Jump to content

Eigene CA


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Zusammen

 

Ich hab vor kurzem den Auftrag gefasst Direct Access & Signierung von E-Mail zu implementieren.

 

Für beides ist eine eigene Zertifizierungsstelle vorausgesetzt bzw. von Vorteil.

 

Nun meine Frage: Ist es sinnvoll eine Zertifizierungsstelle einzurichten mit einem öffentlichen Root Certificate (VeriSign oder ähnliche) und hat jemand von euch schon Erfahrungen damit?

 

Vor allem in Bezug auf das signieren von E-Mails würde ich persönlich einen Sinn sehen. Gibt es Kontras für eine eigene Zertifizierungsstelle mit einem öffentlichen Wurzelzertifikat?

 

Danke für die Tipps.

 

Gruss

 

stefan

Link to comment

Hallo,

 

wenn Kosten kein Hindernis darstellen bzw. ein 6 oder gar 7 stelliges Budget für das Projekt zur Verfügung steht, ist ein Root Signing der eigenen CA sicherlich eine schöne Sache.

Am Besten schaust mal bei den einschlägigen Anbietern nach, welche Voraussetzungen für ein Root Signing gegeben sein müssen.

 

Eine Alternative wäre vielleicht eine Managed PKI. Die üblichen Verdächtigen bieten relativ preiswerte Modelle für SSL, S/MIME etc. an. Bei einigen gibt es auch die Option einer Active Directory Anbindung.

Link to comment

Ich glaube nicht, dass man derzeit Mails öffentlich sinnvoll und vor allen Dingen für den Empfänger nachprüfbar signieren kann.

Technisch sicher kein Problem. Nur muss der Empfänger bei einer öffentlichen  "Trusted" CA die Signatur verifizieren können...

Das ist gleiche Dilemma wie bei allen anderen Projekten zum Thema "elektronische Signatur".

Link to comment

Das Problem liegt dabei weniger auf der technischen Seite. S/MIME kann fast jedes Mailprogramm. Ein HSM, Smart Card Reader usw. bekomme ich schon für ein 'paar' Euro.

 

Das Problem liegt meistens in der Organisation. Also wie erfolgt die Identitätsverifizierung (persönliches Vorsprechen bei mehreren Stellen, Ausweiskopie oder nur eine gültige Email Adresse) und wie wird ein Mehr-Augen-Prinzip bei der Ausstellung des Zertifikats erzwungen (HSM, Split Key oder nur 'drei Kreuze auf einem Formular')

 

Man sollte nicht DE-Müll als Referenzmodell für vertrauenswürdige Kommunikation nehmen :cool:

Link to comment

Wie geschrieben: Technisch kein Problem. Sämtliche Verfahren zur elektronischen Signatur, die ich bisher gesehen habe, sind Insellösungen, bei denen der Kunde vom Anbieter einen SC bekommt und einen Kartenleser braucht. Der Betreiber kann dann natürlich den Kunden verifizieren. Doch das ist für die breite Öffentlichkeit nicht praxistauglich. Ein Beispiel ist e-vergabe vom Bund:  http://www.evergabe-online.info/cln_049/nn_248806/DE/Signatur/WichtigeHinweise/node.html?__nnn=true Wer hier mitmachen will muss sich u.U. eine Signatur zulegen. Aber nur von den genannten Anbietern ;)

 

Ein Bürger legt sich kaum das ganze Gedöns zu, nur um mal eine Meldung beim Ordnungsamt zu machen.

 

Im Falle der Mail: Hier ist die Frage zu klären, ob der Empfänger der Mail mit der Signatur was anfangen und auch verifizieren kann.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...