JavaScript aktivieren, um diese Seite anzuzeigen.

Ausgangssituation:

Das SEPPmail Secure E-Mail Gateway sammelt X.509 Zertifikate aus E-Mail Signaturen. Taucht dabei ein Zertifikat einer bislang noch unbekannten Zertifizierungsstelle (CA) auf, so wird dieses ebenfalls eingesammelt. Da nicht jeder CA automatisch vertraut werden kann, müssen diese X.509 Root Zertifikate klassifiziert werden. Hierfür wird der Administrator per E-Mail benachrichtigt.

Wird der CA beziehungsweise dessen X.509 Root CA Zertifikat vertraut, so wird auch allen von dieser CA ausgestellten Zertifikaten vertraut.

 

Frage:

Welchen X.509 Root Certificates kann das Vertrauen (trust) ausgesprochen werden?

 

Antwort:

Jedes Unternehmen muss gemäss Ihrer eigenen Anforderungen und des eigenen Schutzbedarfs individuell entscheiden, welchen CAs das Vertrauen ausgesprochen werden kann. Viele Unternehmen haben dazu Revisionsvorgaben.

Ein HowTo oder Best Practise existiert an dieser Stelle leider nicht, insbesondere, da keine genormte Klassifizierung für die Qualität von CAs existiert. Häufig anzufindenden Einstufungen wie Class 1-n keinesfalls aussagekräftig.

 

Die üblichen «Trusted CAs», wie sie per Standard auch zum Beispiel im Windows-Zertifikats-Store zu finden sind, müssen - um hier aufgenommen zu werden - zahlreiche Zertifizierungen vorweisen können. Dabei geht es in erster Linie darum, dass diese CAs nicht kompromittiert werden können und beim Ausstellen von Zertifikaten den jeweiligen Antragsteller entsprechend durchleuchten.

 

Bei selbst signierten CAs werden diese Voraussetzungen meist selbst von namhaften Unternehmen nicht zu 100% erfüllt. Hilfreich sind bei diesen selbstsignierten CAs unter Umständen dann Zusammenschlüsse, wie zum Beispiel die European Bridge CA (EBCA www.ebca.de) der TeleTrusT, deren Mitglieder sich freiwillig den Vorgaben dieses Zusammenschlusses unterwerfen.

 

Bei kleineren Betreibern selbst signierter CAs, könnte gegebenenfalls ein eigens zusammengestellter Anforderungskatalog helfen, dessen Einhaltung der Betreiber bestätigt, um Ihr Vertrauen zu erlangen.

 

Häufige Entscheidungskriterien im Allgemeinen sind

akkreditierte oder self-signed CA
 

Herkunftsland der CA
 

CRL und/oder OCSP von der CA unterstützt, beziehungsweise auch Bereitstellungsintervall der Revokations-Informationen.
 

Vertrauen per Standard in den Vertrauenswürdigen Stammzertifizierungsstellen von Windows
  

Tastaturnavigation

F7 für Tastaturnavigation
ALT halten und Buchstaben drücken

Diese Info: ALT+q
Seitentitel: ALT+t
Seiteninhalt: ALT+b
Inhalte: ALT+c
Suche: ALT+s
Ebene höher: ESC