Zusammenfassung
Zertifizierungsstellen, die Zertifikate für E-Mail-Signatur oder -Verschlüsselung oder für die Authentifizierung von Web-Servern oder Nutzern ausgeben, werden als Trusted Third Party bezeichnet. Dieser Begriff kann auf mehrere Arten interpretiert werden: Entweder als eine Stelle, deren Vertrauenswürdigkeit bewiesen ist. Oder aber als eine Stelle, die durch ein formales Axiom für bedingungslos vertrauenswürdig erklärt werden muss, damit das Sicherheitssystem funktioniert. Insbesondere mit der letzten Interpretation haben es Zertifizierungsstellen durch schwerwiegende Sicherheitsvorfälle in den Jahren 2011 und 2012 sogar bis in die Mainstream-Presse gebracht: „Schludrige Schlüsselmeister gefährden das Web“ [1]. In diesem Beitrag wird dargestellt, welche Rolle Certificate Policy (CP) und Certification Practice Statement (CPS) bei der Bewertung der Vertrauenswürdigkeit von Zertifizierungsstellen haben.
Literatur
Spiegel Online, „Schludrige Schlüsselmeister gefährden das Web“, http://www.spiegel.de/netzwelt/netzpolitik/internet-sicherheit-schludrigeschluesselmeister-gefaehrden-das-web-a-786481.html
DuD 22 (1998) 9, Dirk Fox, Eine ‚PGP-Policy’ für Unternehmen
ITU-T Recommendation X.509 (11/1988) — THE DIRECTORY — AUTHENTICATION FRAMEWORK
ITU-T Recommendation X.509 (11/1993) — THE DIRECTORY — AUTHENTICATION FRAMEWORK
ITU-T Recommendation X.509 (08/1997) — THE DIRECTORY — AUTHENTICATION FRAMEWORK
IETF, RFC1422, S. Kent, Privacy Enhancement for Internet Electronic Mail: Part II: Certificate-Based Key Management, Februar 1993, http://www.ietf.org/rfc/rfc1422.txt
American Bar Association, Digital Signature Guidelines, August 1996
IETF, RFC 2527, S. Chokhani, W. Ford, Internet X.509 Public Key Infrastructure, Certificate Policy and Certification Practices, März 1999, Framework, http://www.ietf.org/rfc/rfc2527.txt
IETF, RFC 3647, S. Chokhani, W. Ford, R. Sabett, C. Merrill, S. Wu, Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, November 2003, http://www.ietf.org/rfc/rfc3647.txt
ANSI, X9.79 PKI Practices and Policy Framework for the Financial Services Industry, 2001
AICPA/CICA, WebTrust™ Program for Certification Authorities Version 1.0, August 25, 2000
ETSI ESI TS 101 456 v1.1.1, Electronic Signatures and Infrastructures (ESI): Policy requirements for certification authorities issuing qualified certificates, Dezember 2000
ETSI ESI TS 102 042 v1.1.1, Electronic Signatures and Infrastructures (ESI): Policy requirements for certification authorities issuing public key certificates, April 2002
Comodo Certification Practice Statement v. 4.0, October 2012, http://www.comodo.com/about/comodo-agreements.php
DFN-Verein, Zertifizierungsrichtlinien für die DFN-PCA, Medium-Level Policy, Version 1.0, April 1997
DFN-Verein, Zertifizierungsrichtlinien für die DN-PCA, Low-Level Policy, Version 1.0, April 1997
DFN-Verein, Zertifizierungsrichtlinien für die DFN-PCA, Die World Wide Web Policy, Version 1.0, April 1999
DFN-Verein, Policies der DFN-PKI, http://www.pki.dfn.de/policies
Symantec Trust Network (STN) Certificate Policy Version 2.8.11, Februar 2013, http://www.verisign.com/repository/index.html
Symantec Trust Network (STN) Certification Practices Statement Version 3.8.12, Februar 2013, http://www.verisign.com/repository/index.html
CA/Browser Forum, Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, Version 1.1, September 2012, https://www.cabforum.org
CA/Browser Forum, Guidelines for the Issuance and Management of Extended Validation (EV) Certificates, Version 1.4, Mai 2012, https://www.cabforum.org
TC TrustCenter, Zertifizierungsrichtlinien, Januar 2010, http://www.trustcenter.de/about/repository.htm
TC TrustCenter GmbH, Certification Practice Statement Version 1.9.3, Januar 2010, http://www.trustcenter.de/about/repository.htm
Mozilla CA Certificate Store, http://www.mozilla.org/projects/security/certs
TeleTrusT European Bridge CA, https://www.ebca.de
The European Policy Management Authority for Grid Authentication in e-Science, http://www.eugridpma.org
Revocation checking and Chrome’s CRL, Februar 2012) http://www.imperialviolet.org/2012/02/05/crlsets.html
Additional information
Dr. Ralf Gröper Policyverantwortlicher, DFN-PKI, DFN-Verein
Jürgen Brauckmann Teamleiter PKI, DFN-CERT Services GmbH
Rights and permissions
About this article
Cite this article
Brauckmann, J., Gröper, R. Konzept und Nutzen von Certificate Policy und Certification Practice Statement. Datenschutz Datensich 37, 491–496 (2013). https://doi.org/10.1007/s11623-013-0205-z
Published:
Issue Date:
DOI: https://doi.org/10.1007/s11623-013-0205-z