile des Browsers, die sogenannte «green bar». Chrome stellt hier nur noch das https in Grün mit einem grünen Schlüssel dar. In den Informationen zum Zertifikat wird die Identität der Organisation, die die Webseite betreibt, aber weiterhin bestätigt. Allerdings steht auch, dass kein öffentlicher Eintrag vorliegt.

Gibt es ein Masterzertifikat, das anstelle des eigentlichen benutzerspezifischen Zertifikates als Generalschlüssel verwendet werden kann?

Nein, es gibt kein Master-Zertifikat. Die einzige Möglichkeit ist, ein Zertifikat auf eine «neutrale E-Mail-Adresse», z.B. info@xxx, auszustellen.

Das Zertifikat entspricht nicht meinem Zertifikatsantrag, was muss ich tun?

Bitte melden Sie sich bei unserem Support.

Mein Zertifikat läuft auf meinem Betriebssystem oder Browser nicht, obwohl SwissSign diese unterstützt?

Häufig basieren diese Probleme nicht auf fehlenden oder fehlerhaften Stammzertifikaten (Root-Zertifikaten) in den Betriebssystemen oder Browsern, sondern es wurde beim Aufsetzen einer SSL-Verschlüsselung oder auch in E-Mail-Systemen vergessen, ein Zwischenzertifikat zu installieren.

Zertifikate sind hierarchisch angeordnet: Das Zertifikat selber vertraut einem Zwischenzertifikat, ggfs. vertraut dieses einem weiteren Zwischenzertifikat usw. Schliesslich vertrauen die Zwischenzertifikate auch wieder den Stammzertifikaten, die in den Browsern und Betriebssystemen gelistet sind. Da die Browser und Betriebssysteme nur die Stammzertifikate enthalten, ist die Vertrauenskette ohne Zwischenzertifikate unterbrochen.

Im Windows-Umfeld kommen diese Probleme seltener vor, da Microsoft Windows bzw. die Windows-Browser versuchen, Zwischenzertifikate zwischen zu speichern, sobald eine Seite z.B. mit korrekter Installation eines SwissSign Zertifikates einmal aufgerufen wurde. Diese Zwischenspeicherung wird dann automatisch herangezogen, wenn das Zwischenzertifikat nicht korrekt installiert wurde, und der «Fehler» fällt dem Anwender gar nicht auf.

Bei Linux hingegen fällt die fehlende Konfiguration sofort auf. Abhilfe schaffen der Download der gesamten Zertifikatskette und die Installation der Zertifikatskette inklusive Zwischenzertifikaten:

  • Öffnen Sie hierzu den Link, den Sie bei der Zertifikatsausstellung erhalten haben, um die Zertifikate herunterzuladen. Alternativ können Sie auch Ihr Zertifikat auf swisssign.net suchen und dann die Schaltfläche «Herunterladen» betätigen.
  • In den angebotenen Downloadformaten wählen Sie die Datei mit der Endung .p7c oder .pem (ganze Zertifikatskette). Alle anderen Downloads – auch die .p12-Datei – enthalten keine Zwischenzertifikate.
Gibt es die Möglichkeit, Zertifikatsinhabern eine URL zu geben, unter der sie das Zertifikat selbständig herunterladen und installieren können?

Ja, das ist möglich. In der Anleitung Wie löse ich meine Zertifikatslizenz auf www.swisssign.net ein? (PDF), Seite 7, finden Sie ein Muster einer Bestätigungsmail mit dem Link für den Zertifikatsdownload.

Wie häufig wird eine CRL, eine Zertifikatssperrliste, aktualisiert?

Gemäss CP/CPS muss die Sperrlistendatei für Zertifikate (CRL) mindestens alle 24 Stunden aktualisiert werden. In der Praxis aktualisiert SwissSign diese häufiger, nämlich auf Stundenbasis.

Grundsätzlich ist eine CRL-Datei zehn Tage gültig, daher enthält diese den Vermerk «Nächstes Update ...» (≤ zehn Tage). Das ist bedingt durch die Regelung im Force-majeure-Fall: Hier sollte bei Ausfall der Systeme die Sperrlistendatei spätestens nach zehn Tagen wieder aktualisiert werden.

Was bedeutet die Anlage smime.p7s in meiner Webmail?

Die digitale Signatur einer signierten E-Mail wird als Anlage gesendet. Diese Anlage wird vom E-Mail-Programm des Empfängers automatisch geprüft. Bei den meisten Webmail-Providern wie z.B. Gmail, Windows Live Hotmail oder Yahoo! wird die Signatur allerdings nur als Anlage mit dem Dateinamen smime.p7s angezeigt, ohne dass eine Signaturprüfung durchgeführt wird.

Was bedeutet die Meldung «Signatur unbekannt» im E-Mail-Client?

Der E-Mail-Client stuft den Aussteller des Zertifikates als nicht vertrauenswürdig ein. Dies kann behoben werden, indem man den Aussteller als vertrauenswürdig bezeichnet. Üblicherweise übernehmen die Hersteller dieser Programme diese Aufgabe mittels ihrer Root-Store-Programme.

Wie vermeide ich die Fehlermeldung «Signatur unbekannt» in Zukunft? Wie gehe ich in Outlook, Outlook Express/Windows Mail, Thunderbird, Entourage oder Apple Mail konkret vor?

Indem Sie den Herausgeber SwissSign als vertrauenswürdige Root eintragen. Das heisst, Sie beantworten die Frage «Wollen Sie dem Herausgeber vertrauen?» mit Ja. Wenn Sie einen Firmen-PC nutzen, bitten wir Sie, sich an Ihren IT-Support zu wenden.

Adobe Acrobat kennzeichnet Signaturen als nicht vertrauenswürdig (untrusted)

Adobe Acrobat (PDF) greift nicht standardmässig auf die vertrauenswürdigen Zertifikate im Windows Certificate Manager zu und kann somit die Gültigkeit des verwendeten Zertifikates nicht überprüfen. Um dies zu ändern, nehmen Sie in Adobe Acrobat die folgenden Einstellungen vor:

Wählen Sie «Bearbeiten – Voreinstellungen – Sicherheit – Erweiterte Voreinstellungen». Gehen Sie auf die Registerkarte Windows-Integration und aktivieren Sie die drei Kästchen. Wird beim nächsten Mal eine Prüfung durchgeführt, sollte ein gültiges Zertifikat angezeigt werden.

 

Änderung und Verlängerung

Was bedeutet Revozierung?

Revozierung ist ein Prozess, der Zertifikate für ungültig erklärt bzw. sperrt. Revozierte Zertifikate werden auf Revozierungslisten, sogenannten Certificate Revocation Lists (CRL), geführt. CRL werden durch die CA gemäss den entsprechenden CP/CPS veröffentlicht.

Wenn ein Verschlüsselungszertifikat revoziert wird, ist es sehr wichtig, dass Sie den entsprechenden privaten Schlüssel aufbewahren. Sie werden ihn für die Entschlüsselung von Daten, die Sie mit diesem alten bzw. revozierten Zertifikat verschlüsselt haben, noch benötigen.

Wenn ein Signaturzertifikat revoziert wird, können Sie den privaten Schlüssel löschen, da Sie ihn für eine gültige digitale Signatur nicht mehr verwenden können.

Kann der Inhalt eines Zertifikats, z.B. DN oder E-Mail-Adresse, geändert werden?

Technisch gesehen muss das Zertifikat bei Änderung des Inhalts neu ausgestellt werden, was mit Kosten verbunden ist. Beim aktuellen Preismodell wird pro gültiges Subject verrechnet, sofern die Anzahl ausgestellter Zertifikate im fairen Rahmen bleibt.

Revozierung, Ungültigkeit – was muss ich tun?

Gründe, ein Zertifikat zu revozieren bzw. für ungültig zu erklären:

  •  Der Nutzer hat sein Passwort für seinen privaten Schlüssel vergessen.
  •  Das Schlüsselmaterial wurde korrumpiert.
  •  Die Angaben im Zertifikat sind nicht mehr aktuell (z.B. E-Mail oder Verlassen der Organisation).

SwissSign Zertifikate können Sie auf drei Wegen revozieren:

  1. Online-Revozierung: Möglich, wenn Sie das Zertifikat über ein technisches Benutzerkonto auf swisssign.net beantragt haben.
  2. Online-Revozierung: Auf swisssign.net können Sie Zertifikate online revozieren, sofern Sie noch den privaten Schlüssel bzw. den Code zur Revozierung haben. Den Code haben Sie damals in der Genehmigungsmail dieses Zertifikates erhalten. Rufen Sie bitte die Seite swisssign.net auf und geben dort ohne Login in das Suchfeld „Lizenz:“ Ihre Lizenznummer zum Zertifikat ein, die sie beim Kauf erhalten haben. Das Zertifikat wird daraufhin angezeigt. Nun können Sie den Knopf „Für ungültig erklären“ das Zertifikat mit dem Revozierungscode aus der Genehmigungsmail revozieren.
  3. Offline-Revozierung: Hierfür steht Ihnen das Offline-Revozierungsformular (PDF, 57 KB) zur Verfügung.
Werde ich vor Ablauf meines SwissSign Zertifikates benachrichtigt?

Ja, Sie erhalten eine E-Mail 30 Tage und 10 Tage vor Ablauf Ihres SwissSign Zertifikats.

Wer kann das Zertifikat revozieren? Die Firma oder nur die Person, welcher das Zertifikat gehört?

Beide.

Revozierung von SSL Zertifikaten mit einer Laufzeit von 5 Jahren

Seit dem 1. April 2015 dürfen CAs keine 5-Jahres SSL Zertifikate mehr ausstellen. Sollte der Kunde noch zuvor erworbene Zertifikatsgutschein nach diesem Zeitraum einsetzen, sind wir verpflichtet, diesen Zertifikatsgutschein zurückzuziehen. Betroffene Kunden können bei uns ihr Zertifikat erstattet bekommen oder ein 2-Jahres Zertifikat erhalten und einen Gutschein für einen weiteren Zertifikatskauf. Bitte kontaktieren Sie hierzu unseren Support.

Einstweilige Sperrung eines Zertifikates (Suspension)

Bei der Suspension wird die Gültigkeit eines Zertifikates einstweilig/temporär ausgesetzt.

SwissSign bietet keine einstweilige Sperrung von Zertifikaten an. Grund ist, dass gesperrte Zertifikate auf eine Sperrliste kommen (CRL) und später wieder entfernt werden müssen. So ist im Nachhinein nicht nachvollziehbar, in welchem Zeitrahmen ein Zertifikat suspendiert war. Bei qualifizierten Zertifikaten ist die einstweilige Sperrung zudem per Gesetz verboten.

Habe ich nach Ablauf des Zertifikats noch Zugriff auf meine verschlüsselten Nachrichten?

Sie benötigen den entsprechenden privaten Schlüssel, um die Daten zu entschlüsseln. Stellen Sie sicher, dass Ihr altes Verschlüsselungszertifikat noch in Ihrem Browser importiert ist. Dies ist die einzige Möglichkeit, Daten zu entschlüsseln, die mit Ihrem alten Zertifikat verschlüsselt wurden.

Wenn das Zertifikat in Ihrem Browser nicht mehr existiert, melden Sie sich in Ihrem SwissSign Profil an und laden Sie das Zertifikat erneut herunter. Hierzu benötigen Sie das 16-stellige Passwort, das Sie bei der Erstellung des Zertifikates eingegeben haben.

Wie verlängere ich mein Zertifikat?

Eine Verlängerung des Zertifikates ist grundsätzlich nicht möglich. Sie müssen leider ein neues Zertifikat kaufen und beantragen. Haben Sie sehr viele Zertifikate, lohnt sich eine Managed-PKI-Lösung. Hierbei müssen die Dokumente und Zeichnungsberechtigungen nur einmal eingereicht werden.

Bei der Verlängerung eines Gold Zertifikates müssen Sie leider auch alle Unterlagen passend zum unterschriebenen Zertifikatsantrag einreichen. Bitte vergessen Sie nicht die Unterschrift des Eigentümers der Domäne und eine Kopie der ID bzw. des Passes aller Unterzeichner. Einen Handelsregisterauszug müssen Sie nicht mehr beilegen.

Zertifikats-Renewal

Bei der Ausstellung eines Zertifikates wird diesem eine feste Laufzeit mitgegeben. Daher müssen Sie nach Ablauf ein neues Zertifikat beantragen. Dabei müssen wir prüfen, ob der gewünschte Zertifikatsinhalt noch gültig ist. Um einen jährlichen Zertifikatsaustausch zu vermeiden, empfehlen wir Ihnen, Zertifikate mit mehrjährigen Laufzeiten zu beziehen.

Gut zu wissen

Welchen Einfluss hat die Änderung im Domänenprüfverfahren des CAB-Forums?

Am 2. Februar 2018 hat das CAB-Forum beschlossen, dass ab 1. August 2018 die Domänenvalidierung nicht mehr mittels Whois-Register-Prüfung durchgeführt werden darf. Aus diesem Grund wird SwissSign per 30. Juni 2018 bei sämtlichen Anträgen für SSL-Zertifikate die Validierungsmethode gemäss Anleitung anpassen. Alle SwissSign Kunden wurden am 22.05.2018 per E-Mail informiert. Bereits eingetragene Domänen müssen entsprechend re-validiert werden. EV-Zertifikate müssen zudem alle 13 Monate erneuert werden. Für alle anderen Zertifikate gilt eine 24-monatige Erneuerungsfrist.

Wie sicher ist die Schlüsselgenerierung?

Bei der SwissSign wird zur Generierung ein äusserst sicherer Prozess eingesetzt. Basis ist ein Zufallsgenerator, der mit vielen zufälligen Ereignissen versorgt wird, die so nicht noch einmal auftreten können. Hierbei werden zufällige, aktuelle Zustandsinformationen von Prozessen genutzt, verschiedene Zeitstempel, Prozessnummern etc. Dieser sehr komplexe Zufallsprozess wird für jeden Schlüssel einmal durchgeführt und ist somit einzigartig.

Wo kann ich digitale Identitäten und Zertifikate einsetzen?

Der Gebrauch von Zertifikaten garantiert Ihnen Sicherheit, Datenschutz und Vertrauen. Zertifikate werden bei verschiedenen Anwendungen eingesetzt. Zum Beispiel bei Secure E-Mail, E-Business, E-Government, E-Health usw. 

Unter Partner-Lösungen erfahren Sie mehr

Öffentlicher und privater Schlüssel – Public Key und Private Key

Das Public Key Verfahren ist ein asymmetrisches, kryptographisches Verfahren, bei dem ein Schlüsselpaar zum Einsatz kommt. Dieses kryptographisches Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel. Daten, die mit einem dieser Schlüssel verschlüsselt wurden, können nur mit dem anderen Schlüssel wieder entschlüsselt werden. Diese kryptographische Methode kann nun sowohl für Verschlüsselung als auch für technische Signaturen genutzt werden.

Im Fall der Verschlüsselung werden die Daten für den Empfänger mit dem öffentlichen Schlüssel (Public Key, Schlüssel im Zertifikat) verschlüsselt, und können nun nur noch durch den entsprechenden privaten Schlüssel entschlüsselt werden.

Im Fall der technischen Signatur werden die Daten für den Empfänger durch den privaten Schlüssel des Senders verschlüsselt und können dann durch den Empfänger mit Hilfe des öffentlichen Schlüssels geprüft werden.

Der öffentliche Schlüssel/Public Key ist öffentlich über das Zertifikat zugänglich. Dieser Schlüssel wird zur Verschlüsselung von Daten oder zur Bestätigung der digitalen Signatur des Unterzeichners (Identifikation) verwendet. Mit dem öffentlichen Schlüssel verschlüsselte Daten können nur mit dem zugehörigen privaten Schlüssel entschlüsselt werden.

Der private Schlüssel/Private Key ist nur dem Zertifikatsinhaber bekannt bzw. darf nur ihm zugänglich sein. Er wird für die Entschlüsselung von Daten und zur Erstellung einer digitalen Signatur verwendet.

Key Usage

Das Zertifikat enthält einen Eintrag «Key Usage». Dieses Feld definiert die Verwendung für das Zertifikat. Mögliche Einträge für die Key Usage sind: Digitale Signatur, Non-Repudiation (Nicht-Zurückweisung), Key Agreement (Schlüsselvereinbarung), Verschlüsselung und/oder Datenverschlüsselung.

Was bedeutet «Dual Keying»?

Der Begriff «Dual Keying» wird oft im Zusammenhang mit Secure E-Mail verwendet. Wenn Sie über eine gut entwickelte Applikation verfügen, können Sie E-Mails verschlüsseln und signieren. Importieren Sie einfach ein SwissSign Zertifikat in Ihre E-Mail-Applikation und Sie können starten.

Dual Keying verwendet zwei Schlüsselpaare (Zertifikate):

  • Ein Paar für die Verschlüsselung. Machen Sie vom privaten Schlüssel des Verschlüsselungszertifikats unbedingt immer ein Backup. Ansonsten können Sie im Verlustfall Ihre verschlüsselten Daten nicht mehr lesen. Sie können das Backup auf der SwissSign Online Datenbank abspeichern. Im Verlustfall können Sie sich auf Ihr SwissSign Profil einloggen und das Zertifikat erneut herunterladen. Natürlich können Sie das Backup auch auf CD/Stick speichern.
  • Ein Paar für die digitale Signatur. Vom privaten Schlüssel des Signaturzertifikats müssen Sie kein Backup erstellen. Der Verlust ist kein Problem. Sie erstellen einfach ein neues. 
Digitale Signatur

Digitale Signaturen bieten die Grundlage, um einen Unterzeichner eines elektronischen Dokuments zu identifizieren und die Integrität der darin enthaltenden Daten zu schützen. Mit der digitalen Signatur kann verlässlich aufgezeigt werden, von wem die digitalen Daten – zum Beispiel eine E-Mail oder ein Dokument – stammen (Authentizität), und eine nachträgliche Veränderung des Dokumentes wird sofort erkannt (Integrität).

Sie können einen privaten Schlüssel zum digitalen Signieren von Dokumenten (z.B. E-Mails, PDFs) verwenden. Sofern Ihr Zertifikat zum Zeitpunkt der Signatur gültig ist, wird eine gültige digitale Signatur erstellt. Diese digitale Signatur kann von jedem, der im Besitze Ihres öffentlichen Schlüssels ist, verifiziert werden. Damit wird bewiesen, dass Sie das Dokument signiert haben.

Root- oder Stammzertifikat

Ein Stammzertifikat ist ein von einer CA (Zertifizierungsstelle) signiertes Zertifikat. Um ein Stammzertifikat zu benutzen, müssen Sie zunächst der entsprechenden CA vertrauen. Die Benutzung eines Stammzertifikats beinhaltet, dass die Benutzerinstanz alle Zertifikate akzeptiert, die von der betreffenden CA ausgegeben wurden.

Weitere Informationen über die CA-Nutzung, die Organisation, die Funktionen, Methoden und Prozesse sind dem SwissSign Certificate Policy CP/Certification Practice Statement (CPS) zu entnehmen: Repository

Was bedeutet «trust»?

Vertrauen ist das grundlegende Prinzip in jedem Sicherheits-Modell. Dies ist auch bei der Public Key Infrastruktur (PKI) der Fall. Um mit Zertifikaten überhaupt arbeiten zu können, müssen Sie der CA, die das Zertifikat ausgestellt hat, vertrauen.

PKIs sind immer hierarchisch organisiert. Die oberste Ebene der Hierarchie (Root) muss ausdrücklich als vertrauenswürdig hinterlegt sein, so dass dem Inhalt des entsprechenden Root-Zertifikats (Stammzertifikate) vertraut wird.

Die SwissSign Root-Zertifikate sind als vertrauenswürdig anerkannt, d.h. sie sind in u.a. folgenden Root Trust Stores hinterlegt: Microsoft, Mozilla (NSS) und Apple OS X. Verbreitung SwissSign Root-Zertifikate

Dem End-Nutzer dieser Anwendungen werden deshalb die SwissSign Zertifikate als vertrauenswürdig angezeigt. Sobald also das Root-Zertifikat einer PKI als vertrauenswürdig hinterlegt ist, kann jedes Unter-Zertifikat dieses hierarchischen Stammes sicher überprüft werden.

Einer CA wie SwissSign zu vertrauen bedeutet zudem, den verschiedenen zur PKI gehörigen Prozessen zu vertrauen, wie etwa der Benutzerregistrierung oder der Zertifikatsvalidierung (CRL, OCSP). Die Certificate Policy und Certification Practice Statements (CP/CPS) bringen dabei Transparenz in die Prozesse und helfen das Vertrauen zu stützen. So bestimmen Sie Ihr Vertrauen in die SwissSign CA, indem Sie die entsprechenden CP/CPS lesen. SwissSign ist zudem eine nach Schweizer Recht qualifizierter Zertifizierungsdienstanbieter (CSP), welcher die Anforderungen des Schweizerischen Bundesgesetzes über die elektronische Signatur (ZertES) erfüllt. Das ZertES seinerseits entspricht den strengsten internationalen Standards auf diesem Gebiet.

Importieren Sie schliesslich auch die entsprechenden SwissSign Root-Zertifikate in Ihre Programme, um das Vertrauensverhältnis aufzusetzen.

CA und RA – CAOs und RAOs

Eine Certificate Authority (CA) ist eine Anbieterin von Zertifizierungsdiensten oder eine Zertifizierungsstelle – eine «Trusted Third Party». Teils ist auch von einem Zertifizierungsdienstanbieter/Certification Service Provider (CSP) die Rede.

SwissSign ist eine CA – eine Stelle, die im Rahmen einer elektronischen Umgebung Daten von Personen, Organisationen oder Maschinen bestätigt und zu diesem Zweck digitale Zertifikate ausstellt.

Eine Registration Authority/Registrierungsstelle (RA) ist ein Dienst von SwissSign, der darin besteht, die Identität und wenn nötig die Attribute jedes Antragstellers eines Zertifikats zu überprüfen, bevor die CA das entsprechende Zertifikat erzeugt oder die Daten zur Aktivierung der Nutzung des Signaturschlüssels zuweist.

CAOs oder RAOs sind «Operatoren» (Personen) mit spezifischen Funktionen und Pflichten für die CA oder RA.

Was ist eine Public Key Infrastructure (PKI)?

Eine Public Key Infrastructure (PKI) ist eine Infrastruktur bzw. eine Umgebung, in der verschiedene Anwendungen und Funktionen mit kryptographischen Schlüsseln (öffentliche und private Schlüssel) und Zertifikaten ausgeführt werden. Diese Anwendungen reichen von Zugangskontrollen und sicheren E-Mail-Anwendungen bis hin zu verschiedenen Arten von digital signierten Informationen im Zusammenhang mit der CA oder RA.

Certificate Policy (CP) und Certificate Practice Statement (CPS)

Die Zertifizierungspolitik/Certificate Policy (CP) ist ein Dokument des Zertifizierungsdienstanbieters (CSP), dass die verschiedenen Akteure einer Public Key Infrastructure (PKI) und deren Rollen und Pflichten beschreibt. Es umfasst die Gesamtheit von Regeln, welche die Anwendbarkeit eines Zertifikats für einen bestimmten Personenkreis und/oder eine Klasse spezieller Anwendungen mit gemeinsamen Sicherheitsanforderungen vorschreiben. Es dient Dritten zur Analyse der Vertrauenswürdigkeit.

SwissSign Zertifikate entsprechen alle dem Standard X.509 Zertifikaten. Bei X.509 Zertifikaten kann ein spezielles Feld mit einem Link gesetzt werden, der auf die entsprechende CP/CPS verweist. So kann sich jede Partei über das Vertrauenslevel eines Zertifikates informieren.

CPS meint Aussagen über die Zertifizierungspraxen/Certificate Practice Statement (CPS). D.h. Aussagen über die Regeln und Richtlinien, die von SwissSign für die Ausstellung von Zertifikaten effektiv umgesetzt werden. Die CPS definiert die Ausrüstungen, die Politik und die Verfahren, die von der Anbieterin von Zertifizierungsdiensten in Übereinstimmung mit der von ihr gewählten Zertifizierungspolitik verwendet werden. Die CPSs entsprechen internationalen Standards basierend auf RFC 3647.

CP und CPS bilden die rechtliche Basis für die Beziehung zwischen den Zertifikatsinhabern und SwissSign.

SwissSign CP/CPS (Repository)

Warum SwissSign auf SHA-2 wechselt?

Microsoft hat im November 2013 angekündigt, ab Januar 2016 Code Signing Zertifikate und SSL Zertifikate mit SHA-1 nicht mehr als vertrauenswürdig zu akzeptieren.

SHA-2 besteht aus mehreren vom National Institute of Standards and Technology (NIST) entwickelten kryptographischen Hashalgorithmen, die den als schwächer eingestuften SHA-1-Hashalgorithmus ersetzen sollen.

Auch Google hat im September 2014 angekündigt, voraussichtlich ab Januar 2015 in allen Versionen des Google Chrome Browsers Webseiten, die mit Zertifikaten geschützt werden, die noch nach dem 1. Januar 2016 gültig sind und auf dem SHA-1 Algorithmus basieren, als unsicher anzuzeigen.

Was sind digitale Zertifikate?

In der elektronischen Welt erhält der Begriff Vertrauenswürdigkeit eine neue Dimension. Benutzer müssen in der Lage sein, den Kommunikationspartner eindeutig zu identifizieren.

Ein digitales oder elektronisches Zertifikat (Certificate) ist eine elektronische Bescheinigung, die einen Signaturprüfschlüssel mit dem Namen einer Person, Organisation oder eines Servers verknüpft. Oder anders: Bei einem Zertifikat handelt es sich um eine nicht veränderbare «elektronischen Identitätskarte», die der Benutzer für die Identifikation und/oder Verschlüsselung im Internet verwenden kann.

Identifikation: Zertifikate werden verwendet,

  •  um den Sender von Informationen zu identifizieren.
  •  um den Server, mit dem sich ein User verbindet, zu identifizieren.
  •  um den User, der sich mit einem Server verbindet, zu identifizieren.


Verschlüsselung: Digitale Zertifikate enthalten den öffentlichen Schlüssel des Zertifikats-Inhabers. Dieser kann von seinem Gegenüber benutzt werden, um eine E-Mail oder ein Dokument zu verschlüsseln, das über das Internet versendet wird.

Zertifikate spielen auch eine wichtige Rolle bei sicheren Web-Transaktionen wie https (SSL Zertifikate).

Was enthält ein digitales Zertifikat?

Es gibt verschiedene Typen von digitalen Zertifikaten. Das minimale Set enthält Folgendes:

  • Den öffentlichen Schlüssel des Zertifikatsinhabers (Person, Computer/Maschine oder Organisation)
  • Informationen zum Zertifikatsinhaber
  • Information zum Herausgeber des Zertifikats, also zur CA oder zur Organisation, die das Zertifikat ausgeliefert hat.
  • Digitale Signatur dieses Zertifikats durch den Herausgeber
  • Auslieferungs- und Auslaufdatum des Zertifikats
  • Seriennummer des Zertifikats
  • Zertifikate von SwissSign enthalten noch Angaben zur CP/CPS.
Wie sicher ist die Schlüsselgenerierung?

Bei der SwissSign wird zur Generierung ein äusserst sicherer Prozess eingesetzt. Basis ist ein Zufallsgenerator, der mit vielen zufälligen Ereignissen versorgt wird, die so nicht noch einmal auftreten können. Hierbei werden zufällige, aktuelle Zustandsinformationen von Prozessen genutzt, verschiedene Zeitstempel, Prozessnummern etc. Dieser sehr komplexe Zufallsprozess wird für jeden Schlüssel einmal durchgeführt und ist somit einzigartig.

Was ist ein Root Store Programm und wie funktioniert es?

Hersteller von Browsern, Betriebssystemen, Mailclients und anderen Softwares, die Zertifikate auswerten, müssen ein Programm pflegen, in dem sie die CSPs verwalten, die sie ihren Kunden als vertrauenswürdige CSPs empfehlen (Rootstore Programm).

Die Pflege eines eigenen Rootstore Programmes ist aufwendig. Es umfasst die Pflege der Anforderungsdokumente und der aufgenommen CSPs. Das Pflegen der minimalen Anforderungsdokumente übernimmt deshalb das CA Browser Forum. In diesem Gremium sind die Rootstore Progamm-Pfleger (Software Hersteller) und die CSPs vertreten und erarbeiten und pflegen gemeinsam die Anforderungsdokumente.

Heute basieren immer mehr Rootstore Programme auf den «Baseline Requirements» des CA Browser Forums. www.cabforum.org

Warum kann jede Person auf www.swisssign.net meine Zertifikate einsehen?

Das Zertifikat beinhaltet den öffentlichen Schlüssel (Public Key). Wenn z.B. Alice Ihnen eine vertrauliche E-Mail sendet und dazu das Public-Key-Verfahren nutzen möchte, benötigt sie dafür Ihren öffentlichen Schlüssel. Eine der Aufgaben einer CA ist es, die Public Keys auch öffentlich zugänglich zu machen.

SwissSign bietet Ihnen drei Privacy-Stufen an. Im technischen Benutzerkonto auf www.swisssign.net (Menupunkt «Meine Zertifikate», letzte Kolonne rechts) können Sie unter dem Eintrag «Sicherheitsstufe» zwischen «Privat», «Öffentlich prüfbar» und «Öffentlich zugänglich» auswählen. Diese Auswahloption betrifft den öffentlichen Teil Ihres Zertifikats. Sie bestimmen somit die Sichtbarkeit Ihrer Zertifikate für Dritte selbst.

Wie werden SwissSign Zertifikate im Ausland anerkannt?

Lesen Sie hierzu das Dokument Hinweise zur rechtlichen Bedeutsamkeit von SwissSign Zertifikaten (PDF, 273 KB).

Zertifikats-Lebenszyklus

Jedes digitale Zertifikats durchläuft den folgenden Lebenszyklus:

  • Zertifikats-Antrag: Ein Benutzer beantragt ein Zertifikat.
  • Antrags-Prüfung: Die Registration Authority (RA) prüft die Identität des Benutzers/Antragstellers.
  • Generierung/Ausstellung der Zertifikate: Die Certificate Authority (CA) stellt das Zertifikat aus. Dieses Zertifikat enthält Angaben zum Inhaber, zum Herausgeber, der erlaubten Nutzung und dessen Lebensdauer (gültig von und gültig bis)
  • Suspension: Das Zertifikat wird einstweilig gesperrt. Dies wird bei SwissSign nicht praktiziert.
  • Revokation/Ungültigkeit: Das Zertifikat wird vor dem Verfall revoziert bzw. für ungültig erklärt.
  • Zertifikats-Laufzeitende: Die Lebensdauer des Zertifikats ist abgelaufen.
  • Zertifikats-Renewal: Erneuerung des Zertifikats.
Was ist ein Zeitstempel?

Der Zeitstempel Dienst/Time Stamping Dienst (TSA) ist der Service einer CA, der eine mit dem Datum, der Uhrzeit und einer Signatur der CA versehene Bescheinigung abgibt, wonach bestimmte digitale Daten zu einem bestimmten Zeitpunkt existiert haben. Der SwissSign Zeitstempeldienst entspricht der Schweizer Gesetzgebung (ZertES).

Was bedeuten CRL und OCSP (Validierungsdienste VA)?

VA steht für Validierungsdienst. Einer der gebräuchlichsten Validierungsdienste stellt die Überprüfung der Gültigkeit eines Zertifikats mittels einer sogenannten Zertifikatssperrliste (CRL) dar oder mittels OCSP (Online Certificate Status Protocol) dar.

Wie in der physischen ist es auch in der digitalen Welt gefährlich, wenn man einen Schlüssel verliert oder der Schlüssel, z.B. aufgrund des Weggangs eines Mitarbeiters, keine Gültigkeit mehr hat. Daher werden immer wieder Schlüssel/Zertifikate gemeldet, die gesperrt werden müssen, um Schäden zu verhindern. SwissSign veröffentlicht – wie jede CA – diese Schlüssel/Zertifikate in sogenannten «Certificate Revocation Lists» (CRL).

Die CRL (Widerrufsliste oder Zertifikatssperrliste) enthält alle Seriennummern der Zertifikate, welche vor Ablauf ihrer Zertifikats-Lebensdauer für ungültig erklärt wurden. Bei der Zertifikatsstatusprüfung wird die Liste von einer öffentlichen URL geladen und die Seriennummer des Zertifikats, das geprüft werden soll, in dieser Liste gesucht: Ist es vorhanden, ist das Zertifikat gesperrt, andernfalls ist es gültig.

Revozierte bzw. für ungültig erklärte Zertifikate bleiben auch nach dem im Zertifikat angegeben Ablaufdatum auf der CRL. Grund dafür ist, dass es für die Validierung der Signatur wichtig ist zu wissen, wann ein Zertifikat revoziert wurde.

CRLs werden in der Regel in regelmäßigen Abständen aktualisiert. Wie bei den Zertifikaten ist auch bei den CRL die Lebensdauer in der CRL selber festgelegt. Diese Lebensdauer ist massiv länger als die Ausstellungshäufigkeit (mindestens 2 mal pro Tag) vermuten lässt. Damit wird auch der «Fault majeur» abgedeckt. CRLs können lokal zwischengespeichert werden und ermöglichen die Offline-Abfrage eines Zertifikatsstatus. Dabei wird die Verbindung zwischen Zertifikatsinhaber und der Relying Party dem CSP nicht offen gelegt. Allerdings gibt es eine relativ hohe Ungenauigkeit bei der Statusabfrage eines Zertifikats.

Eine Alternative bildet der online funktionierende Validierungsdienst OCSP (Online Certificate Status Protocol). Dieser gibt in Echtzeit Auskunft über die Gültigkeit eines Zertifikates. Für den OCSP Einsatz ist eine hohe Performance der CA wichtig. Die SwissSign CA stellt diese hohe Performance sicher und setzt auch für OCSP nur eigene, in der Schweiz entwickelte Software ein. Online-Statusprüfungen werden üblicherweise dort eingesetzt, wo die zeitgenaue Prüfung des Zertifikates wichtig ist – z.B. bei finanziellen Transfers.

Was bedeutet es, wenn ich ein gültig signiertes E-Mail erhalte?
  • Die Nachricht wurde nach dem Versand nicht mehr verändert.
  • Je nach der CP/CPS, die mit dem signierenden Zertifikat verbunden ist, können Sie darauf vertrauen, dass der Absender derjenige ist, für den er sich ausgibt.
Certificate Transparency – worum geht es?

Google Chrome basiert auf dem Modell des «Certificate Transparency» (CT). Über dieses CT-Sicherheitsverfahren sollen fehlerhaft arbeitende Zertifizierungsstellen identifiziert und aus der abgesicherten Internetkommunikation ausgeschlossen werden. Das von Google Chrome vorangetriebene Verfahren ist ein wichtiger Eckpfeiler der vertrauenswürdigen Internetkommunikation.

Grundidee: In einem kryptografisch geschützten Log-System sollen alle für die sichere Internet-kommunikation genutzten Zertifikate registriert und von mindestens 3 weltweit verteilten, zentralen Log-Servern verwaltet werden. Nachträgliche Veränderungen, Auffällige und unzulässige Registrierungen, falsche Zertifikate, Ergänzungen oder sonstige Manipulationen eines einmal registrierten Zertifikats wären damit ausgeschlossen bzw. würden von jedem Browser umgehend erkannt.

SwissSign unterstützt mit seinen EV Zertifikaten vollumfänglich Certificate Transparency. Jeder Nutzer eines EV Zertifikates kann durch Einschalten von OCSP Stapling die Log Einträge der SwissSign Zertifikate nachweisen und ermöglicht damit einen grünen Balken im Chrome Browser. SwissSign unterstützt hierbei mit mehreren europäischen Zertifizierungsstellen zusammen einen pan-europäischen Certificate Transparency Log.

Wie kann ich prüfen, dass der Absender wirklich der ist, für den er sich ausgibt?

In der entsprechenden CP/CPS des Herausgebers können Sie nachlesen, mit welcher Qualität der Zertifikatsinhaber (Absender) durch den Herausgeber identifiziert wurde. So ist die Authentizität des Absenders durch eine gültige und vertrauenswürdige Signatur gegeben. Gesundes Misstrauen ist aber trotzdem angezeigt bei unbekannten Absendern, besonders wenn der Herausgeber der Signatur ebenfalls nicht bekannt ist.

Was muss beachtet werden, wenn E-Mails mittels Personenzertifikat verschlüsselt werden?

E-Mails werden mit dem Public Key (öffentlicher Schlüssel) des Empfängers verschlüsselt und dem Private Key (privater Schlüssel) des Empfängers entschlüsselt. Signiert wird mit dem Zertifikat.

  • Zertifikate bzw. das Passwort zum privaten Schlüssel können verlorengehen. Die mit diesem Zertifikat verschlüsselten E-Mails können nie mehr und durch niemanden mehr gelesen werden.
  • Zertifikate werden erneuert, aber es wird vergessen, das abgelaufene alte Zertifikat ebenfalls noch zu installieren. Alle alten aufbewahrten E-Mails können nicht mehr gelesen werden. Zugriff nach Zertifikats-Ablauf
  • Ein Mitarbeitender verlässt die Firma oder ist längere Zeit abwesend. Seine E-Mails können durch keinen anderen mehr gelesen werden.
  • Ein Virus oder Trojaner wird mit einer verschlüsselten E-Mail zugesendet. Kein Virenschutzprogramm kann eine verschlüsselte E-Mail durchsuchen, der Virus oder Trojaner kann ungestraft eindringen. Somit kann Verschlüsselung in diesem Falle sogar ein Sicherheitsrisiko bedeuten.
Was ist ein qualifiziertes Zertifikat?

Der Begriff «qualifiziertes Zertifikat» wurde in Europa während einer EU-weiten Kampagne zur Einführung eines einheitlichen Standards für PKI-Systeme geprägt. Es existiert zwar keine formelle Definition, aber als qualifiziertes Zertifikat wird üblicherweise ein Zertifikat bezeichnet, das gemäss den nationalen gesetzlichen Vorschriften ausgegeben wurde. Derzeit gilt in der Schweiz ein eigenes digitales Signaturgesetz: das  Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur vom 19. Dezember 2003, ZertES SR 943.03. In der EU gilt die Norm ETSI TS 101 456 und in den USA und Kanada ANSI X9.79.

Was ist https?

http + Secure Socket Layer SSL = https

https ist der Standard für die verschlüsselte Übertragung von Daten zwischen Browser und Webserver – für sichere Web-Transaktionen. Er beruht auf X.509 Zertifikaten. Dabei wird ein asymmetrisches Verschlüsselungsverfahren verwendet. Dieses erfordert einen hohen mathematischen Aufwand und verursacht viel Prozessorlast. Dafür sind die übertragenen Schlüssel durch einen Angreifer nicht abfangbar.

Und so funktioniert’s (Aufbau der HTTPS-Verbindung): Der Webserver sendet dem Browser sein von einer CA signiertes digitales Zertifikat (Webserver-Zertifikat). Dieses enthält einerseits den öffentlichen Schlüssel des Webservers und identifiziert andererseits den Server. Der Browser prüft dieses mit Hilfe des installierten CA Zertifikats auf seine Echtheit – der Browser vertraut korrekt signierten Webserver-Zertifikaten. Der Browser generiert nun einen geheimen symmetrischen Schlüssel, der nur für diese SSL Session verwendet wird, verschlüsselt ihn mit dem öffentlichen Schlüssel des Webservers und sendet diesen an den Webserver. Weitere Daten können nun mit diesem Sitzungsschlüssel oder verschlüsselt werden. Mit dem nun auf beiden Seiten vorhandenen Sitzungsschlüssel («secret session key») kann nun eine symmetrische Datenverschlüsselung beginnen. Diese ist deutlich einfacher und verursacht nur eine geringe Prozessorlast.

Rolle der CA: Diese garantiert die unverfälschte Übertragung der öffentlichen Schlüssel und die Echtheit des Webservers. Das Zertifikat der CA wird in allen Browsern installiert und erscheint dort als «Vertrauenswürdige Stammzertifizierungsstelle». Sollte das Zertifikat nicht installiert sein, erhält der Benutzer beim Öffnen der Webseite eine Fehlermeldung. Der Webserver generiert ebenfalls ein Schlüsselpaar, dessen öffentlicher Teil zur CA übertragen wird. Die CA prüft die Angaben des Webserverbetreibers und signiert den Schlüssel. Das damit entstandene Webserver-Zertifikat garantiert die Echtheit des Webservers und stellt eine Garantie für User dar, dass sie sich mit dem richtigen Webserver verbunden haben.

Welches Zertifikat benötige ich für den sicheren Zugriff per Outlook Web Access (OWA)?

Für Outlook Web Access (OWA) benötigen Sie ein SSL Zertifikat, das auf dem OWA Server installiert wird. Je nachdem welche Vertrauensstufe Sie wünschen, wählen Sie zwischen einem Einzelzertifikat Silver, Gold oder Gold EV.

Verschlüsselung bei SSL Zertifikaten

Das CA Trustcenter von SwissSign muss sehr hohen Anforderungen genügen, damit Zertifikate als ausreichend sicher gelten. Wesentliches Merkmal für die Sicherheit ist die Schlüssellänge, die aufgrund von Fortschritten in der Rechentechnik und Kryptologie immer wieder angepasst wird.

Seit 2010 empfehlen die Industriestandards eine Schlüssellänge von 2048 Bit für die asymmetrischen Zertifikatsschlüssel. Mit diesen asymmetrischen Schlüsseln können dann symmetrische Schlüssel ausgetauscht  und Inhalte symmetrisch verschlüsselt werden.

Das SSL Zertifikat mit seinen asymmetrischen Schlüsseln wird nur für die eindeutige und sichere Identifikation des Servers, für die gegenseitige Authentisierung als auch den Aufbau des sicheren Kanals für den Tausch von symmetrischen Schlüsseln verwendet. Aus Performancegründen erfolgt der Datenaustausch selber dann nur noch mittels der ausgetauschten symmetrischen Schlüssel. Alle SwissSign SSL Zertifikate lassen höchstmögliche Schlüssellänge der symmetrischen Schlüssel zu, die heute typischerweise 256 Bit betragen.

Was ist Microsoft Unified Communications & Collaboration (UCC)?

Mit den Technologien der integrierten Kommunikation und Zusammenarbeit (Unified Communications & Collaboration, UCC) bietet Microsoft eine effiziente und einfache Möglichkeit der Kommunikation über verschiedene Anwendungen hinweg an. Einheitliche Schnittstellen erweitern die Kompatibilität zwischen den Office Produkten und ermöglichen den reibungslosen und sicheren Austausch von Daten auf elektronischem Weg.

Zentrales Element von UCC ist Microsoft® Exchange™. Zu den UCC Anwendungen gehören aber auch Outlook Web  Access (OWA), ActiveSync, Outlook Anywhere, Autodiscover, POP3, IMAP4, Unified Messaging, Office Communications, Office Enterprise, Office SharePoint und Office SharePoint Designer. Die Vereinfachung der Kommunikationswege stellt aber auch spezielle Anforderungen an die Sicherheit. So muss der Datenaustausch innerhalb der UCC Server gesichert werden.

Warum steht im Personal Silver Zertifikat die E-Mail in der Form Email:?

Die Zertifikatsausstellung richtet sich nach der Norm RFC 5280. Die neuere Norm sieht den Eintrag im Subject Distinguished Name vor als auch im Subject Alternative Name (SAN). Insbesondere auf letzteres achten die meisten Mailapplikationen am Markt. Die Platzierung der E-Mail-Adresse im emailAddress Attribut des Subject Distinguished Name ist veraltet und wird von SwissSign nicht mehr genutzt.

ZertES

ZertES ist das Kürzel für das Schweizer Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur vom 19. Dezember 2003, ZertES SR 943.03.

Welche Dokumente dürfen elektronisch archiviert werden?

Bilanz und Erfolgsrechnung müssen physisch archiviert und handschriftlich unterzeichnet werden. Wenn sie elektronische archiviert werden, müssen die Originale aufbewahrt werden.

Geschäftsbücher, Buchungsbelege, Geschäftskorrespondenz und Inventare (Hauptbuch wie Konten und Journal, Hilfsbücher, insb. Lohnbuchhaltung, Debitoren- und Kreditorenbuchhaltung, Warenbestände / nicht fakturierte Dienstleistungen) können elektronisch archiviert werden.

Ziel des paneuropäischen Certificate Logs von D-TRUST, SwissSign und Izenpe

Die notwendigen Registrierungssysteme für das CT-Modell, so genannte «Certificate Logs», werden bisher nur von US-amerikanischen Anbietern (Google, DigiCert) bereitgestellt. Vor diesem Hintergrund haben sich die Akteure von D-TRUST, SwissSign und Izenpe im Juli 2014 zur Pilotierung eines eigenen Certificate Logs entschieden, dass das CT-Modell über eine komplett eigenständige Log-Infrastruktur unterstützen soll.

Eines der wesentlichen Ziele der Initiative der drei Trust-Center ist, dass die grün-hinterlegten Adresszeile des Browsers (green bar), welche die Internet-Nutzer auf eine vertrauenswürdige Verbindung hinweist, auch zukünftig die Interessen aller im internationalen CA/Browser-Forum vertretenen Anbieter spiegelt.

Denn sollte sich allein das US-amerikanische CT-Modell (Google) durchsetzen, so die Befürchtung, könnten einzelne Zertifikate trotz hoher Sicherheitsstandards das bewährte Gütesiegel des grünen Extended-Validation-Bars verlieren.

Welches Format wird für die gesetzeskonforme elektronische Rechnungsstellung ElDI-V und die elektronische Archivierung GeBüV verlangt?

Das Format ist im Gesetz nicht definiert. In der Regel werden die Formate PDF, PDF/A (Signatur im Dokument integriert) oder TIFF (Signatur in separatem File => fingerprint) verwendet.

Welches Zertifikat nehme ich, um meine geschäftlichen Dokumente zu signieren?

Grundsätzlich obliegt es Ihnen zu entscheiden, welches Zertifikat für welchen Zweck (z.B. Archivierung oder Rechnungsstellung) geeignet ist und dabei den rechtlichen Anforderungen und Ihren internen Vorschriften entspricht.

SwissSign kann Ihnen hierzu leider nur allgemeine Informationen geben und ist nicht berechtigt, abschliessende Empfehlungen auszusprechen. Die Rechtslage ist z.B. je nach Kanton unterschiedlich und auch abhängig davon, ob internationales Recht Anwendung findet oder ob innerbehördliche oder innerbetriebliche Vorschriften bestehen.

Wie signiere ich meinen Code?

Das Vorgehen zur Signatur Ihres Codes hängt von der zugrundeliegenden Plattform ab. Die Anleitungen finden Sie bei den entsprechenden Herstellern:

  • Microsoft «Authenticode»: Unsere Zertifikate können eingesetzt werden. Mit dem neuen Windows SDK kann die Code Signatur auch auf der Windows Plattform erfolgen. Ein typischer Aufruf unter Windows für das signtool ist z.B.:
    signtool sign /tr http://tsa.swisssign.net /a /f <P12-Datei> /p <Password für P12-Datei> myprogram.exe
  • osslsigncode 1.5.1, welches auch für Cross-Compiling Windows auf Linux eingesetzt wird, unterstützt ebenfalls die RFC 3161 mit der -ts Option, siehe auch Webseite von osslsigncode
  • Java JAR Signer: Unsere Zertifikate können eingesetzt werden.
  • Android: Unsere Zertifikate können eingesetzt werden.
  • Apple iOS / OS X: Apple akzeptiert seit neustem ausschliesslich ihre eigenen Zertifikate – d.h. es können keine Zertifikate von Drittanbietern wie SwissSign für Code Signatur eingesetzt werden.
RFC (Request for Comments)

RFC steht für «Request for Comments». RFCs sind eine Reihe technischer und organisatorischer Dokumente des RFC-Editors, die allgemein und international als Internet Standards akzeptiert werden. Das RFC System wurde bereits 1969 initiiert.

Mehr Informationen siehe www.rfc-editor.org.

Stand des paneuropäischen Sicherheitssystems – Verzögerung

Die Entwicklung einer eigenständigen paneuropäischen Log-Infrastruktur wurde im Herbst letzten Jahres abgeschlossen und zur Freigabe Google vorgelegt. Die Freigabe ist bei Google noch nicht abgeschlossen. Somit arbeitet SwissSign daran, zunächst die SSL EV Zertifikate in die zwei Google CT-Logs einzutragen. Sobald der paneuropäische Log freigegeben wurde, erhalten alle SwissSign Zertifikate Freigaben von drei CT-Logs: zwei Google CT-Logs plus dem paneuropäischen Log. Das ist laut Google ab Sommer die Voraussetzung, damit die Zertifikate weiterhin mit grünen Balken angezeigt werden. Bis dahin genügt auch ein Eintrag in einem Log.

Leider ändert sich die Google Chrome Terminlage laufend und die zunächst kommunizierten Termine werden auch nicht eingehalten: Es zeigt sich: Ein solcher Systemwechsel braucht Zeit.

Was bedeutet Certificate Transparency für SwissSign Kunden? Müssen die betroffenen Zertifikate nach Abschluss der paneuropäischen Log-Infrastruktur neu ausgestellt und installiert werden?

SwissSign registriert alle EV Zertifikate in den beiden Certificate Transparency Logs von Google und zusätzlich im paneuropäischen Certificate Transparency Log. Bitte beachten Sie das «OCSP Stapling» eingeschaltet ist. Ab 2016 wird in den Browsern Chrome und Firefox «OCSP Stapling» Pflicht werden.

Darstellung des grünen Balkens bisher und ab dem 1. Januar 2015 in Google Chrome

SSL EV bisher

Green bar und grünes Schloss (und nach CT-Log Anmeldung auch zukünftig)

(IMAGE: swisssign_faq_GruenesSchloss1.png)

 

SSL EV nach dem 1. Januar 2015 von SwissSign ausgestellt (ohne CT-Log)

Nur noch grünes Schloss

(IMAGE: swisssign_faq_GruenesSchloss2.png)

Ersetzen CT-Logs SSL Zertifikate?

CT-Logs ergänzen das SSL-Sicherheitssystem und erhöhen dessen Vertrauenswürdigkeit – sie ersetzen es nicht.

(IMAGE: swisssign_faq_CT-Logos.png)

Beratung SSL-Zertifikate

Intermediate Zertifikate

Die Intermediate Zertifikate können Sie auf der folgenden Seite herunterladen. 

Was ist CAA (Certification Authority Authorization)?

Certification Authority Authorization (CAA) ist ein 2013 publizierter Internetstandard mit der Bezeichnung RFC 6844.

Domänennamen sind ähnlich einem grossen Telefonbuch in einem weltweit verteilten Register mit Namen aufgeführt, dem sogenannten Domain Name Service oder kurz DNS. Eine Webseite mit einem klingenden Namen, wie www.swisssign.com wird durch diesen Dienst in eine Internetadresse, wie z.B. «46.175.9.80» umgesetzt und so für verschiedene Internetdienste, beispielsweise einem Browser erreichbar. Der Domain Name Service erlaubt neben der Umsetzung verschiedene Zusatzinformationen, wie Namen und Adresse des Eigentümers einer Webseite.

Durch den Standard CAA werden nun weitere Informationen für diese Domänen gespeichert: Es wird festgehalten, welche Zertifizierungsstelle für die genannte Domäne ein Zertifikat ausstellen darf. Ist keine Zertifizierungsstelle eingetragen, kann jede ein Zertifikat ausstellen, anderweitig darf eine Zertifizierungsstelle kein Zertifikat für die Domäne ausstellen, sofern ihr Name dort nicht genannt wurde.

Weshalb diese Regelung?

In den letzten Jahren gab es vermehrt «Man-in-the-middle» Angriffe, ein Angriffsverhalten, was auch von Geheimdiensten aus aller Welt genutzt wird. Diese haben zur Spionage von Zugriffen auf eine verschlüsselte Webseite eine befreundete oder willfährige Zertifizierungsstelle gebeten, ein gleichartiges Zertifikat für diese Webseite auszustellen. Nun wurde mit diesem «Fake» Zertifikat diese Webseite neu vom Angreifer aufgebaut und der Datenverkehr durch Router Manipulation zunächst auf die Fake Webseite gelenkt. Hier wird dann mitgelauscht und die Kommunikation direkt zur Originalwebseite weitergeleitet. Angegriffene Webseite und Besucher der Webseite bekommen hier in der Regel nichts mit.

Ein CAA Eintrag kann das Risiko reduzieren, indem man bewusst Zertifizierungsstellen einträgt, denen man vertraut. Seit September 2017 sind alle in den Browsern zugelassenen Zertifizierungsstellen durch das CA Browser Forum, einer Vereinigung von Browserherstellern und Zertifizierungsstellen, gezwungen, vor Ausstellung den CAA Eintrag zu überprüfen.

Wie richte ich CAA für meine Website ein?

CAA ist ein Verfahren, bei dem der Domäneneigentümer festlegen kann, welche CA für seine Domäne Zertifikate ausstellen darf.  Hierzu wird im DNS ein sogenannter CAA record eingetragen. SwissSign überprüft ab September 2017 alle Domänen vor Zertifikatsausstellung darauf, ob Sie eine Einschränkung in ihrem CAA record haben. Domänen, die eingeschränkt wurden, Zertifikate von Zertifizierungsstellen anzunehmen, die nicht SwissSign heissen, werden im Zertifikat nicht zugelassen. Der Zertifikatsantrag wird abgelehnt. Sofern keine Einschränkung platziert wurde oder der CAA record SwissSign zulässt, wird das Zertifikat genehmigt.

Der CAA Konfigurator hilft Ihnen, die exakte Einstellung für Ihre Webseite zu finden.

Anbei einige Beispiele abhängig von der eingesetzten DNS Technologie:

 

Erlaubnis für SwissSign Zertifikate auszustellen

Standard BIND Zone File

For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com.     IN       CAA      0 issue "swisssign.com"

Legacy Zone File (RFC 3597 Syntax)

For BIND <9.9.6, NSD <4.0.1

example.com.     IN       TYPE257  \# 20 0005697373756573776973737369676E2E636F6D

 

Erlaubnis für SwissSign Nicht-Wildcard Zertifikate auszustellen

Standard BIND Zone File

For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com.     IN       CAA      0 issue "swisssign.com"

example.com.     IN       CAA      0 issuewild ";"

 Legacy Zone File (RFC 3597 Syntax)

For BIND <9.9.6, NSD <4.0.1

example.com.     IN       TYPE257  \# 20 0005697373756573776973737369676E2E636F6D

example.com.     IN       TYPE257  \# 12 0009697373756577696C643B

 

Erlaubnis für SwissSign Nur Wildcard Zertifikate auszustellen

Standard BIND Zone File

For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com.     IN       CAA      0 issue ";"

example.com.     IN       CAA      0 issuewild "swisssign.com"

Legacy Zone File (RFC 3597 Syntax)

For BIND <9.9.6, NSD <4.0.1

example.com.     IN       TYPE257  \# 8 000569737375653B

example.com.     IN       TYPE257  \# 24 0009697373756577696C6473776973737369676E2E636F6D

Wie viele Server Installationen beinhalten SwissSign SSL?

Mit SwissSign SSL Zertifikaten erwerben Sie unlimitierte Server Lizenzen. Im Gegensatz zu den meisten anderen SSL Zertifikaten können Sie Ihr SwissSign SSL Zertifikat also auf beliebig vielen physischen Server installieren.

Erhalte ich ein SSL Zertifikat der Stufe Gold/Gold EV für meine Domäne meinedomain.dyndns.ch oder meinedomain.dyndns.org?

Leider Nein, da Sie gemäss www.whois.ch nicht Besitzer der Domäne dyndns.ch oder dyndns.org sind und DynDNS keine Domainvalidierung vornimmt, wird es schwierig, eine Bestätigung des Besitzers zu erhalten, welche auch überprüfbar ist.

Wie können Vereine ein SSL EV Zertifikat beantragen?

Um ein SSL Gold EV Zertifikat zu erwerben, müssen auch Vereine eine Registernummer angeben.

In der Schweiz können Vereine wie Unternehmen eine Unternehmens-ID (UID) beantragen. Diese ist nicht zu verwechseln mit der EU-Umsatzsteuer-ID (EU-UID). Vereine mit einem Jahresumsatz unter CHF 150'000 sind zwar befreit von der Mehrwertsteuer, erhalten auf Anfrage aber eine Unternehmens-ID. Diese UID ist als Registernummer in das Zertifikat einzutragen.

Deutsche Vereine sind als eingetragene Vereine im Vereinsregister eingetragen und können diese Nummer verwenden.

Das SwissSign Fulfillment kann die Schweizer UID einsehen. Sofern Sie die Sichtbarkeit Ihrer UID nicht eingeschränkt haben, reichen Ihre Vereinsangaben aus. Andernfalls geben Sie uns bitte eine UID Bestätigung mit. Ausländische Vereine legen bitte einen Registerauszug zur Bestätigung bei.

Die UID als Handelsregisternummer?

Die Unternehmens-Identifikationsnummer (UID) ersetzt die bisherige Firmennummer im Handelsregister.

Seit Januar 2011 ordnet das Bundesamt für Statistik (BFS) jedem in der Schweiz wirtschaftlich aktiven Unternehmen, eine eindeutige und übergreifende Unternehmens-Identifikationsnummer (UID) zu. Diese ermöglicht es den Unternehmen, sich bei allen Behördenkontakten mit ein und derselben Nummer zu identifizieren.

Die Ablösung der alten elfstelligen Handelsregisternummer (CH-123.4.567.890-1) erfolgte am 1. Januar 2014. Seit diesem Zeitpunkt ist die UID die gültige Handelsregisternummer.

In den SwissSign SSL Gold EV Zertifikaten wird seit diesem Zeitpunkt auf die UID referenziert.

Was unterscheidet UCC/SAN (Multi-Domain) SSL Zertifikate von andern SSL Zertifikaten?

Herkömmliche SSL Zertifikate eignen sich nur zum Sichern einzelner Domänen oder Sub-Domänen. So müsste im Fall von UCC für jeden Server ein unterschiedliches SSL Zertifikat bezogen und installiert werden, was mit einem hohen Aufwand verbunden wäre.

Das UCC/SAN Zertifikat beinhaltet als ein spezielles SSL Zertifikat eine Erweiterung, die mehrere sogenannte «Subject Alternative Names» (SAN) zulässt. Diese SAN können aus Prefixes (Subdomains) und Hostnamen bestehen. Damit erlaubt das UCC/SAN Zertifikat, mit einem einzigen Zertifikat mehrere SAN abzusichern. Die gesamte Kommunikation zwischen mehreren Servern wird damit mit nur einem einzigen UCC/SAN Zertifikat verschlüsselt. Die Komplexität bei der Server Konfiguration wird so drastisch reduziert.

UCC/SAN – Wildcard oder Multi-Domain für Microsoft Exchange?

Beim Aufsetzen einer UCC/SAN Umgebung unter Exchange stellt sich immer wieder die Frage, ob ein (günstigeres) Wildcard Zertifikat ausreicht, oder ob man zu einem (teureren) Multi-Domain Zertifikat greifen sollte. Früher gab es spezielle UCC/SAN Zertifikate, die auch interne Namensbezeichnungen wie autodiscover usw. zuliessen oder sogar interne IP-Adressen. Diese sind nun seitens des CA/Browser Forums nicht mehr zugelassen.

Generell sind für die UCC/SAN Umgebungen für Microsoft Multi-Domain Zertifikate empfohlen. Ab Microsoft Exchange 2010 können auch Wildcard Zertifikate genutzt werden. Microsoft Technet weist darauf hin. Allerdings können Wildcard Zertifikate nicht für 2007er Versionen genutzt werden oder in Verbindung mit einer Kommunikation mit älteren Mobilfunkgeräten, wie Windows Mobile 5.0.

Was beachtet werden muss bei der Verwendung von Wildcard Zertifikaten ist hier sehr schön beschrieben. Speziell für Lync 2013 bietet Microsoft Informationen hier und bezüglich Wildcard Einsatz hier.

Wann wähle ich ein SSL Wildcard und wann ein SSL Multi-Domain Zertifikat?

SSL Zertifikate gibt es grundsätzlich in drei Ausprägungen:

  • Single-Domain: Nutzbar nur für eine spezielle Webseite. Beispiel: mywebsite.com.
  • Multi-Domain: Nutzbar für mehrere Webseiten/Domänen. Beispiel: mywebsite.com, yourwebsite.com, hiswebsite.ch.
  • Wildcard: Nutzbar für jede Webseite mit einem festgelegten Domänennamen. Beispiel: db.mywebsite.com, mail.mywebsite.com, sap.mywebsite.com etc.


Multi-Domain Zertifikate werden auch oft UCC/SAN (Unified Communication Certificates/Subject Alternative Name) genannt, da sie prädestiniert sind für den Einsatz bei Lync und Exchange in einer Microsoft Umgebung. Im SAN Feld des Zertifikates befindet sich bei den Multi-Domain und Wildcard Zertifikaten ein Eintrag, welcher auf die weiteren Domänen oder auf das Wildcard hinweist.

Sehr häufig werden Multi-Domain oder Wildcard Zertifikate auch wegen ihres Preisvorteils verwendet. Kopien des gleichen SwissSign Zertifikates können beliebig auf verschiedenen Servern eingesetzt werden. So kann ggfs. mit einem Wildcard Zertifikat eine komplette Firmenumgebung abgesichert werden. Die Möglichkeiten mit einem Wildcard Zertifikat sind auf der einen Seite sehr bequem, können auf der anderen Seite aber in grossen Firmenstrukturen auch riskant sein: Sollte ein privater Schlüssel dieses Zertifikates auf einem der vielen Server kompromittiert werden und damit eine betrügerische Webseite mit ihrem Domänennamen als Man-in-the-Middle geschaltet werden, fällt das kaum auf und der Schaden ist gross. Zumal diese betrügerische Seite perfekt mit einem Zertifikat des Unternehmens geschützt ist. Daher dürfen Wildcard Zertifikate auch nicht mit dem EV Standard angeboten werden.

Multi-Domain Zertifikate haben dieses Problem nicht. Hingegen kann ein Multi-Domain Zertifikat Performanceprobleme aufweisen, wenn es mit einer sehr langen Liste von Domänen gefüllt ist. Für eine Kommunikation wird das Zertifikat übertragen und je länger das Zertifikat ist, desto mehr Bytes müssen auch übertragen werden. Bei 20 SAN Einträgen ist das kein Problem. Bei 50, 100 oder 200 SAN Einträgen kann die Performance aber schon eine Rolle spielen.

Mit den vielen SAN Einträgen steigt auch die Gefahr, dass das Multi-Domain Zertifikat vorzeitig ausgetauscht werden muss: Häufig befinden sich unter den Domänen auch solche, die einem selber nicht gehören und für die bei Ausstellung eine Vollmacht ausgestellt werden musste. Fällt eine Domäne weg, dann wird das Zertifikat ungültig und sämtliche eingesetzte Multi-Domain Zertifikate müssen ausgetauscht werden.

Genauso hat der Heartbleed Fehler nur OpenSSL Systeme der neueren Generation betroffen. Auf diesen mussten alle Zertifikate ausgetauscht werden. Wurden dort Multi-Domain oder Wildcard Zertifikate eingesetzt, mussten diese auch auf denjenigen Systemen ausgetauscht werden, die nicht vom Heartbleed Fehler betroffen waren. Jeder Zertifikatswechsel bedeutet eine Störung im Betrieb und führt zur kurzfristigen Abschaltung der Webseite. Auch beim Ablauf eines Zertifikates müssen sofort alle Systeme mit diesem Zertifikat ersetzt werden.

Wie bei jeder Entscheidung müssen Nutzen, Gefahren und Risiken abgewägt werden. In kleinen überschaubaren Umgebungen oder für den Einsatz in Microsoft UCC Umgebungen gibt es sicherlich gute Gründe für einen Einsatz dieser Zertifikate. Beachten Sie speziell zum Einsatz auf einer Microsoft Exchange Umgebung auch unseren gesonderten FAQ «UCC/SAN – Wildcard oder Multi-Domain für Microsoft Exchange?»

Kann ich ein *.mydomain.com SSL Wildcard Zertifikat auch für Sub-Sub-Domänen wie z.B. sub1.sub2.mydomain.com nutzen?

Nein, das ist leider gemäss RFC 2818 nicht erlaubt:

«Matching is performed using the matching rules specified by RFC 2459. If more than one identity of a given type is present in the certificate (e.g., more than one dNSName name, a match in any one of the set is considered acceptable.) Names may contain the wildcard character * which is considered to match any single domain name component or component fragment. E.g., *.a.com matches foo.a.com but not bar.foo.a.com. f*.com matches foo.com but not bar.com»

Wir empfehlen daher den Kauf von zwei SSL Wildcard Zertifikaten: eines für *.mydomain.com und eines für *.sub2.mydomain.com. Es ist bei SwissSign SSL Wildcard Zertifikaten auch nicht möglich, unterschiedliche Alternative Names (SAN) anzugeben.

Beratung E-Mail-Zertifikate

Ist das Zertifikat personenbezogen oder pro E-Mail-Adresse?

Pro E-Mail-Adresse. Als Person können Sie verschiedene Zertifikate mit je unterschiedlichen E-Mail-Adressen beziehen.

Was ist CAA (Certification Authority Authorization)?

Certification Authority Authorization (CAA) ist ein 2013 publizierter Internetstandard mit der Bezeichnung RFC 6844.

Domänennamen sind ähnlich einem grossen Telefonbuch in einem weltweit verteilten Register mit Namen aufgeführt, dem sogenannten Domain Name Service oder kurz DNS. Eine Webseite mit einem klingenden Namen, wie www.swisssign.com wird durch diesen Dienst in eine Internetadresse, wie z.B. «46.175.9.80» umgesetzt und so für verschiedene Internetdienste, beispielsweise einem Browser erreichbar. Der Domain Name Service erlaubt neben der Umsetzung verschiedene Zusatzinformationen, wie Namen und Adresse des Eigentümers einer Webseite.

Durch den Standard CAA werden nun weitere Informationen für diese Domänen gespeichert: Es wird festgehalten, welche Zertifizierungsstelle für die genannte Domäne ein Zertifikat ausstellen darf. Ist keine Zertifizierungsstelle eingetragen, kann jede ein Zertifikat ausstellen, anderweitig darf eine Zertifizierungsstelle kein Zertifikat für die Domäne ausstellen, sofern ihr Name dort nicht genannt wurde.

Weshalb diese Regelung?

In den letzten Jahren gab es vermehrt «Man-in-the-middle» Angriffe, ein Angriffsverhalten, was auch von Geheimdiensten aus aller Welt genutzt wird. Diese haben zur Spionage von Zugriffen auf eine verschlüsselte Webseite eine befreundete oder willfährige Zertifizierungsstelle gebeten, ein gleichartiges Zertifikat für diese Webseite auszustellen. Nun wurde mit diesem «Fake» Zertifikat diese Webseite neu vom Angreifer aufgebaut und der Datenverkehr durch Router Manipulation zunächst auf die Fake Webseite gelenkt. Hier wird dann mitgelauscht und die Kommunikation direkt zur Originalwebseite weitergeleitet. Angegriffene Webseite und Besucher der Webseite bekommen hier in der Regel nichts mit.

Ein CAA Eintrag kann das Risiko reduzieren, indem man bewusst Zertifizierungsstellen einträgt, denen man vertraut. Seit September 2017 sind alle in den Browsern zugelassenen Zertifizierungsstellen durch das CA Browser Forum, einer Vereinigung von Browserherstellern und Zertifizierungsstellen, gezwungen, vor Ausstellung den CAA Eintrag zu überprüfen.

Kann ich für die E-Mail-Adressen meines Teams, Funktionspostfach oder Gruppenmailadressen auch ein Zertifikat erwerben?

Grundsätzlich ist der Erwerb eines Gold oder Silver Personal ID Zertifikates für einen Team Account möglich. Allerdings ist das weiterhin ein persönliches Zertifikat und verlangt einen Schlüsselverantwortlichen.

Es gelten hier die Regelungen der CP/CPS. Diese sehen Folgendes vor:

  • Wurde das Zertifikat als Gold Zertifikat im Webshop erworben und direkt von SwissSign genehmigt, so ist hierfür anstelle des Vornamens und Namens die Bezeichnung «pseudo:» zu verwenden. Beispiel: pseudo: Sales Team
  • Bei Silver Zertifikaten, die nur email validiert sind,  kann jede E-Mail-Adresse zertifiziert werden, sofern überprüft wurde, dass diese E-Mail-Adresse existiert.
Wie richte ich CAA für meine Website ein?

CAA ist ein Verfahren, bei dem der Domäneneigentümer festlegen kann, welche CA für seine Domäne Zertifikate ausstellen darf.  Hierzu wird im DNS ein sogenannter CAA record eingetragen. SwissSign überprüft ab September 2017 alle Domänen vor Zertifikatsausstellung darauf, ob Sie eine Einschränkung in ihrem CAA record haben. Domänen, die eingeschränkt wurden, Zertifikate von Zertifizierungsstellen anzunehmen, die nicht SwissSign heissen, werden im Zertifikat nicht zugelassen. Der Zertifikatsantrag wird abgelehnt. Sofern keine Einschränkung platziert wurde oder der CAA record SwissSign zulässt, wird das Zertifikat genehmigt.

Der CAA Konfigurator hilft Ihnen, die exakte Einstellung für Ihre Webseite zu finden.

Anbei einige Beispiele abhängig von der eingesetzten DNS Technologie:

 

Erlaubnis für SwissSign Zertifikate auszustellen

Standard BIND Zone File

For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com.     IN       CAA      0 issue "swisssign.com"

Legacy Zone File (RFC 3597 Syntax)

For BIND <9.9.6, NSD <4.0.1

example.com.     IN       TYPE257  \# 20 0005697373756573776973737369676E2E636F6D

 

Erlaubnis für SwissSign Nicht-Wildcard Zertifikate auszustellen

Standard BIND Zone File

For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com.     IN       CAA      0 issue "swisssign.com"

example.com.     IN       CAA      0 issuewild ";"

 Legacy Zone File (RFC 3597 Syntax)

For BIND <9.9.6, NSD <4.0.1

example.com.     IN       TYPE257  \# 20 0005697373756573776973737369676E2E636F6D

example.com.     IN       TYPE257  \# 12 0009697373756577696C643B

 

Erlaubnis für SwissSign Nur Wildcard Zertifikate auszustellen

Standard BIND Zone File

For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com.     IN       CAA      0 issue ";"

example.com.     IN       CAA      0 issuewild "swisssign.com"

Legacy Zone File (RFC 3597 Syntax)

For BIND <9.9.6, NSD <4.0.1

example.com.     IN       TYPE257  \# 8 000569737375653B

example.com.     IN       TYPE257  \# 24 0009697373756577696C6473776973737369676E2E636F6D

Ist das Zertifikat auch mit MS Outlook Webmail verwendbar?

MS Outlook Webmail (OWA) unterstützt gemäss unserem aktuellen Wissenstandes keine E-Mail-Zertifikate. 

Ist der Firmeneintrag pauschal für die Firma oder pro Zertifikat?

Sofern in einem Zertifikat der Firmeneintrag aufgenommen wird, muss dieser entsprechend von dieser Firma bewilligt werden. Über den Registrierungsprozess wird gewährleistet, dass nur Zertifikate mit Firmeneintrag ausgestellt werden, die auch von der entsprechenden Firma gewollt sind.

Beratung Managed PKI Service

Wie kann ich eine Managed PKI bestellen?

Allgemeine E-Mail-Adresse

Werden Partnerapplikationen mit einer automatischen Schnittstelle zum Zertifikatsbezug (CMC oder RFC 2797) an die SwissSign Managed PKI Plattform angeschlossen, erhalten diese Applikationen ein unpersönliches Zugangszertifikat.

SwissSign benötigt eine E-Mail-Adresse, um Ihnen Nachrichten beispielsweise über den bevorstehenden Ablauf des Zertifikates zu senden. Hier empfiehlt sich eine allgemeine E-Mail-Adresse wie zum Beispiel die der IT-Abteilung, da die Laufzeiten mit 3 oder 5 Jahren relativ lang sind.


Elektronische Einreichung der Bestellung

Das Einsenden des Dokuments «Vertrag und Bestellung Managed PKI Services» gilt als verbindliche Bestellung einer zahlungspflichtigen Leistung. Die jährliche Verrechnungsperiode beginnt am Ende des Folgemonats nach Vertragsbeginn, wenn nicht anders vereinbart.

Die Bestellung kann ohne qualifizierte elektronische Signatur digital per E-Mail eingereicht werden. Sie erhalten eine Kopie Ihrer Bestellung in unserer elektronischen Bestellbestätigung. Damit ist der Vertrag rechtlich abgeschlossen. Nur das Managed PKI Setup Agreement erfordert eine handschriftliche oder qualifizierte elektronische Signatur aller Unterzeichner.


Mehrjährige Bestellung

Die Leistungsperiode der Managed PKI beträgt immer ein Jahr und verlängert sich automatisch um ein Jahr, wenn der Vertrag nicht gekündigt wird. Dennoch können Sie mit Ihrer Managed PKI Zertifikate mit mehrjähriger Laufzeit ausstellen. Bei Vertragskündigung werden diese dann einfach zurückgezogen (revoziert).


Kontoangabe swisssign.net

Die Angabe eines Kontos auf der Plattform swisssign.net müssen Sie nur durchführen, wenn Sie bereits Kunde der SwissSign sind und zum Beispiel eine Nachbestellung ausführen. Das Konto der Managed PKI Plattform swisssign.net ist völlig unabhängig vom Webshop swisssign.com. Entsprechend sind hier in der Regel andere Kontoangaben und Passwörter zu nutzen.


Rabatt

Der Rabatt steigt kontinuierlich mit dem Bestellvolumen und wird genau bei der Bestellsummenbildung ausgewiesen.


Verschieben von Zertifikaten

Haben Sie bereits Zertifikate im Webshop erworben? Dann können wir diese gerne in Ihr neues Managed PKI Konto verschieben. Bitte geben Sie uns hierzu einen kurzen Hinweis im Feld «Allgemeine Bemerkungen» auf der letzten Seite des Bestellformulars.

Domänen-Informationen

Domänen-Angaben

Die Angabe der SSL oder E-Mail-Domänen erfolgen ohne Zuordnung zu einem speziellen Zertifikatstyp. Das heisst, Sie können später für alle genannten SSL Domänen ein beliebiges SSL Zertifikat, das Sie bestellt haben, ausstellen. Analog können die bestellten E-Mail Zertifikate für alle genannten E-Mail Domänen ausgestellt werden.


Domänenregister

Dienste wie www.whois.org, www.denic.ch, www.whois.org, www.denic.de usw. geben Ihnen darüber Auskunft, wem die Domäne gehört. So können Sie die Eigentümerschaft nachweisen.


Domänenzugriffsberechtigung

Sie können eine Zugriffsberechtigung nachweisen, indem Sie in Ihrer Domäne <Domäne> eine Webseite <Domäne>/well-known/pki-validation/swisssign-check.htm(l) anlegen.


Dabei müssen Sie auf diesen Seiten eine mit uns abgesprochene Zahlen/Buchstabeninformation hinterlegen. Sie erhalten hierzu genaue Anweisungen mit Ihrer Bestellbestätigung.

Laufzeiten und Revozierung

Technische Laufzeiten und Vertragslaufzeiten

Ein Zertifikat beinhaltet eine bestimmte Gültigkeitsperiode (technische Laufzeit). Diese ist beim Managed PKI Service unabhängig von der kommerziellen Vertragslaufzeit (Leistungsperiode). Es können also während der Leistungsperiode Zertifikate ausgestellt werden, deren Gültigkeit weit über das Ende der Leistungsperiode hinausgeht. Der Vertrag ist unbefristet und kann mit dreimonatiger Frist auf Ende der einjährigen Dienstleistungslaufzeit gekündigt werden.


Revozierung mit Neuausstellung

Eine Zertifikats-Revozierung (Zurückziehung) und anschliessende Neuausstellung (z.B. Mitarbeiterwechsel) gilt als nur ein Zertifikat.


Revozierung – Vertragsbeendigung

Bei Vertragsende werden die noch gültigen Zertifikate zurückgezogen – durch Sie selbst oder sonst durch unseren Support. Kontaktieren Sie hierzu bitte: contracts@swisssign.com oder +41 848 77 66 55.

Veröffentlichung von Zertifikaten

SwissSign führt auf www.swisssign.net ein allgemeines Verzeichnis aller ausgestellten Zertifikate (LDAP). Dieses Verzeichnis ist öffentlich und vergleichbar mit einem Telefonbuch. Gerade für eine verschlüsselte E-Mail-Kommunikation ist das sinnvoll, damit Ihr Kommunikationspartner mit Ihrem im Zertifikat befindlichen öffentlichen Schlüssel die Nachrichten an Sie verschlüsseln kann.

Das öffentliche Verzeichnis kann auch durch Parametereingabe direkt in die E-Mail-Programme eingebunden werden, um die Verschlüsselung innerhalb der E-Mail-Programme durch automatisierten Abruf der Zertifikate durchzuführen.

Falls Sie Ihre Zertifikate nicht im Verzeichnis aufgeführt haben möchten, wählen Sie den Auswahlknopf «Ich möchte meine Zertifikate nicht veröffentlichen.». Sie können diese Einstellung auch nachträglich gegen eine Gebühr von CHF/EURO/USD 250 ändern lassen. Die Einstellung wirkt sich aber nicht rückwirkend auf bereits ausgestellte Zertifikate aus.

Vertrauensstufen Zertifikate im Managed PKI Vertrag

Silver Zertifikat

Zertifikate der Stufe Silver werden als domänenvalidiert ausgewiesen. Im Zertifikat ist nur die E-Mail- oder Webserver-Adresse eingetragen. Sie können zudem auch den Organisationsnamen beinhalten. Eine Verschlüsselung und Signatur bei E-Mail-Zertifikaten ist möglich, aber keine Authentisierung.


Gold Zertifikat

Zertifikate der Stufe Gold werden als organisationsvalidiert oder personenvalidiert ausgewiesen. Es besteht ein Organisationseintrag und bei E-Mail (S/MIME) Zertifikaten ein Personeneintrag im Zertifikat. Somit ist bei E-Mail-Zertifikaten eine Verschlüsselung, Signatur und Authentisierung möglich.


SSL Gold EV Zertifikat

Sie können im Rahmen der Managed PKI auch SSL Gold EV Zertifikate für Ihr Unternehmen ausstellen. Diese sind organisationsvalidiert und zeigen im Browser einen grünen Balken an.


Eintrag von eigenständigen Tochterfirmen

Sie können Zertifikate auch für beispielsweise verbundene Tochterfirmen ausstellen. Bitte beachten Sie, dass bei Gold Zertifikaten mit Organisationseintrag immer eine Vollmacht zur Verwendung des Organisationsnamens im Zertifikat vorliegen muss. Dazu müssen alle Organisationen eine Zustimmungs- und Zertifikatnutzungserklärung ausfüllen und unterzeichnen (mit jeweils den gleichen Zugangsverantwortlichen).

Wie lange ist das RA Operatoren-Zertifikat gültig?

Das Operatoren-Zertifikat ist für drei Jahre gültig.

Was muss ich bei der Bestellung eines QWAC (Qualified Web Authentication Certificate) beachten?

Ein QWAC darf nur ausgestellt werden, wenn die Schlüssel auf einer entsprechenden qualifizierten HSM erstellt wurden. Hierfür ist der Mindeststandard FIPS-140-2 level 3 vorgesehen. Sie unterzeichnen im Zertifikatsantrag oder Managed PKI Erklärung, dass Sie die Schlüsselgenerierung in dieser Weise sicherstellen.

Organisationssiegel (ZertES Siegel): Wie fülle ich den Teil «Organisation Identifier» richtig aus?

Grundsätzlich sind die Informationen, die Sie im Teil «Organisation Identifier» (Organisationskennung) ausfüllen müssen, in einem offiziellen Register enthalten (z.B. Handelsregister, UID-Register, Mehrwertsteuerregister, Umsatzsteuerregister). Für Firmen im Ausland existieren ebenfalls ähnliche Register.

Für das Feld «Organisation Identifier» im Zertifikat muss eine besondere Struktur beachtet werden. Diese Struktur ist in 4 Teile aufgebaut.

So füllen Sie den Teil «Organisation Identifier» richtig aus:

<table>
    <tr>
        <td><b>Teil</b></td>
        <td><b>1. Definierter Vorspann je nach Register</b></td>
        <td><b>2. Zweistelliger Ländercode nach <a href="https://www.iso.org/obp/ui/#search">ISO</a></b></td>
        <td><b>3. Das Sonderzeichen «-»*</b></td>
        <td><b>4. Registernummer</b></td>
    </tr>
    <tr>
        <td>&nbsp;</td>
        <td><b>NTR</b> im Falle eines Nationalen Handelsregisters.</td>
        <td>Hier wird der ISO Code verwendet: CH für die Schweiz, DE für Deutschland usw.</td>
        <td>-</td>
        <td>Hier wird die vollständige Registernummer identisch wie im Register angegeben.</td>
    </tr>
    <tr>
        <td>Beispiel SwissSign</td>
        <td>NTR</td>
        <td>CH</td>
        <td>-</td>
        <td>CHE-109.357.012</td>
    </tr>
    <tr>
        <td>&nbsp;</td>
        <td><b>VAT</b> im Falle eines Mehrwertsteuer-, Umsatzsteuer- oder UID-Registers.</td>
        <td>Hier wird der ISO Code verwendet: CH für die Schweiz, DE für Deutschland usw.</td>
        <td>-</td>
        <td>Hier wird die vollständige Registernummer identisch wie im Register angegeben.</td>
    </tr>
    <tr>
        <td>Beispiel Deutschland</td>
        <td>VAT</td>
        <td>DE</td>
        <td>-</td>
        <td>DE-999999999</td>
    </tr>
</table>

 

* Minuszeichen) ist als Separator 

Bitte füllen Sie das Feld «Organisation Identifier» in Ihrem Zertifikat gemäss folgender Struktur aus:

Beispiel SwissSign: NTRCH-CHE-109.357.012

Beispiel Deutschland: NTRDE-HRB 1234

Sofern diese Nummer eindeutig ist und es somit keine andere Organisation in Deutschland gibt, die diese Nummer in einem anderen Register trägt. Ansonsten empfiehlt es sich hier die VAT Nummer einzutragen.

Beispiel Umsatzsteuer Deutschland: VATDE-DE-999999999

Bei dieser Erklärung stützen wir uns auf die ETSI-Vorschrift V 5.1.4 «Legal person semantics identifier»: ETSI EN 319 412-1

Organisationssiegel (eIDAS) und Persönliches Qualifiziertes eIDAS Zertifikat: Wofür wird die «serialNumber» verwendet?

Die serialNumber kann optional hinzugefügt werden, wenn der Zertifikatsinhaber in einem Landesweiten Personenregister geführt wird und die Personendaten des Zertifikates nicht eindeutig sind. Insbesondere in skandinavischen Ländern sind Personenidentifikationen verbreitet.

Organisationssiegel (eIDAS) und Persönliches Qualifiziertes Zertifikat: Wofür steht der Benutzerprinzipalname?

Für Authorisierungszwecke nutzen Applikationen den Benutzerprinzipalnamen. In der Regel wird hier die E-Mail Adresse eingetragen. Diese erscheint im SAN Feld des Zertifikats.

Beratung und Organisationszertifikat

Wie revoziere ich mein Organisationszertifikat auf Smartcard?

Um Ihr Organisationszertifikat auf Smartcard (nicht HSM) zu revozieren, gehen Sie bitte auf die Seite: https://postsuisseid.ch/de/support/revozierung

Die Revozierung geht analog zu einer Revozierung einer SuisseID auf Smartcard. Sie benötigen hierzu Ihr PUK/PIN Blatt, welches mit der Lieferung der Smartcard ausgehändigt wurde. Sollten Sie dieses nicht mehr haben, wenden Sie sich an unseren Support.

Welche Angaben werden in einem Organisationszertifikat angezeigt?

Im Zertifikat erscheinen der Name der Organisation und allenfalls präzisierende Informationen wie Filiale oder Abteilung, Land des Hauptsitzes der Organisation bzw. Angaben zu Gemeinde oder Kanton. Der Name der Person, die den Antrag stellt, erscheint nicht im Zertifikat.

Wie unterscheiden sich das Organisationzertifikat als Smartcard/USB und das auf HSM?

Qualitativ gibt es keinen Unterschied – es handelt sich bei beiden Organisationszertifikaten um unpersönliche Zertifikate auf Stufe Platinum. Sie unterscheiden sich nur in der Performance, im Träger und in der Laufzeit. Das Organisationszertifikat auf HSM kann für eine Laufzeit von bis zu fünf Jahren bestellt werden, das Organisationszertifikat auf Smartcard/USB nur für eine Laufzeit von bis zu drei Jahren.

Die Performance beim Organisationszertifikat auf Smartcard/USB liegt bei einer Signatur pro Sekunde – bis zu 3600 Signaturen pro Stunde. Der Träger, eine Smartcard oder ein USB Token, ist im Lieferumfang enthalten. Der Einsatz im Hardware Security Module (HSM) ermöglicht eine sehr hohe Performance und eine langjährig hohe Verfügbarkeit. Das HSM ist im Lieferumfang nicht enthalten.

Was ist ein Hardware Security Module (HSM)?

Ein Hardware Security Modul (HSM) – kryptographisches Modul – ist eine Hardwareeinheit, in der geheime Schlüssel vor unbefugtem Zugriff geschützt, erzeugt, gespeichert und verwendet werden können.

Welches Zertifikat benötige ich im Zusammenhang mit der Geschäftsbücherverordnung (GeBüV)?

Die Geschäftsbücherverordnung (GeBüV) enthält folgende Passagen:

Art. 2 Grundsätze ordnungsgemässer Führung und Aufbewahrung der Bücher

Werden die Geschäftsbücher elektronisch oder auf vergleichbare Weise geführt und aufbewahrt und die Buchungsbelege elektronisch oder auf vergleichbare Weise erfasst und aufbewahrt, so sind die Grundsätze der ordnungsgemässen Datenverarbeitung einzuhalten.

Art. 3 Integrität (Echtheit und Unverfälschbarkeit)

Die Geschäftsbücher müssen so geführt und aufbewahrt und die Buchungsbelege müssen so erfasst und aufbewahrt werden, dass sie nicht geändert werden können, ohne dass sich dies feststellen lässt.

Die wesentlichen Ansprüche der GeBüV sind der Nachweis der Integrität und des Ursprungs des Dokumentes. Die Verordnung des Eidgenössischen Finanzdepartementes über elektronische Daten und Informationen (ElDI-V) hingegen legt fest, dass hierfür eine digitale Signatur mit fortgeschrittenem, hardwaregebundenem Zertifikat notwendig ist. Das SwissSign Organisationszertifikat erfüllt die Anforderungen der ElDI-V sowie die technischen und administrativen Vorschriften (TAV) für CAs in Bezug auf die Ausstellung von Zertifikaten, die auf fortgeschrittenen Signaturen basieren. 

So ist man beim Signieren von elektronischen Rechnungen und Archivieren von Dokumenten gemäss GeBüV mit diesem ElDI-V-konformen Zertifikat wie dem Organisationszertifikat und dem qualifizierten Zeitstempel rechts- und revisionssicher, insbesondere auch dann, wenn es sich um MwSt.-relevante Dokumente handelt.

Weitere Informationen: www.estv.admin.ch

Kann ich das Organisationszertifikat auch ausserhalb der Schweiz einsetzen?

Da das SwissSign Organisationszertifikat von Adobe-PDF-Reader akzeptiert wird, kann das Zertifikat überall auf der Welt eingesetzt werden, um die Integrität eines Dokumentes und die Urheberschaft eindeutig zu beweisen.

Mit dem Organisationszertifikat zeigen Organisationen ihren Kommunikationspartnern, dass ein PDF-Dokument nach der Signatur nicht mehr verändert worden ist und nachweisbar von der entsprechenden Organisation stammt.

Allerdings ist das nicht gleichbedeutend mit der ElDI-V-Konformität. Wenn ausländische Organisationen das Organisationszertifikat verwenden möchten, um ElDI-V-konform zu sein, weil sie mit Dokumenten arbeiten, die in der Schweiz MwSt.-relevant sind, sollten sie zuerst die rechtliche Situation in der Schweiz klären. Einige Punkte sollten berücksichtigt werden (nicht abschliessend):

  • Drittpersonen müssen im Schweizer Handelsregister eingetragen sein (ElDI-V, Art. 9).
  • Aufbewahrung der Daten und unlimitierter Zugriff auf die Daten aus der Schweiz (ElDI-V, Art. 10).
MwSt.-konforme Rechnungen

Elektronische Rechnungen müssen gemäss der Eidgenössischen Steuerverwaltung digital signiert werden. 

SwissSign bietet dazu das Produkt Organisationszertifikat auf Smartcard/USB an. 

Beispiel einer MwSt.-konform signierten Rechnung (PDF, 532 KB)

Beratung Time Stamping Service

Im Adobe Acrobat kommt es bei der Anwendung des TSA Zeitstempeldienstes zu einer Popup Fehlermeldung: «Sigvalue ... bytes larger than expected».

Hintergrund ist die Anpassung des Zeitstempeldienstes an die neuen Anforderungen von eIDAS und ZertES und den damit um einige Bytes vergrösserten Umfang der Rückantwort an das Adobe Programm. In seiner normalen Konfiguration ist Adobe hierauf nicht vorbereitet. Es gibt daher seitens Adobe den Hinweis, in der Registry die iSize zu vergrössern.

Als Beispiel dient der nachfolgende Patch für Adobe Acrobat DC. Hierfü speichern Sie dafür folgenden Text als Datei «fix_adobe.reg» ab und führen Sie einen Doppelklick aus, um die Änderung an der Registry zu bewirken. Es wird empfohlen, vorab die Registry zu sichern. Bedenken Sie, dass das Registry File immer spezifisch für die Adobe Version ist und daher der Text ggfs. modifiziert werden muss.

 

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\DC\Security\cASPKI\cAdobe_TSPProvider]

"iSize"=dword:00002800

Wozu digitale Zeitstempel?

Digitale Zeitstempel dienen vorwiegend zur zeitgenauen Archivierung von Dokumenten oder zum Kenn-zeichnen von geschäftlichen Dokumenten wie etwa Verträgen. Die SwissSign Zeitstempel können für Workflow- und Archivierungslösungen eingesetzt werden. Obwohl jede elektronische Signatur bereits eine Zeitangabe enthält (lokale Systemzeit), kann es nützlich sein, eine von externer Seite beglaubigte Zeit mit den Daten und Dokumenten zu verbinden. So kann jederzeit einfach und transparent nachgewiesen werden, dass der entsprechende Datensatz zu einem bestimmten Zeitpunkt existiert hat und seit exakt dem Zeitpunkt der Stempelung nicht mehr verändert wurde (Integrität).

Einsatz: Zum Beispiel bei Lösungen zur Umsetzung von gesetzlichen Anforderungen wie GeBüV, Compliance-Regelwerken wie SOX, Basel II oder branchenspezifischen Qualitäts-Frameworks wie GMP.

Wie funktioniert der Time Stamping Service?

Der Zeitstempel ist technisch gesehen eine Signatur der CA, welche eine vertrauenswürdige Zeit beinhaltet. Die Erzeugung dieses Zeitstempels findet durch die Time Stamping Authority (TSA) gemäss RFC 3161 statt. Das Protokoll RFC 3161 definiert, dass die Anfrage den Hashwert enthält und dieser dann durch die TSA signiert wird. Dadurch wird gewährleistet, dass der TSA-Dienst über den Inhalt der zeitgestempelten Dokumente nichts erfährt.

Time Stamping Service: Umsetzung und Technologie

Es gibt zwei Möglichkeiten:

  • Sie können mit einem geeigneten HSM (Hardware Security Module) oder einem vergleichbaren Device einen eigenen Time Stamping Service implementieren. Wir können Ihnen hierzu geeignete Partnerlösungen empfehlen. Diese Lösung kann dann mit einem Zeitstempel-Zertifikat bedient werden.
  • Sie können für Massensignaturen den Time Stamping Service von SwissSign über die RFC-3161-Schnittstelle nutzen. 
Wie kann der Time Stamping Service genutzt werden?

Zur Nutzung des Time Stamping Service benötigen Sie ein digitales Zertifikat. Mit diesem signieren Sie ein PDF-Dokument und versehen es mit dem SwissSign Zeitstempel. Nach der Signatur überprüfen Sie den Zeitstempel im Dokument, indem Sie die Signatur anklicken und «Signatur Eigenschaften» und «Datum/Zeit» wählen.

Auf Anfrage kann der Time Stamping Service auch Ihren Wünschen entsprechend angepasst werden. Nehmen Sie Kontakt mit uns auf.