Revozierung | SwissSign
Eine Datensicherheitsspezialistin der Schweizerischen Post

Hauptbereich

Was bedeutet Revozierung?

Revozierung ist ein Prozess, der Zertifikate für ungültig erklärt bzw. sperrt. Revozierte Zertifikate werden auf Sperrlisten, sogenannten Certificate Revocation Lists (CRLs), geführt. CRLs werden durch die CA periodisch veröffentlicht. Auch über das Online Certificate Status Protocol (OCSP) wird die Revozierung eines Zertifikats (unmittelbar nach der Sperrung) angezeigt. Sowohl CRLs als auch OCSP sind öffentlich zugänglich, es wird aber nur die Seriennummer des gesperrten Zertifikats veröffentlicht.

Wenn ein Verschlüsselungszertifikat revoziert wird, ist es sehr wichtig, dass Sie den entsprechenden privaten Schlüssel aufbewahren. Sie werden ihn für die Entschlüsselung von Daten, die Sie mit diesem alten bzw. revozierten Zertifikat verschlüsselt haben, noch benötigen.

Wenn ein Signaturzertifikat revoziert wird, können Sie den privaten Schlüssel löschen, da Sie ihn für eine gültige digitale Signatur nicht mehr verwenden können.

Werden revozierte Zertifikate nach einer gewissen Zeit von der CRL, der Zertifikatssperrliste, gelöscht?

Dies ist abhängig vom Zertifikatstyp:

  • Revozierte SSL/TLS- und E-Mail-Zertifikate werden nach Ablauf der regulären Gültigkeitsdauer aus der Certificate Revocation List (CRL) gelöscht.
  • Revozierte Zertifikate für die Signatur von Dokumenten bleiben auch nach dem im Zertifikat angegebenen Ablaufdatum auf der CRL. Für die Validierung der Signatur ist es wichtig zu wissen, ob das Zertifikat zum Zeitpunkt der Signatur noch gültig war.

Kann ich ein Zertifikat testen und erhalte ich eine Erstattung bei der Revozierung des Zertifikates?

Grundsätzlich hat der Endkunde oder Partner gemäss AGB kein Anrecht auf eine Erstattung oder Gutschrift. Es handelt sich also in allen Fällen immer um ein Entgegenkommen seitens SwissSign.

Derzeit verfahren wir nach folgenden Kulanzregeln:

Alle Kunden können innert 30 Tagen eine Rückerstattung des ausgestellten Zertifikats beantragen.

Ab 30 Tagen nach Ausstellung des Zertifikats wird ihnen eine Gutschrift in Höhe der Restlaufzeit des Zertifikats gewährt.

Achtung: Zertifikate, die vom Kunden selbst revoziert werden, ohne dass er sich vorher mit unserem Support in Verbindung gesetzt hat, um eine Rückerstattung zu beantragen, berechtigen nicht zu einer Rückerstattung oder Gutschrift.

Revozierung, Ungültigkeit – was muss ich tun?

Gründe, ein Zertifikat zu revozieren bzw. für ungültig zu erklären:

  •  Der Nutzer hat sein Passwort für seinen privaten Schlüssel vergessen.
  •  Das Schlüsselmaterial wurde korrumpiert (s. dazu auch Abschnitt «Melden eines Key Compromise»).
  •  Die Angaben im Zertifikat sind nicht mehr aktuell (z.B. E-Mail oder Verlassen der Organisation).

Sowohl der Zertifikatsinhaber als auch die CA können ein Zertifikat revozieren. Bei E-Mail-Zertifikaten mit Firmeneintrag kann auch die entsprechende Organisation die Revozierung beantragen.

SwissSign Zertifikate können Sie auf drei Wegen revozieren:

  1. Online-Revozierung: Möglich, wenn Sie das Zertifikat über ein technisches Benutzerkonto auf swisssign.net beantragt haben.
  2. Online-Revozierung: Auf swisssign.net können Sie Zertifikate online revozieren, sofern Sie noch den privaten Schlüssel bzw. den Code zur Revozierung haben. Den Code haben Sie damals in der Genehmigungsmail dieses Zertifikates erhalten. Rufen Sie bitte die Seite swisssign.net auf und geben dort ohne Login in das Suchfeld „Lizenz:“ Ihre Lizenznummer zum Zertifikat ein, die sie beim Kauf erhalten haben. Das Zertifikat wird daraufhin angezeigt. Nun können Sie den Knopf „Für ungültig erklären“ das Zertifikat mit dem Revozierungscode aus der Genehmigungsmail revozieren.
  3. Offline-Revozierung: Hierfür steht Ihnen das Offline-Revozierungsformular (PDF) zur Verfügung.

Laufzeit und Revozierung

Technische Laufzeiten und Vertragslaufzeiten

Ein Zertifikat beinhaltet eine bestimmte Gültigkeitsperiode (technische Laufzeit). Diese ist beim Managed PKI Service unabhängig von der kommerziellen Vertragslaufzeit (Leistungsperiode). Es können also während der Leistungsperiode Zertifikate ausgestellt werden, deren Gültigkeit weit über das Ende der Leistungsperiode hinausgeht. Der Vertrag ist unbefristet und kann mit dreimonatiger Frist auf Ende der einjährigen Dienstleistungslaufzeit gekündigt werden.

Revozierung mit Neuausstellung

Eine Zertifikats-Revozierung und anschliessende Neuausstellung (z.B. Mitarbeiterwechsel) gilt als nur ein Zertifikat.

Revozierung – Vertragsbeendigung

Bei Vertragsende werden die noch gültigen Zertifikate zurückgezogen – durch Sie selbst oder sonst durch unseren Support. Kontaktieren Sie hierzu bitte: [email protected] oder +41 848 77 66 55.

Wer kann das Zertifikat revozieren? Die Firma oder nur die Person, welcher das Zertifikat gehört?

Beide.

Melden eines Key Compromise

Bei Feststellung eines Key Compromise ist es wichtig, dass das Zertifikat unverzüglich gesperrt wird, beziehungsweise dass der Key Compromise an SwissSign gemeldet wird.

Wenn es sich um eines Ihrer eigenen Zertifikate handelt:

  1. Shop: Wenn das Zertifikat im Shop bestellt wurde, folgen Sie bitte der obigen Anleitung.
  2. MPKI: Bei einer MPKI können Sie das entsprechende Zertifikat mit Ihrem MPKI-Zugang selbstständig sperren

Falls es sich um ein fremdes Zertifikat handelt, bitten wir Sie die folgenden Schritte durchzuführen.

  • Informieren Sie bitte ­ wenn immer möglich -­ den Halter des Zertifikats.
  • Senden Sie uns ein EMail mit den folgenden Punkten an die E-Mail-Adresse [email protected]:

1) Die E-Mail muss den folgenden Subject/Betreff enthalten:
“Key compromise SwissSign certificate”

2) Die E-Mail muss die folgenden Elemente im Body (nicht als Anhang) enthalten:

a) Betroffenes Zertifikat (base64/PEM encoded)

b) Certificate Signing Request (CSR) signiert mit dem betroffenen privaten Schlüssel. CSR enthält den Common Name (CN) «Key compromise SwissSign certificate” (base64/PEM encoded, alle anderen Felder des CSR können beliebige Werte haben)

c) Ggf. Angaben zum Antragsteller zusätzlich zur eMail-Adresse