Skip to main content
SpringerLink
Log in

Konzept und Nutzen von Certificate Policy und Certification Practice Statement

  • Schwerpunkt
  • Published:
Datenschutz und Datensicherheit - DuD Aims and scope Submit manuscript

Zusammenfassung

Zertifizierungsstellen, die Zertifikate für E-Mail-Signatur oder -Verschlüsselung oder für die Authentifizierung von Web-Servern oder Nutzern ausgeben, werden als Trusted Third Party bezeichnet. Dieser Begriff kann auf mehrere Arten interpretiert werden: Entweder als eine Stelle, deren Vertrauenswürdigkeit bewiesen ist. Oder aber als eine Stelle, die durch ein formales Axiom für bedingungslos vertrauenswürdig erklärt werden muss, damit das Sicherheitssystem funktioniert. Insbesondere mit der letzten Interpretation haben es Zertifizierungsstellen durch schwerwiegende Sicherheitsvorfälle in den Jahren 2011 und 2012 sogar bis in die Mainstream-Presse gebracht: „Schludrige Schlüsselmeister gefährden das Web“ [1]. In diesem Beitrag wird dargestellt, welche Rolle Certificate Policy (CP) und Certification Practice Statement (CPS) bei der Bewertung der Vertrauenswürdigkeit von Zertifizierungsstellen haben.

This is a preview of subscription content, log in via an institution to check access.

Access this article

Log in via an institution

Price excludes VAT (USA)
Tax calculation will be finalised during checkout.

Instant access to the full article PDF.

Institutional subscriptions

Literatur

  1. Spiegel Online, „Schludrige Schlüsselmeister gefährden das Web“, http://www.spiegel.de/netzwelt/netzpolitik/internet-sicherheit-schludrigeschluesselmeister-gefaehrden-das-web-a-786481.html

  2. DuD 22 (1998) 9, Dirk Fox, Eine ‚PGP-Policy’ für Unternehmen

    Google Scholar 

  3. ITU-T Recommendation X.509 (11/1988) — THE DIRECTORY — AUTHENTICATION FRAMEWORK

  4. ITU-T Recommendation X.509 (11/1993) — THE DIRECTORY — AUTHENTICATION FRAMEWORK

  5. ITU-T Recommendation X.509 (08/1997) — THE DIRECTORY — AUTHENTICATION FRAMEWORK

  6. IETF, RFC1422, S. Kent, Privacy Enhancement for Internet Electronic Mail: Part II: Certificate-Based Key Management, Februar 1993, http://www.ietf.org/rfc/rfc1422.txt

  7. American Bar Association, Digital Signature Guidelines, August 1996

  8. IETF, RFC 2527, S. Chokhani, W. Ford, Internet X.509 Public Key Infrastructure, Certificate Policy and Certification Practices, März 1999, Framework, http://www.ietf.org/rfc/rfc2527.txt

  9. IETF, RFC 3647, S. Chokhani, W. Ford, R. Sabett, C. Merrill, S. Wu, Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, November 2003, http://www.ietf.org/rfc/rfc3647.txt

  10. ANSI, X9.79 PKI Practices and Policy Framework for the Financial Services Industry, 2001

    Google Scholar 

  11. AICPA/CICA, WebTrust™ Program for Certification Authorities Version 1.0, August 25, 2000

    Google Scholar 

  12. ETSI ESI TS 101 456 v1.1.1, Electronic Signatures and Infrastructures (ESI): Policy requirements for certification authorities issuing qualified certificates, Dezember 2000

    Google Scholar 

  13. ETSI ESI TS 102 042 v1.1.1, Electronic Signatures and Infrastructures (ESI): Policy requirements for certification authorities issuing public key certificates, April 2002

    Google Scholar 

  14. Comodo Certification Practice Statement v. 4.0, October 2012, http://www.comodo.com/about/comodo-agreements.php

  15. DFN-Verein, Zertifizierungsrichtlinien für die DFN-PCA, Medium-Level Policy, Version 1.0, April 1997

    Google Scholar 

  16. DFN-Verein, Zertifizierungsrichtlinien für die DN-PCA, Low-Level Policy, Version 1.0, April 1997

    Google Scholar 

  17. DFN-Verein, Zertifizierungsrichtlinien für die DFN-PCA, Die World Wide Web Policy, Version 1.0, April 1999

    Google Scholar 

  18. DFN-Verein, Policies der DFN-PKI, http://www.pki.dfn.de/policies

  19. Symantec Trust Network (STN) Certificate Policy Version 2.8.11, Februar 2013, http://www.verisign.com/repository/index.html

  20. Symantec Trust Network (STN) Certification Practices Statement Version 3.8.12, Februar 2013, http://www.verisign.com/repository/index.html

  21. CA/Browser Forum, Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, Version 1.1, September 2012, https://www.cabforum.org

    Google Scholar 

  22. CA/Browser Forum, Guidelines for the Issuance and Management of Extended Validation (EV) Certificates, Version 1.4, Mai 2012, https://www.cabforum.org

    Google Scholar 

  23. TC TrustCenter, Zertifizierungsrichtlinien, Januar 2010, http://www.trustcenter.de/about/repository.htm

    Google Scholar 

  24. TC TrustCenter GmbH, Certification Practice Statement Version 1.9.3, Januar 2010, http://www.trustcenter.de/about/repository.htm

    Google Scholar 

  25. Mozilla CA Certificate Store, http://www.mozilla.org/projects/security/certs

  26. TeleTrusT European Bridge CA, https://www.ebca.de

  27. The European Policy Management Authority for Grid Authentication in e-Science, http://www.eugridpma.org

  28. Revocation checking and Chrome’s CRL, Februar 2012) http://www.imperialviolet.org/2012/02/05/crlsets.html

Download references

Authors
  1. Jürgen Brauckmann
    View author publications

    You can also search for this author in PubMed Google Scholar

  2. Ralf Gröper
    View author publications

    You can also search for this author in PubMed Google Scholar

Additional information

Dr. Ralf Gröper Policyverantwortlicher, DFN-PKI, DFN-Verein

Jürgen Brauckmann Teamleiter PKI, DFN-CERT Services GmbH

Rights and permissions

Reprints and permissions

About this article

Cite this article

Brauckmann, J., Gröper, R. Konzept und Nutzen von Certificate Policy und Certification Practice Statement. Datenschutz Datensich 37, 491–496 (2013). https://doi.org/10.1007/s11623-013-0205-z

Download citation

  • Published:

  • Issue Date:

  • DOI: https://doi.org/10.1007/s11623-013-0205-z

Search

Navigation