News | SwissSign
Eine Datensicherheitsspezialistin der Schweizerischen Post

Hauptbereich

09.08.2021

Information für SwissSign-MPKI-Kunden

Das Regulierungsorgan für Public-Key-Zertifikate im Internet, das CA/Browser Forum, ist stetig darum bemüht, die Sicherheitsanforderungen an solche Zertifikate so zu gestalten, dass sie den aktuellen Gefahren im Internet standhalten. In diesem Sinne wurden auch dieses Jahr erhöhte Sicherheitsanforderungen beschlossen. Diese haben Auswirkungen auf die Ausstellung zukünftiger Zertifikate. Insbesondere beim Nachweis zum Besitz eines Domain-Namens für die Ausstellung von SSL-/TLS-Zertifikaten werden diese Änderungen in Kraft treten.

Frequenz zum Beweis des Besitzes eines Domain-Namens
Bisher musste der Nachweis für den Besitz eines Domain-Namens nur für die Ausstellung von sogenannten «Extended Validation» (EV) Zertifikaten jährlich erbracht werden. Neu muss diese Beweisführung für die Ausstellung aller SSL-/TLS-Zertifikaten jährlich durchgeführt werden.
 



Methode zum Beweis des Besitzes eines Domain-Namens
Der Beweis wird mittels der kundenseitigen Publikation eines durch SwissSign als Anbieter erzeugten Zufallswerts («secret») durchgeführt. Als Managed-PKI-Kunde konnten Sie bisher auf zwei Methoden für diese Publikation zurückgreifen:

 

  1. Publikation im Domain Name System (DNS)

  2. Publikation in einer Text-Datei. Diese wird auf dem Webserver veröffentlicht, welcher unter diesem Domain-Namen erreichbar ist.

 

Neu wird die 2. Methode (Text-Datei) leider nicht mehr für alle Zertifikatstypen gültig sein. Wir müssen deshalb diese Beweisführung zukünftig auf die 1. Methode (DNS) beschränken, damit Sie als Kunde weiterhin vom ganzen Angebotsumfang profitieren können.
 

 

Abteilungsnamen: Die Möglichkeit, Abteilungsnamen (technisch: Attribut «Organizational Unit» - OU) zusätzlich zum Organisationsnamen in Zertifikate aufzunehmen, entfällt endgültig. Wir bitten Kunden, welche bisher von dieser Möglichkeit Gebrauch gemacht haben, zukünftig darauf zu verzichten. Für Kunden, welche bereits auf das OU-Attribut verzichten, entsteht kein Handlungsbedarf.
 


Diese oben aufgeführten Änderungen bedürfen gegebenenfalls einer Anpassung Ihrer Abläufe. Die Vorgaben betreffen aber nur zukünftige Zertifikatsbezüge. Bisher ausgestellte Zertifikate mit korrekten Inhalten behalten ihre Gültigkeit.