Datenschutz und Datensicherheit - DuD

, Volume 37, Issue 8, pp 491–496 | Cite as

Konzept und Nutzen von Certificate Policy und Certification Practice Statement

  • Jürgen Brauckmann
  • Ralf Gröper
Schwerpunkt
  • 113 Downloads

Zusammenfassung

Zertifizierungsstellen, die Zertifikate für E-Mail-Signatur oder -Verschlüsselung oder für die Authentifizierung von Web-Servern oder Nutzern ausgeben, werden als Trusted Third Party bezeichnet. Dieser Begriff kann auf mehrere Arten interpretiert werden: Entweder als eine Stelle, deren Vertrauenswürdigkeit bewiesen ist. Oder aber als eine Stelle, die durch ein formales Axiom für bedingungslos vertrauenswürdig erklärt werden muss, damit das Sicherheitssystem funktioniert. Insbesondere mit der letzten Interpretation haben es Zertifizierungsstellen durch schwerwiegende Sicherheitsvorfälle in den Jahren 2011 und 2012 sogar bis in die Mainstream-Presse gebracht: „Schludrige Schlüsselmeister gefährden das Web“ [1]. In diesem Beitrag wird dargestellt, welche Rolle Certificate Policy (CP) und Certification Practice Statement (CPS) bei der Bewertung der Vertrauenswürdigkeit von Zertifizierungsstellen haben.

Preview

Unable to display preview. Download preview PDF.

Unable to display preview. Download preview PDF.

Literatur

  1. [1]
  2. [2]
    DuD 22 (1998) 9, Dirk Fox, Eine ‚PGP-Policy’ für UnternehmenGoogle Scholar
  3. [3]
    ITU-T Recommendation X.509 (11/1988) — THE DIRECTORY — AUTHENTICATION FRAMEWORKGoogle Scholar
  4. [4]
    ITU-T Recommendation X.509 (11/1993) — THE DIRECTORY — AUTHENTICATION FRAMEWORKGoogle Scholar
  5. [5]
    ITU-T Recommendation X.509 (08/1997) — THE DIRECTORY — AUTHENTICATION FRAMEWORKGoogle Scholar
  6. [6]
    IETF, RFC1422, S. Kent, Privacy Enhancement for Internet Electronic Mail: Part II: Certificate-Based Key Management, Februar 1993, http://www.ietf.org/rfc/rfc1422.txt
  7. [7]
    American Bar Association, Digital Signature Guidelines, August 1996Google Scholar
  8. [8]
    IETF, RFC 2527, S. Chokhani, W. Ford, Internet X.509 Public Key Infrastructure, Certificate Policy and Certification Practices, März 1999, Framework, http://www.ietf.org/rfc/rfc2527.txt
  9. [9]
    IETF, RFC 3647, S. Chokhani, W. Ford, R. Sabett, C. Merrill, S. Wu, Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, November 2003, http://www.ietf.org/rfc/rfc3647.txt
  10. [10]
    ANSI, X9.79 PKI Practices and Policy Framework for the Financial Services Industry, 2001Google Scholar
  11. [11]
    AICPA/CICA, WebTrust™ Program for Certification Authorities Version 1.0, August 25, 2000Google Scholar
  12. [12]
    ETSI ESI TS 101 456 v1.1.1, Electronic Signatures and Infrastructures (ESI): Policy requirements for certification authorities issuing qualified certificates, Dezember 2000Google Scholar
  13. [13]
    ETSI ESI TS 102 042 v1.1.1, Electronic Signatures and Infrastructures (ESI): Policy requirements for certification authorities issuing public key certificates, April 2002Google Scholar
  14. [14]
    Comodo Certification Practice Statement v. 4.0, October 2012, http://www.comodo.com/about/comodo-agreements.php
  15. [15]
    DFN-Verein, Zertifizierungsrichtlinien für die DFN-PCA, Medium-Level Policy, Version 1.0, April 1997Google Scholar
  16. [16]
    DFN-Verein, Zertifizierungsrichtlinien für die DN-PCA, Low-Level Policy, Version 1.0, April 1997Google Scholar
  17. [17]
    DFN-Verein, Zertifizierungsrichtlinien für die DFN-PCA, Die World Wide Web Policy, Version 1.0, April 1999Google Scholar
  18. [18]
    DFN-Verein, Policies der DFN-PKI, http://www.pki.dfn.de/policies
  19. [19]
    Symantec Trust Network (STN) Certificate Policy Version 2.8.11, Februar 2013, http://www.verisign.com/repository/index.html
  20. [20]
    Symantec Trust Network (STN) Certification Practices Statement Version 3.8.12, Februar 2013, http://www.verisign.com/repository/index.html
  21. [21]
    CA/Browser Forum, Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, Version 1.1, September 2012, https://www.cabforum.org Google Scholar
  22. [22]
    CA/Browser Forum, Guidelines for the Issuance and Management of Extended Validation (EV) Certificates, Version 1.4, Mai 2012, https://www.cabforum.org Google Scholar
  23. [23]
    TC TrustCenter, Zertifizierungsrichtlinien, Januar 2010, http://www.trustcenter.de/about/repository.htm Google Scholar
  24. [24]
    TC TrustCenter GmbH, Certification Practice Statement Version 1.9.3, Januar 2010, http://www.trustcenter.de/about/repository.htm Google Scholar
  25. [25]
    Mozilla CA Certificate Store, http://www.mozilla.org/projects/security/certs
  26. [26]
    TeleTrusT European Bridge CA, https://www.ebca.de
  27. [27]
    The European Policy Management Authority for Grid Authentication in e-Science, http://www.eugridpma.org
  28. [28]
    Revocation checking and Chrome’s CRL, Februar 2012) http://www.imperialviolet.org/2012/02/05/crlsets.html

Copyright information

© Springer Fachmedien Wiesbaden 2013

Authors and Affiliations

  • Jürgen Brauckmann
  • Ralf Gröper

There are no affiliations available

Personalised recommendations