Hauptbereich
Revozierung von SSL/TLS-Zertifikaten – Sicherheit im Ernstfall wiederherstellen
Revokation (Revozierung) ist der Prozess, ein SSL/TLS- oder S/MIME-Zertifikat vorzeitig ungültig zu machen (Sperrung). Hier erfahren Sie, warum dieser Schritt manchmal unverzichtbar ist und wie Sie Ihre Zertifikate mit SwissSign sicher und schnell erneuern können.
Was bedeutet Revozierung?
Die Revozierung eines Zertifikats ist der Vorgang, ein gültiges SSL/TLS-Zertifikat vor Ablauf seiner Laufzeit für ungültig zu erklären oder zu sperren. Sowohl der Zertifikatsinhaber als auch die Zertifizierungsstelle (Certificate Authority, CA) können ein Zertifikat revozieren. Bei E-Mail-Zertifikaten mit Firmeneintrag kann auch die entsprechende Organisation die Revozierung beantragen. Revokationen werden in Sperrlisten (Certificate Revocation Lists, CRLs) veröffentlicht oder per OCSP (Online Certificate Status Protocol) angezeigt.
Beispiele:
- Der Nutzer hat sein Passwort für seinen privaten Schlüssel vergessen.
- Das Schlüsselmaterial wurde korrumpiert (s. dazu auch Fragen und Antworten: «Melden eines Key Compromise»).
- Die Angaben im Zertifikat sind nicht mehr aktuell (z.B. E-Mail oder Verlassen der Organisation oder Namensänderung der Organisation).
- Mis-Issuance: Zertifikate entsprachen bei der Ausstellung nicht den formalen Anforderungen des CA / Browser Forums oder enthalten falsche Angaben zum Zertifikatshalter (z.B. Abteilungsname anstelle des Namens einer Person).
So revozieren Sie ein Zertifikat
Dazu stehen Ihnen drei Möglichkeiten zur Verfügung:
- Digitale Revozierung: Im E-Mail, das Sie zur Ausstellung Ihres Zertifikats erhalten haben, finden Sie ebenfalls einen Link, mit dem die dieses revozieren können.
- Online-Revozierung in Ihrer Managed PKI: Als Operator können Sie in Ihrer Managed PKI ausgestellte Zertifikate bequem über das WebGUI selektieren und revozieren. Auch über die automatisierten Schnittstellen ist eine Sperrung möglich.
- Offline-Revozierung: Hierfür steht Ihnen das Offline-Revozierungsformular (PDF) zur Verfügung.
Revozieren Sie Ihre Zertifikate unbedingt, wenn…
Die Revozierung sollte immer dann erfolgen, wenn die Sicherheit oder die Integrität des Zertifikats gefährdet ist (s. dazu auch Fragen und Antworten: «Melden eines Key Compromise»).
Beispielsweise:
- Nach einem Server-Hack.
- Wenn ein Mitarbeiter, dessen E-Mail-Adresse im Zertifikat hinterlegt ist, das Unternehmen verlässt.
- Bei Verlust oder Diebstahl des Servers oder anderer sicherheitsrelevanter Infrastruktur.
Was ist nach der Revozierung zu beachten?
- Ersetzen des Zertifikats: Nach der Revozierung sollte ein neues SSL/TLS-Zertifikat beantragt und installiert werden.
- Server-Konfiguration prüfen: Stellen Sie sicher, dass das neue Zertifikat korrekt installiert.
Automatisierung und Schutz vor zukünftigen Problemen
Mit der Managed Public Key Infrastructure (MPKI) von SwissSign können Sie Zertifikatsmanagement automatisieren und Risiken wie Schlüsselverlust oder fehlerhafte Zertifikate minimieren.
Entdecken Sie unsere MPKI-Lösung für eine sichere und effiziente Zertifikatsverwaltung.Fragen und Antworten
Wer kann das Zertifikat revozieren? Die Firma oder nur die Person, welcher das Zertifikat gehört?
Beide.
Melden eines Key Compromise
Bei Feststellung eines Key Compromise ist es wichtig, dass das Zertifikat unverzüglich gesperrt wird, beziehungsweise dass der Key Compromise an SwissSign gemeldet wird.
Wenn es sich um eines Ihrer eigenen Zertifikate handelt:
- Shop: Wenn das Zertifikat im Shop bestellt wurde, folgen Sie bitte der obigen Anleitung.
- MPKI: Bei einer MPKI können Sie das entsprechende Zertifikat mit Ihrem MPKI-Zugang selbstständig sperren
Falls es sich um ein fremdes Zertifikat handelt, bitten wir Sie die folgenden Schritte durchzuführen.
- Informieren Sie bitte wenn immer möglich - den Halter des Zertifikats.
- Senden Sie uns ein EMail mit den folgenden Punkten an die E-Mail-Adresse [email protected]:
1) Die E-Mail muss den folgenden Subject/Betreff enthalten:
“Key compromise SwissSign certificate”
2) Die E-Mail muss die folgenden Elemente im Body (nicht als Anhang) enthalten:
a) Betroffenes Zertifikat (base64/PEM encoded)
b) Certificate Signing Request (CSR) signiert mit dem betroffenen privaten Schlüssel. CSR enthält den Common Name (CN) «Key compromise SwissSign certificate” (base64/PEM encoded, alle anderen Felder des CSR können beliebige Werte haben)
c) Ggf. Angaben zum Antragsteller zusätzlich zur eMail-Adresse
Laufzeit und Revozierung
Technische Laufzeiten und Vertragslaufzeiten
Ein Zertifikat beinhaltet eine bestimmte Gültigkeitsperiode (technische Laufzeit). Diese ist beim Managed PKI Service unabhängig von der kommerziellen Vertragslaufzeit (Leistungsperiode). Es können also während der Leistungsperiode Zertifikate ausgestellt werden, deren Gültigkeit weit über das Ende der Leistungsperiode hinausgeht. Der Vertrag ist unbefristet und kann mit dreimonatiger Frist auf Ende der einjährigen Dienstleistungslaufzeit gekündigt werden.
Revozierung mit Neuausstellung
Eine Zertifikats-Revozierung und anschliessende Neuausstellung (z.B. Mitarbeiterwechsel) gilt als nur ein Zertifikat.
Revozierung – Vertragsbeendigung
Bei Vertragsende werden die noch gültigen Zertifikate zurückgezogen – durch Sie selbst oder sonst durch unseren Support. Kontaktieren Sie hierzu bitte: [email protected] oder +41 848 77 66 55.
Werden revozierte Zertifikate nach einer gewissen Zeit von der CRL, der Zertifikatssperrliste, gelöscht?
Dies ist abhängig vom Zertifikatstyp:
- Revozierte SSL/TLS- und E-Mail-Zertifikate werden nach Ablauf der regulären Gültigkeitsdauer aus der Certificate Revocation List (CRL) gelöscht.
- Revozierte Zertifikate für die Signatur von Dokumenten bleiben auch nach dem im Zertifikat angegebenen Ablaufdatum auf der CRL. Für die Validierung der Signatur ist es wichtig zu wissen, ob das Zertifikat zum Zeitpunkt der Signatur noch gültig war.
Kann ich ein Zertifikat testen und erhalte ich eine Erstattung bei der Revozierung des Zertifikates?
Grundsätzlich hat der Endkunde oder Partner gemäss AGB kein Anrecht auf eine Erstattung oder Gutschrift. Es handelt sich also in allen Fällen immer um ein Entgegenkommen seitens SwissSign.
Derzeit verfahren wir nach folgenden Kulanzregeln:
Alle Kunden können innert 30 Tagen eine Rückerstattung des ausgestellten Zertifikats beantragen.
Ab 30 Tagen nach Ausstellung des Zertifikats wird ihnen eine Gutschrift in Höhe der Restlaufzeit des Zertifikats gewährt.
Achtung: Zertifikate, die vom Kunden selbst revoziert werden, ohne dass er sich vorher mit unserem Support in Verbindung gesetzt hat, um eine Rückerstattung zu beantragen, berechtigen nicht zu einer Rückerstattung oder Gutschrift.