Certificate Policy für qualifizierte Zertifikate - PrimeSign ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Certificate Policy
für qualifizierte
Zertifikate
VDA PrimeSign
Autoren:
Dr. Klaus Stranacher (verantwortlicher Autor)
DI Thomas Knall
DI Sandra Kreuzhuber
DI Christof Rath
Dokumenten-Version: 1.7.0
Ausgabedatum: 23.06.2021
PUBLIC
PrimeSign GmbH
Wielandgasse 2 . 8010 Graz . Austria
T +43 (316) 25 830-0 . E office@prime-sign.com
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
INHALTSVERZEICHNIS
Dokumenthistorie ................................................................................................................. 7
1. Einleitung .................................................................................................................9
1.1. Überblick.................................................................................................................................. 9
1.2. Name und Kennzeichnung des Dokuments ....................................................................... 9
1.3. PKI Teilnehmer ....................................................................................................................... 10
1.3.1. Zertifizierungsstellen .......................................................................................................... 10
1.3.2. Registrierungsstellen .......................................................................................................... 11
1.3.3. Widerrufs- und Aussetzungsdienst ................................................................................... 11
1.3.4. Zertifikatserwerber/in und Zertifikatsinhaber/in (Unterzeichner/in) .......................... 11
1.3.5. Sonstige Teilnehmer/innen.............................................................................................. 12
1.4. Zertifikatsverwendung........................................................................................................... 12
1.5. Pflege der CP.......................................................................................................................... 12
1.5.1. Zuständigkeit für das Dokument ..................................................................................... 12
1.5.2. Kontaktinformation ........................................................................................................... 12
1.5.3. Verantwortlicher für die Anerkennung anderer CP ...................................................... 13
1.6. Begriffe und Abkürzungen ................................................................................................... 13
2. Verantwortlichkeiten für Veröffentlichungen und Verzeichnisse .............................. 15
2.1. Verzeichnisse .......................................................................................................................... 15
2.1.1. Zentraler Verzeichnisdienst .............................................................................................. 15
2.1.2. Auskunftsdienst über den Zertifikatsstatus ..................................................................... 15
2.2. Veröffentlichung von Informationen ................................................................................... 15
2.3. Häufigkeit von Veröffentlichungen...................................................................................... 16
2.4. Zugriffskontrollen auf Verzeichnisse .................................................................................... 16
3. Identifizierung und Authentifizierung ....................................................................... 17
3.1. Namensregeln ........................................................................................................................17
3.2. Initiale Überprüfung der Identität .........................................................................................17
3.2.1. Natürliche Personen...........................................................................................................17
3.2.2. Juristische Personen .......................................................................................................... 18
3.3. Identifizierung und Authentifizierung von Anträgen auf Schlüsselerneuerung ............. 18
3.4. Identifizierung und Authentifizierung von Anträgen auf Aussetzung und Widerruf ..... 19
4. Betriebsanforderungen ...........................................................................................20
4.1. Zertifikatsantrag und Registrierung .................................................................................... 20
4.2. Bearbeitung des Zertifikatsantrags .................................................................................... 20
4.3. Zertifikatsannahme................................................................................................................ 22
4.4. Verwendung des Schlüsselpaars und des Zertifikats........................................................ 23
4.4.1. Nutzung durch den/die Zertifikatsinhaber/in .............................................................. 23
4.4.2. Nutzung durch sonstige Teilnehmer/innen ................................................................... 23
PUBLIC 23.06.2021
Seite 2 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
4.5. Zertifikatserneuerung ........................................................................................................... 24
4.6. Zertifikatserneuerung mit Schlüsselerneuerung................................................................ 24
4.7. Zertifikatsänderungen .......................................................................................................... 24
4.8. Widerruf und Aussetzung von Zertifikaten ........................................................................ 24
4.9. Abfragedienst zum Zertifikatsstatus ................................................................................... 26
4.10. Abmeldung vom Vertrauensdienst ..................................................................................... 27
4.11. Hinterlegung und Wiederherstellung von Schlüsseln ....................................................... 27
5. Nicht-technische Sicherheitsmaßnahmen ............................................................... 28
5.1. Bauliche Sicherheitsmaßnahmen ....................................................................................... 28
5.2. Verfahrensvorschriften ......................................................................................................... 28
5.3. Personelle Sicherheitsvorkehrungen .................................................................................. 28
5.4. Protokollierung und Überwachungsmaßnahmen ............................................................ 28
5.5. Archivierung von Aufzeichnungen ..................................................................................... 29
5.6. Schlüsselwechsel (CA und Root-Schlüssel) ....................................................................... 29
5.7. Kompromittierung und Notfallplan (Desaster Recovery) ................................................ 29
5.8. Einstellung der Tätigkeit ....................................................................................................... 29
6. Technische Sicherheitsmaßnahmen ........................................................................30
6.1. Generierung und Installation von Schlüsselpaaren ......................................................... 30
6.2. Schutz der privaten Schlüssel ............................................................................................. 30
6.3. Andere Aspekte des Schlüsselpaar-Managements ......................................................... 30
6.4. Aktivierungsdaten.................................................................................................................. 31
6.5. Sicherheitsvorkehrungen in den Computersystemen ....................................................... 31
6.6. Sicherheitsvorkehrungen während der Lebensdauer....................................................... 31
6.7. Maßnahmen für die Netzwerksicherheit ............................................................................ 31
6.8. Zeitstempel ............................................................................................................................. 31
7. Profile für Zertifikate, Sperrlisten und Statusabfragedienst ...................................... 32
7.1. Zertifikatsprofile...................................................................................................................... 32
7.2. Sperrlistenprofile (CRL Profile) .............................................................................................. 37
7.3. Profile für Statusabfragedienst (OCSP Profile) .................................................................. 39
8. Überprüfungen und andere Bewertungen ................................................................41
8.1. Konformität ............................................................................................................................. 41
8.2. Audits ..................................................................................................................................... 42
9. Sonstige finanzielle und rechtliche Regelungen ...................................................... 43
PUBLIC 23.06.2021
Seite 3 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
9.1. Gebühren .............................................................................................................................. 43
9.2. Finanzielle Verantwortung ................................................................................................... 43
9.3. Vertraulichkeit und Geschäftsdaten ................................................................................... 43
9.4. Datenschutz und Personendaten ....................................................................................... 43
9.5. Gewerbliche Schutz- und Urheberrechte .......................................................................... 44
9.6. Gewährleistungsansprüche und Garantien ...................................................................... 44
9.7. Haftungsausschlüsse ............................................................................................................ 44
9.8. Haftungsbeschränkungen ................................................................................................... 45
9.9. Schadenersatz ...................................................................................................................... 45
9.10. Gültigkeitsdauer der CP und Gültigkeitsende .................................................................. 45
9.11. Kommunikation .................................................................................................................... 45
9.12. Nachträge ............................................................................................................................. 45
9.13. Bestimmungen zur Schlichtung und Konfliktlösung ......................................................... 46
9.14. Gerichtsstand ........................................................................................................................ 46
9.15. Einhaltung geltenden Rechts .............................................................................................. 46
9.16. Sonstige Bestimmungen ...................................................................................................... 46
9.16.1. Vollständigkeitserklärung ................................................................................................ 46
9.16.2. Salvatorische Klausel ....................................................................................................... 46
9.16.3. Höhere Gewalt ................................................................................................................. 46
9.16.4. Rechtsübertragung .......................................................................................................... 46
9.17. Andere Bestimmungen .........................................................................................................47
9.17.1. Diskriminierung und Zugänglichkeit ............................................................................... 47
9.17.2. Erfüllungsgehilfen .............................................................................................................. 47
9.17.3. Rollenteilung ...................................................................................................................... 47
10. Referenzen ............................................................................................................. 48
PUBLIC 23.06.2021
Seite 4 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
ABBILDUNGSVERZEICHNIS
Abbildung 1: Zertifikatshierarchie ............................................................................................................10
PUBLIC 23.06.2021
Seite 5 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
TABELLENVERZEICHNIS
Tabelle 1: Dokumenthistorie....................................................................................................................... 7
Tabelle 2: Begriffe und Abkürzungen ..................................................................................................... 13
Tabelle 7: Zertifikatsprofil ......................................................................................................................... 32
Tabelle 8: Verwendete Zertifikatserweiterungen .................................................................................. 34
Tabelle 9: CRL-Profil ................................................................................................................................. 37
Tabelle 10: Verwendete CRL-Erweiterungen ......................................................................................... 38
PUBLIC 23.06.2021
Seite 6 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
Dokumenthistorie
Tabelle 1: Dokumenthistorie
Version Datum Autor Änderungen Status
0.1.0 24.05.2016 Thomas Knall, Initialversion Entwurf
Sandra Kreuzhuber,
Klaus Stranacher
0.2.0 01.06.2016 Jan Herold Qualitätssicherung und Kommentare Entwurf
0.3.0 08.06.2016 Thomas Knall, Überarbeitungen und Anpassungen Entwurf
Sandra Kreuzhuber,
Klaus Stranacher
0.4.0 15.06.2016 Siegfried Gruber Qualitätssicherung und Kommentare Entwurf
0.5.0 17.06.2016 Thomas Knall, Überarbeitungen und Anpassungen Finaler
Sandra Kreuzhuber, Entwurf
Klaus Stranacher
1.0.0 20.06.2016 Thomas Rössler Überarbeitung, Freigabe und Veröffentlicht
Veröffentlichung
1.0.1 26.08.2016 Klaus Stranacher, Editorielle Überarbeitung Entwurf
Thomas Rössler,
Sandra Kreuzhuber
1.1.0 01.06.2017 Christof Rath, Anpassungen zur Veröffentlicht
Thomas Rössler Konformitätsbewertung
1.2.0 21.11.2017 Christof Rath, Editorielle Anpassungen und Veröffentlicht
Klaus Stranacher Präzisierungen hinsichtlich QSCD auf
Basis einer Fernsignatur-Lösung
(Remote Signing),
Anpassungen im Rollenmodell,
Freigabe und Veröffentlichung
1.3.0 30.04.2019 Klaus Stranacher, Anpassungen zu: Nicht
Christof Rath, - Präzisierung Registrierung-, veröffentlicht
Siegfried Gruber Aussetzungs- und Widerrufsprozess
- Geänderte Begrifflichkeiten (z.B. Version
Sperre=Aussetzung) übermittelt
- Rollenmodell, Tätigkeiten und an A-SIT zur
Stellvertretung Konformitäts
bewertung
PUBLIC 23.06.2021
Seite 7 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
- Qualifizierte Zertifikate zu
Testzwecken
- Zertifikatsprofil
- Ausstellung qualifizierte Zertifikate
für elektronische Siegel (ohne
QSEE)
1.3.1 26.06.2019 Christof Rath, Klaus Anpassung der Beschreibung der Veröffentlicht
Stranacher Zertifikatserweiterungen
1.4.0 19.12.2019 Klaus Stranacher Editorielle Anpassungen, Veröffentlicht
Versionsangleichung mit CPS
1.5.0 02.04.2020 Klaus Stranacher Anpassungen zu: Veröffentlicht
- Aktualisierung des Zertifikatsprofils
(Einführung Policy OID
1.2.40.0.39.3.1.2, Entfernung Policy
OID 1.2.40.0.39.3.1.1)
1.6.0 31.03.2021 Klaus Stranacher, Anpassungen und Erweiterungen zu: Nicht
Christof Rath - Practice Statement der vom VDA veröffentlicht
betriebenen (qualifizierten)
Signatur- bzw. Version
Siegelerstellungseinheiten gem. übermittelt
ETSI TS 119 431-1 hinzugefügt an A-SIT zur
- Anpassungen des Zertifikats- und Konformitäts
Sperrlistenprofils bewertung
- Editorielle Anpassungen
1.7.0 23.06.2021 Klaus Stranacher Erweiterung der Zertifikatshierarchie: Veröffentlicht
- Neues CA-Zertifikat für die CA
„EGOFY Qualified CA 2021“
- Neues CA-Zertifikat für die CA
„PrimeSign Qualified Seal CA 2021"
Dokument freigegeben durch:
Unterzeichner ppa. Mag. Siegfried
Gruber
Datum/Zeit-UTC 2021-06-23T11:39:24+02:00
Prüfinformation Diese Unterschrift ist gemäß EU Verordnung Nr.
910/2014 (eIDAS) der handschriftlichen Unterschrift
grundsätzlich rechtlich gleichgestellt.
PUBLIC 23.06.2021
Seite 8 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
1. Einleitung
1.1. Überblick
Das vorliegende Dokument repräsentiert die Anwendungsvorgabe (Certificate Policy, CP) der von
der PrimeSign GmbH betriebenen (qualifizierten) Public Key Infrastruktur (PKI) und die SSASC 1
Policy der von der PrimeSign GmbH betriebenen (qualifizierten) Signatur- bzw.
Siegelerstellungseinheiten.
Die PrimeSign GmbH betreibt als qualifizierter Vertrauensdiensteanbieter – im Folgenden VDA
genannt – einen Vertrauensdienst für die Ausstellung von qualifizierten Zertifikaten zur Nutzung
mit qualifizierten elektronischen Signaturen und (qualifizierten) elektronischen Siegeln.
Die Gliederung dieses Dokuments orientiert sich an dem internationalen Standard für
Zertifizierungsrichtlinien [RFC 3647] der Internet Society und erfüllt die entsprechenden
Anforderungen folgender Standards des Europäischen Instituts für Telekommunikationsnormen:
- ETSI EN 319 401 V2.2.1 (2018-04): Electronic Signatures and Infrastructures (ESI); General
Policy Requirements for Trust Service Providers [ETSI EN 319 401]
- ETSI EN 319 411-1 V1.2.2 (2018-04): Electronic Signatures and Infrastructures (ESI); Policy
and security requirements for Trust Service Providers issuing certificates; Part 1: General
requirements [ETSI EN 319 411-1]
- ETSI EN 319 411-2 V2.2.2 (2018-04): Electronic Signatures and Infrastructures (ESI); Policy
and security requirements for Trust Service Providers issuing certificates; Part 2:
Requirements for trust service providers issuing [ETSI EN 319 411-2]
- ETSI TS 119 431-1 V1-1-1 (2018-12): Electronic Signatures and Infrastructures (ESI); Policy and
security requirements for trust service providers; Part 1: TSP service components operating
a remote QSCD / SCDev [ETSI TS 119 431-1]
1.2. Name und Kennzeichnung des Dokuments
Name der Richtlinie: PrimeSign Certificate Policy für qualifizierte Zertifikate zur Nutzung mit
qualifizierten Signaturen und (qualifizierten) Siegeln.
Version: 1.7.0
1
Server signing application service component gemäß [ETSI TS 119 431-1]
PUBLIC 23.06.2021
Seite 9 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
Datum: 23.06.2021
Object Identifier: 1.2.40.0.39.2.2.1.1.7.0
1.2.40.0.39(PrimeSign).2(Dokumentation).1(CP für qualifizierte
Zertifikate).1(CA spezifisch).1.7.0(vorliegende Version)
Die OID 1.2.040.0.39 ist auf die Firma PrimeSign GmbH registriert.
1.3. PKI Teilnehmer
In diesem Abschnitt werden die PKI Teilnehmer und ihre Aufgaben skizziert. Detaillierte
Informationen können in Folge den weiteren Abschnitten entnommen werden.
1.3.1. Zertifizierungsstellen
Die Zertifikatshierarchie des VDA für qualifizierte Zertifikate ist in drei Ebenen gegliedert. Die
oberste Ebene bildet die Qualifizierte Root CA. Davon abgeleitet werden in der zweiten Ebene
entsprechende qualifizierte CAs, die in weitere Folge (und somit in Ebene 3) die qualifizierten
Endanwenderzertifikate ausstellen. Abbildung 1 bietet eine schematische, exemplarische
Darstellung der Zertifikatshierarchie.
Abbildung 1: Zertifikatshierarchie
Das Root-Zertifikat sowie die darunterliegenden CA-Zertifikate werden vom VDA ausgestellt. In
dieser Zertifikatshierarchie werden lediglich qualifizierte Endanwenderzertifikate ausgestellt.
PUBLIC 23.06.2021
Seite 10 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
Der VDA stellt qualifizierte Zertifikate für elektronische Signaturen an natürliche Personen sowie
qualifizierte Zertifikate für elektronische Siegel an juristische Personen aus. Die Unterscheidung
zwischen einem qualifizierten Zertifikat für elektronische Signaturen bzw. elektronische Siegel
erfolgt durch Verwendung der Zertifikatserweiterung QCStatement. Für nähere Informationen zum
verwendeten Zertifikatsprofil siehe Abschnitt 7.1. Soweit diese zur Ausstellung qualifizierter
Zertifikate verwendet werden, kommen die Bestimmungen dieses Dokuments zur Anwendung.
Der VDA behält es sich vor, weitere qualifizierte CA-Zertifikate (d.h. weitere CAs zur Ausstellung
von qualifizierten Endanwenderzertifikaten) je nach Bedarf für spezielle Nutzungsszenarien oder
für geschlossene Organisationen auszustellen.
Weiters steht es dem VDA frei, bei Bedarf zusätzlich fortgeschrittene Zertifikate auszustellen, jedoch
erfolgt dies in einer weiteren Zertifikatshierarchie mit einem eigenen Root-Zertifikat.
1.3.2. Registrierungsstellen
In der Registrierungsstelle (RA) wird die Registrierung von Zertifikatserwerbern/innen durch einen
so genannten Registration Officer (RO) durchgeführt. Alternative Registrierungsmöglichkeiten
können, sofern sie dieselbe Qualität hinsichtlich der Identifizierung des/der Zertifikatserwerbers/in
und der Überprüfung der Daten des/der Zertifikaterwerbers/in ermöglichen, zusätzlich
angeboten werden. Für die Registrierung sind dabei insbesondere folgende Tätigkeiten
notwendig: sichere und eindeutige Identifizierung der Zertifikatserwerber/innen, Überprüfung und
Bearbeitung der Daten des/der Zertifikatserwerbers/in sowie schließlich die Weiterleitung dieser
geprüften Daten an die entsprechende Zertifizierungsstelle.
1.3.3. Widerrufs- und Aussetzungsdienst
Zertifikatsinhaber/innen können jederzeit an den VDA einen Antrag auf Widerruf oder Aussetzung
ihres Zertifikates stellen. Dies erfolgt über den Widerrufs- und Aussetzungsdienst. Abschnitt 3.4 und
4.8 enthalten nähere Informationen zum Ablauf eines Widerrufs bzw. einer Aussetzung.
1.3.4. Zertifikatserwerber/in und Zertifikatsinhaber/in (Unterzeichner/in)
Anträge auf Ausstellung eines Zertifikates können sowohl von natürlichen Personen wie auch von
juristischen Personen durch eine vertretungsbefugte natürliche Person eingebracht werden.
Zertifikatsinhaber/in ist in Folge jene Person, auf die das Zertifikat ausgestellt ist. Der/die
PUBLIC 23.06.2021
Seite 11 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
Zertifikatsinhaber/in ist jene Person, die eine qualifizierte elektronische Signatur oder ein
(qualifiziertes) elektronisches Siegel aufbringt.
1.3.5. Sonstige Teilnehmer/innen
Sonstige Teilnehmer/innen sind vor allem die Empfänger/innen bzw. Nutzer/innen eines
Zertifikats. Sie vertrauen dabei auf die angegebenen Daten im Zertifikat, die sie beispielsweise im
Zuge der Überprüfung der Gültigkeit einer qualifizierten elektronischen Signatur oder eines
(qualifizierten) elektronischen Siegels benötigen.
1.4. Zertifikatsverwendung
Mit der Ausstellung des qualifizierten Zertifikats basierend auf dieser Richtlinie wird von der
Zertifizierungsstelle der Schlüssel des/der Unterzeichners/in zertifiziert. Dieser Schlüssel darf
ausschließlich für das Erstellen von qualifizierten elektronischen Signaturen oder (qualifizierten)
elektronischen Siegeln genutzt werden.
Elektronische Signaturen, die auf einem unter dieser Richtlinie ausgestellten Zertifikat für
elektronische Signaturen basieren und mit einer qualifizierten Signaturerstellungseinheit erstellt
wurden, sind qualifizierte elektronische Signaturen gemäß Artikel 3 Z 12 Verordnung (EU) 910/2014
[EIDAS].
Elektronische Siegel, die auf einem unter dieser Richtlinie ausgestellten Zertifikat für elektronische
Siegel basieren und mit einer qualifizierten Siegelerstellungseinheit erstellt wurden, sind
qualifizierte elektronische Siegel gemäß Artikel 3 Z 27 Verordnung (EU) 910/2014 [EIDAS].
1.5. Pflege der CP
1.5.1. Zuständigkeit für das Dokument
Dieses Dokument wurde von der PrimeSign GmbH erstellt und herausgegeben. Die PrimeSign
GmbH ist für die Pflege, Verwaltung und Organisation des Dokuments verantwortlich.
1.5.2. Kontaktinformation
Die Kontaktaufnahme kann über folgende Wege erfolgen:
PrimeSign GmbH
Wielandgasse 2, 8010 Graz
PUBLIC 23.06.2021
Seite 12 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
Niederlassung Wien:
PrimeSign GmbH, Franzosengraben 8, 1030 Wien
Telefon: +43 316 25 830
Web: https://prime-sign.com
Email: office@prime-sign.com
1.5.3. Verantwortlicher für die Anerkennung anderer CP
Die PrimeSign GmbH entscheidet über die Anerkennung andere CPS.
1.6. Begriffe und Abkürzungen
Tabelle 2: Begriffe und Abkürzungen
Begriff/Abkürzung Bedeutung
AGB Allgemeine Geschäftsbedingungen der Firma PrimeSign für
qualifizierte Zertifikate
AO Audit Officer
ASN.1 Abstract Syntax Notation One
BKA Bundeskanzleramt
CA Certification Authority (Zertifizierungsstelle)
CARL Widerrufsliste für CA-Zertifikate
CEO Chief Executive Officer
CP Certificate Policy
CPS Certification Practice Statement
CRL Certificate Revocation List
DER Distinguished Encoding Rules
eIDAS Verordnung (EU) 910/2014
EAL Evaluation Assurance Level
ETSI European Telecommunications Standards Institute
(Europäisches Institut für Telekommunikationsnormen)
FIPS Federal Information Processing Standard
GMT Greenwich Mean Time
HSM Hardware Security Module
ISO International Organization for Standardization
LCO Legal Compliance Officer
LCRO Liaison and Chief Registration Officer
PUBLIC 23.06.2021
Seite 13 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
LDAP Lightweight Directory Access Protocol
OCSP Online Certificate Status Protocol
OID Object Identifier
PKI Public Key Infrastruktur
PO Policy Officer
(Q)SEE (Q)ualifizierte Signatur- und Siegelerstellungseinheit
Remote Signing Elektronische Fernsignatur gemäß [EIDAS]
RA Registrierungsstelle
RO Registration Officer
RVO Revocation Officer
SA System Administrator
SIR SIR definiert eine Schnittstelle bzw. einen Prozess, welche
elektronische Identitätsnachweise ausgewählter, zuverlässiger
Quellen des öffentlichen Bereichs und ausgewählter
Registrierungsstellen sammelt und diese dem VDA für die
Ausstellung eines qualifizierten Zertifikats über eine definierte Web-
Service Schnittstelle zur Verfügung stellt.
SO Security Officer
VDA Qualifizierter Vertrauensdiensteanbieter PrimeSign GmbH
VPN Virtual Private Network
PUBLIC 23.06.2021
Seite 14 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
2. Verantwortlichkeiten für Veröffentlichungen und Verzeichnisse
2.1. Verzeichnisse
2.1.1. Zentraler Verzeichnisdienst
Es wird ein zentraler Verzeichnisdienst betrieben, in dem Zertifikate veröffentlicht sind. Der
Verzeichnisdienst kann dabei via LDAP abgefragt werden.
2.1.2. Auskunftsdienst über den Zertifikatsstatus
Statusinformationen zu den herausgegebenen Zertifikaten können via CRL oder OCSP abgefragt
werden.
2.2. Veröffentlichung von Informationen
Sämtlichen öffentlichen Informationen werden auf der Webseite des VDA unter folgender Adresse
veröffentlicht:
- http://tc.prime-sign.com
Zu diesen Informationen zählen insbesondere:
- Certificate Policy (CP)
- Certification Practice Statement (CPS)
- PKI Disclosure Statement (PDS)
- Root-Zertifikat
- CA-Zertifikate
- Certificate Revocation Lists (CRLs)
- Allgemeine Geschäftsbedingungen der Firma PrimeSign für qualifizierte Zertifikate (inkl.
Informationen zu Haftung, Haftungsbeschränkungen und Schadenersatzansprüche)
- Unterrichtung zur Zertifikatsnutzung
- Allgemeiner Signaturvertrag
Informationen zu den aktuellen Möglichkeiten zum Widerruf bzw. zur Aussetzung eines Zertifikats
sind auf der Webseite des VDA zu finden:
- https://www.prime-sign.com
PUBLIC 23.06.2021
Seite 15 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
Das Dokument Technisches Sicherheitskonzept, Systembeschreibung und Risikobewertung [TP],
das die Grundlage für das vorliegende Dokument bildet, ist vertraulich und ist daher nicht
öffentlich zugänglich.
2.3. Häufigkeit von Veröffentlichungen
Die Veröffentlichung der CP erfolgt immer unmittelbar nach Erstellung bzw. Freigabe des
Dokuments.
Die Veröffentlichung eines Zertifikats erfolgt gemäß Artikel 24 Abs 2 lit f eIDAS-VO nur nach
Zustimmung des/der Zertifikatsinhabers/in. Jede Änderung des Zertifikatsstatus wird ebenfalls
unverzüglich in den Statusinformationen veröffentlicht.
2.4. Zugriffskontrollen auf Verzeichnisse
Der Zugriff auf den zentralen Verzeichnisdienst ist nur lesend möglich. Bei Listenabfragen kann
eine bestimmte Mengenbegrenzung erfolgen.
Der Zugriff auf den Auskunftsdienst über den Zertifikatsstatus ist ebenfalls nur lesend, aber
ansonsten unbeschränkt möglich.
PUBLIC 23.06.2021
Seite 16 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
3. Identifizierung und Authentifizierung
3.1. Namensregeln
Für die Ausstellung von Zertifikaten an natürliche Personen wird der Name des/der
Zertifikatsinhabers/in durch eine Reihe von Attributen dargestellt. Optional kann auch die
Zugehörigkeit zu einer Organisation in das Zertifikat mit aufgenommen werden. Details hierzu sind
dem entsprechenden Certification Practice Statement [CPS] zu entnehmen.
Für die Ausstellung von Zertifikaten an juristische Personen wird der Name des/der
Zertifikatsinhabers/in ebenfalls durch eine Reihe von Attributen dargestellt. Details hierzu sind dem
entsprechenden Certification Practice Statement [CPS] zu entnehmen.
Die Ausstellung von qualifizierten Zertifikaten zur Durchführung von Tests ist ohne Identitäts-
prüfung möglich. Diese Zertifikate sind erkennbar durch die beginnende Zeichenfolge
„XXXTESTXXX_“ im Name der Person bzw. im Organisationsnamen.
3.2. Initiale Überprüfung der Identität
3.2.1. Natürliche Personen
Bei der Antragstellung muss der/die Zertifikatserwerber/in seine/ihre Identität persönlich
gegenüber einem Registration Officer (RO) unter Verwendung eines gültigen, amtlichen
Lichtbildausweises nachweisen.
Eine persönliche Selbst-Identifikation und somit auch Selbst-Ausstellung eines Zertifikats auf Basis
der Überprüfung eines Lichtbildausweises eines RO für sich selbst ist nicht zulässig. Eine derartige
Selbst-Identifikation ist ausschließlich zu Testzwecken entsprechend Abschnitt 3.1.3 des
Certification Practice Statement [CPS] zulässig.
Bei Bedarf und nach technischer Möglichkeit steht dem/der Zertifikatserwerber/in die Möglichkeit
zur Verfügung seine/ihre Identität mittels sicherer Distanz-Identifikationsverfahren (gemäß Artikel
24 Abs 1 lit b bzw. lit d Verordnung (EU) 910/2014 [EIDAS]), bei denen der/die Zertifikatswerber/in
nicht vor Ort bei einem Registration Officer erscheinen muss, nachzuweisen. Alternativen, vor
allem elektronische Distanzverfahren, sind möglich und können abhängig von deren technischer
Machbarkeit und rechtlicher Zulässigkeit (vor dem Hintergrund des vorliegenden Dokuments) vom
VDA eingerichtet und angeboten werden.
PUBLIC 23.06.2021
Seite 17 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
Zusätzlich steht die Möglichkeit zur Verfügung, ein neues qualifiziertes Zertifikat mittels bereits
vorhandener eindeutiger starker elektronischer Identität (gemäß Artikel 24 Abs 1 lit c iVm Art 24
Abs 1 lit a und b Verordnung (EU) 910/2014 [EIDAS]; Sicherheitsniveau substantiell oder hoch)
bzw. mit einer bestehenden qualifizierten Signatur oder mit geeigneten anderen zulässigen
elektronischen Nachweisen (etwa behördlichen Identitätsbestätigungen, etc.), die über eine dem
Stand der Technik und den Vorgaben dieses Dokumentes entsprechende Umsetzung des SIR-
Verfahrens erbracht werden, zu beantragen.
Ist der/die Zertifikatserwerber/in eine natürliche Person müssen insbesondere auch folgende
Angaben überprüft werden:
- Vollständiger Name
- Geburtsdatum
Bei Angabe von Organisationsdaten im Zertifikat, muss der/die Zertifikatserwerber/in die
Einwilligung der Organisation bzw. die Autorisierung der Organisation durch Vorlage geeigneter
Dokumente nachweisen.
3.2.2. Juristische Personen
Im Falle einer Zertifikatsantragstellung für eine juristische Person muss der/die Vertreter/in der
juristischen Person seine diesbezügliche Berechtigung nachweisen und sich gegenüber dem VDA
authentifizieren (siehe Anforderungen aus Abschnitt 3.2.1 für die Authentifizierung von natürlichen
Personen). Weiters werden alle im Zertifikat anzugebenden Daten der juristischen Person
überprüft. Insbesondere müssen folgende Daten der juristischen Person vorgelegt und überprüft
werden:
- Vollständiger Name der juristischen Person
- Registereintragung der juristischen Person (z.B. Firmenbuch)
- Falls im Zertifikat eine Assoziierung mit einer weiteren Organisation vorgenommen
werden soll, gelten dieselben Anforderungen wie für die Assoziierung von natürlichen
Personen mit einer Organisation (siehe Abschnitt 3.2.1).
3.3. Identifizierung und Authentifizierung von Anträgen auf Schlüsselerneuerung
Die Schlüsselerneuerung bezeichnet die erneute Generierung von Zertifikaten und Schlüsseln für
dasselbe Subject, beispielsweise nach Ablauf der Gültigkeit, nach einem Widerruf oder bei
PUBLIC 23.06.2021
Seite 18 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
Änderung von Daten des/der Zertifikatsinhabers/in. Eine Rezertifizierung auf Basis des gleichen
Schlüsselmaterials wird vom VDA nicht unterstützt.
Für die Neuausstellung kann, falls sich keine der im Zertifikat angegebenen Daten geändert
haben, eine Identifizierung und Authentifizierung auf Basis eines bereits bestehenden gültigen
Zertifikats erfolgen, jedoch nur, falls dieses weder ausgesetzt noch widerrufen ist und keine Policy
OID „Nicht ID-fähig“ (siehe Abschnitt 7.1) enthält. Bei Änderung von Daten erfolgt in jedem Fall die
Identifizierung und Authentifizierung äquivalent zur Erstausstellung.
Im Zuge der Neuausstellung muss der/die Zertifikatserwerber/in sämtliche vertragliche
Bedingungen in deren aktuellen Fassung erneut akzeptieren.
3.4. Identifizierung und Authentifizierung von Anträgen auf Aussetzung und Widerruf
Zertifikatsinhaber/in oder berechtigte Dritte können Zertifikate aussetzen oder widerrufen. Ein
Widerruf ist permanent und kann nicht aufgehoben werden. Eine Aussetzung kann hingegen
innerhalb von zehn Tagen wieder aufgehoben werden. Wird die Aussetzung nicht innerhalb dieser
Frist aufgehoben geht diese automatisch in einen Widerruf über.
Prinzipiell können vom VDA folgende Möglichkeiten zur Beantragung einer Aussetzung bzw. eines
Widerrufs zur Verfügung gestellt werden:
• Aussetzung bzw. Widerruf über den telefonischen Widerrufs- und Aussetzungsdienst,
• persönlich beim RO,
• über eine Webschnittstelle,
• sonstige Distanzverfahren (z.B. auf Basis einer elektronischen Identität, einem Post-
Identifikationsverfahren oder anderen schriftlichen Verfahren in Papierform)
Die aktuell angebotenen Möglichkeiten zur Beantragung einer Aussetzung bzw. eines Widerrufs
sind auf der Webseite des VDA zu finden.
Weitere Details zum Ablauf einer Sperre bzw. eines Widerrufs sind dem entsprechendem
Certification Practice Statement [CPS] zu entnehmen.
PUBLIC 23.06.2021
Seite 19 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
4. Betriebsanforderungen
4.1. Zertifikatsantrag und Registrierung
Anträge auf Ausstellung eines Zertifikates können sowohl von natürlichen Personen für sich selbst
wie auch für juristischen Personen durch eine vertretungsbefugte natürliche Person schriftlich, über
elektronische Wege (d.h. via Antragsformulare, einem Prozess, etc.) oder persönlich in der
Registrierungsstelle (RA) gestellt werden. Bei Bedarf und nach technischer Möglichkeit steht
dem/der Zertifikatserwerber/in die Möglichkeit zur Verfügung seine/ihre Identität auch mittels
sicherer Distanz-Identifikationsverfahren (gemäß Artikel 24 Abs 1 lit b bzw. lit d Verordnung (EU)
910/2014 [EIDAS]) nachzuweisen. Alternativen, vor allem elektronische Distanzverfahren, sind
möglich und können abhängig von deren technischer Machbarkeit und rechtlicher Zulässigkeit
(vor dem Hintergrund des vorliegenden Dokuments) vom VDA eingerichtet und angeboten
werden.
Unter Antrag wird verstanden, wenn der/die Zertifikatserwerber/in selbst oder durch Dritte
seine/ihre Personen- und weitere notwendige Daten an die Registrierungsstelle bekannt gibt, um
ein Signaturzertifikat auf einer qualifizierten Signatur- oder (qualifizierten) Siegelerstellungseinheit,
wie Smartcard oder Remote QSEE, zu beantragen.
Für qualifizierte elektronische Signaturen und qualifizierte elektronische Siegel kommt jedenfalls
ein QSEE zum Einsatz. Für nicht-qualifizierte elektronische Siegel entfällt die Notwendigkeit einer –
als QSEE-zertifizierten – Siegelerstellungseinheit.
Zertifikatsanträge dürfen nur vom VDA oder einer vertrauenswürdigen Registrierungsstelle, welche
vertraglich verpflichtet ist die Anforderungen des Registrierungsprozesses zu erfüllen,
angenommen werden. Bei der Verwendung von externen Dienstleistern zur Durchführung des
Registrierungsprozesses erfolgt der Datenaustausch mit dem VDA über gesicherte Kanäle, wobei
die Authentizität der übertragenen Daten sichergestellt wird.
4.2. Bearbeitung des Zertifikatsantrags
Nach Antragstellung erfolgt die Bearbeitung des Zertifikatsantrags durch die RA. Der RO/die RA
führt in einem ersten Schritt die Unterrichtung gemäß Artikel 24 Abs 2 lit d eIDAS-VO des/der
Zertifikatserwerbers/in durch. Diese umfasst die Rechte und Pflichten gemäß Signaturvertrag, die
Information über die Verarbeitung personenbezogener Daten der Registrierung und im Zuge des
Lebenszyklus des Zertifikats anfallenden Daten, die Allgemeinen Geschäftsbedingungen für
PUBLIC 23.06.2021
Seite 20 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
qualifizierte Zertifikate und das vorliegende Dokument Certificate Policy sowie das Certification
Practice Statement. Die Bestätigung der Kenntnisnahme der vorgelegten Dokumente sowie die
Zustimmung zum Signaturvertrag ist Voraussetzung für eine weitere Bearbeitung des
Zertifikatsantrags.
Eine Veröffentlichung des Zertifikats im Verzeichnisdienst des VDA erfolgt gemäß Artikel 24 Abs 2
lit f eIDAS-VO nur nach Zustimmung des/der Zertifikatsinhabers/in. Sofern im konkreten
Registrierungsprozess eine Veröffentlichung vorgesehen ist, kann der/die Zertifikatserwerber/in
entscheiden, ob eine Veröffentlichung des Zertifikats im Verzeichnisdienst des VDA erfolgen soll.
Die RA führt die Identitätsprüfung des/der Zertifikatserwerbers/in sowie die Prüfung der
Korrektheit der im Zertifikat anzugebenen Daten durch. Diese Daten können beispielsweise die
Zugehörigkeit zu einer Organisation beinhalten. Zur Überprüfung der Identität der natürlichen
oder juristischen Person können ein persönliches Erscheinen des/der Zertifikatserwerbers/in
notwendig sein oder alternative Nachweisformen zur Anwendung kommen, wie im Wege eines
Distanzverfahrens (sofern vom VDA angeboten) oder auf Basis von Identitätsnachweisen aus
authentischen Quellen (SIR-Verfahren, sofern vom VDA angeboten).
Treten bei der Prüfung der Identität oder der Prüfung der Korrektheit der von dem/der
Zertifikatserwerber/in angegebenen Daten oder den Ausweis- und Nachweisdokumenten
Unstimmigkeiten auf, die der/die Zertifikatserwerber/in nicht zeitnah und restlos ausräumt, wird
der Zertifikatsantrag abgelehnt.
Im Zuge der Registrierung ist von dem/der Zertifikatserwerber/in auch das gewählte
Widerrufskennwort bekanntzugeben. Alternativ werden vom VDA andere Widerrufsmöglichkeiten
aufgezeigt (z.B. Widerruf nach einer neuerlichen Identifikation des/der Zertifikatsinhabers/in,
Widerruf per Widerrufcodes, etc.). Handelt es sich um die Ausstellung eines Einmal-Zertifikats,
dessen Schlüsselmaterial nach einmaliger Verwendung sofort sicher vernichtet wird, so entfällt die
Festlegung eines Widerrufskennworts, da die Gültigkeit des Zertifikats auf einen kurzen Zeitraum
beschränkt ist und die weitere Erstellung von Signaturen unmöglich ist.
Nach erfolgreicher Prüfung werden die Daten des/der Zertifikatserwerbers/in durch die RA im
Registrierungssystem des VDA eingetragen. Das Registrierungssystem prüft die Authentizität der
übermittelten Daten und initiiert die Schlüsselerstellung innerhalb des (Q)SEE. Nach erfolgter
Schlüsselerstellung im (Q)SEE, initiiert das Registrierungssystem die Ausstellung des Zertifikats im
CA-System. Das Zertifikat wird mit dem entsprechenden CA-Schlüssel signiert. Eine
Veröffentlichung des Zertifikats im Verzeichnisdienst des VDA erfolgt gemäß Artikel 24 Abs 2 lit f
PUBLIC 23.06.2021
Seite 21 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
eIDAS-VO nur nach Zustimmung des/der Zertifikatsinhabers/in (sofern im konkreten
Registrierungsprozess eine Veröffentlichung vorgesehen ist).
Anschließend initiiert das Registrierungssystem die Aufbringung des Zertifikats auf das (Q)SEE. Der
Prozess der Zertifikatsausstellung und Zertifikatsaufbringung ist zur jeweiligen Registrierung
des/der Zertifikatserwerbers/in zuordenbar und wird vor Manipulationen geschützt ausgeführt.
4.3. Zertifikatsannahme
Nach Ausstellung des Zertifikats und Aufbringen des Zertifikats erfolgt die Übergabe an den/die
Zertifikatsinhaber/in, beispielsweise in Form einer Smartcard oder allfälliger Zugangsdaten zu
einem Remote-(Q)SEE (Remote Signing).
Die Zustellung bereits aktivierter physischer Signaturmittel (z.B. Smartcard) kann entweder
persönlich oder durch ein Zustellverfahren, bei dem die Prüfung der Identität des/der berechtigen
Empfängers/in anhand von Ausweisdaten durch das Zustellorgan erfolgt, an die bei der
Registrierung angegebene Lieferadresse erfolgen. Die Art der Zustellung nicht aktivierter
physischer Signaturmittel steht dem VDA frei.
Erfolgt die Aktivierung physischer Signaturmittel oder auch Fernsignaturmittel durch den/die
Unterzeichner/in selbst (beispielsweise im Zuge eines Distanz-Registrierungsverfahrens), so kann
die Übermittlung allfälliger Zugangsdaten und des Zertifikats auch in elektronischer Form unter
Maßgabe der zuvor genannten Zustelleigenschaften erfolgen.
Werden die Zugangsdaten durch den/die Unterzeichner/in im Zuge der Ausstellung selbst
gewählt, so kann das Zertifikat direkt im Prozess übermittelt werden.
Werden Einmal-Zertifikate ausgestellt, deren Schlüsselmaterial nach einmaliger Verwendung
sofort sicher vernichtet wird, so entfällt die Festlegung bzw. Übermittlung von Zugangsdaten zur
Gänze, da die weitere Erstellung von Signaturen unmöglich ist. Die Übergabe des Zertifikats erfolgt
in diesem Fall implizit mit dem unterzeichneten Dokument.
Optional kann der VDA von dem/der Zertifikatserwerber/in eine Empfangsbestätigung fordern.
Sollte diese von dem/der Zertifikatserwerber/in nicht an den VDA übermittelt werden, erfolgt aus
Sicherheitsgründen ein Widerruf des ausgestellten Zertifikats. Der Widerruf kann nicht rückgängig
gemacht werden. Der VDA protokolliert die Empfangsbestätigung gemeinsam mit sämtlichen im
Zuge der Antragstellung angegebenen Daten des/der Zertifikatserwerbers/in.
PUBLIC 23.06.2021
Seite 22 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
4.4. Verwendung des Schlüsselpaars und des Zertifikats
4.4.1. Nutzung durch den/die Zertifikatsinhaber/in
Der/die Zertifikatsinhaber/in verpflichtet sich die im Signaturvertrag und den Allgemeinen
Geschäftsbedingungen des VDA enthaltenen Nutzungsbedingungen zu befolgen.
Insbesondere ergeben sich folgende Verpflichtungen des/der Zertifikatsinhabers/in:
- Pflicht zur Registrierung des Zertifikats gemäß den angebotenen
Registrierungsmöglichkeiten des VDA
- Pflicht zur sorgfältigen Verwahrung der Signaturerstellungsdaten/Siegelerstellungsdaten
- Verhinderung von Zugriffen durch Dritte auf die jeweiligen
Signaturerstellungsdaten/Siegelerstellungsdaten
- Sicherstellung, dass die jeweiligen – im Zuge der Auslösung der Signatur bzw. des
Siegels – verwendeten Komponenten, wie PC, Mobilfunkgerät, OTP-Device, Webbrowser
etc. geeignet abgesichert sind
- Unterlassung der Weitergabe der Signaturerstellungsdaten/Siegelerstellungsdaten an
Dritte (Die Weitergabe von elektronischen Siegelerstellungsdaten an autorisierte Personen
ist zulässig)
- Widerrufs- bzw. Aussetzungspflicht unter Inanspruchnahme des Widerrufs- und
Aussetzungsdienstes (Gründe siehe Abschnitt 4.8)
- Pflicht zur Beachtung sicherheitsrelevanter Empfehlungen der Hersteller der verwendeten
Komponenten
Diese Pflichten sind dem Informationsblatt zur Unterrichtung des/der Zertifikatserwerbers/in
angeführt.
Es steht dem VDA frei, bei Missachtung oben genannter Verpflichtungen Zertifikate des/der
Zertifikatsinhabers/in zu widerrufen. Dem/der Zertifikatsinhaber/in gebührt in diesem Fall kein
Kostenersatz.
4.4.2. Nutzung durch sonstige Teilnehmer/innen
Jede/r Empfänger/in bzw. Nutzer/in, der/die ein unter dieser CP ausgestelltes Zertifikat zur
Überprüfung einer Signatur oder zum Zwecke der Authentifizierung verwendet, muss
PUBLIC 23.06.2021
Seite 23 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
- überprüfen, ob das Zertifikat entsprechend den vermerkten Nutzungsarten
(Schlüsselverwendung) verwendet wird,
- vor der Nutzung eines Zertifikats dessen Gültigkeit überprüfen, in dem unter anderem die
gesamte Zertifikatskette bis zum Wurzelzertifikat validiert wird,
- den Widerrufsstatus der beteiligten Zertifikate über den Statusabfragedienst (OCSP) oder
die öffentliche Widerrufsliste (CRL) prüfen und
- sicherstellen, dass das Zertifikat ausschließlich für autorisierte und legale Zwecke in
Übereinstimmung mit dieser CP und der im Zertifikat ausgewiesenen CPS eingesetzt wird.
4.5. Zertifikatserneuerung
Der VDA bietet keine Zertifikatserneuerung auf Basis von bestehendem Schlüsselmaterial an. Es
erfolgt die Ausstellung eines neuen Zertifikats mit neu generiertem Schlüsselmaterial. Es gelten die
Bestimmungen für die Erstausstellung.
4.6. Zertifikatserneuerung mit Schlüsselerneuerung
Es erfolgt die Ausstellung eines neuen Zertifikats mit neu generiertem Schlüsselmaterial. Es gelten
die Bestimmungen für die Erstausstellung.
4.7. Zertifikatsänderungen
Bei Änderung der im Zertifikat bescheinigten Umstände (wie bspw. der Nachname) ist der/die
Zertifikatsinhaber/in verpflichtet einen Widerruf durchzuführen. Auf Antrag des/der
Zertifikatsinhabers/in kann ein neues Zertifikat ausgestellt werden. Es gelten die Bestimmungen
für die Erstausstellung.
4.8. Widerruf und Aussetzung von Zertifikaten
Der VDA sieht ein zweistufiges Widerrufskonzept vor: Zertifikate können entweder vorübergehend
ausgesetzt oder endgültig widerrufen werden. Wobei die Aussetzung eine temporäre Aufhebung
der Zertifikatsgültigkeit darstellt und im Unterschied zu einem Widerruf innerhalb einer 10-tägigen
Frist wieder aufgehoben werden kann. Ohne Aufhebung geht eine Aussetzung nach 10 Tagen
automatisch in einen Widerruf über. Der/die Zertifikatsinhaber/in wird von einer erfolgten
Aussetzung oder einem erfolgten Widerruf per E-Mail informiert.
Folgende Gründe verpflichten zu einem Widerruf eines Zertifikats:
PUBLIC 23.06.2021
Seite 24 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmCP für qualifizierte Zertifikate
VDA PrimeSign
- wenn die Signaturerstellungsdaten / Siegelerstellungsdaten abhandengekommen sind,
- wenn Anhaltspunkte für deren Kompromittierung bestehen oder,
- wenn sich die im qualifizierten Zertifikat bescheinigten Umstände geändert haben,
- wenn Schlüssel oder verwendete Algorithmen nicht mehr den aktuellen Sicherheits-
anforderungen entsprechen,
- bei Missbrauch durch Zertifikatsinhaber/in oder Dritte,
- bei geänderten gesetzlichen Vorschriften,
- bei einem Verstoß des/der Zertifikatsinhabers/in gegen die CP/CPS oder die
Allgemeinen Geschäftsbedingungen des VDAs,
- wenn das Vertragsverhältnis beendet wird,
- wenn der VDA Kenntnis vom Ableben des/der Zertifikatsinhabers/in erlangt.
Ein Widerruf kann von folgenden Personen und Institutionen initiiert werden:
- Zertifikatsinhaber/in oder eine andere Person, die das Widerrufskennwort kennt,
- Zertifikatsinhaber/in oder eine vertretungsbefugte Person, die den Umstand für einen
Widerruf und die Berechtigung für diesen glaubhaft machen kann (z.B. Berechtigung
durch geeigneten Nachweis der Identität, Berechtigung im Falle des Ablebens des/der
Zertifikatsinhabers/in),
- bei Zuordnung einer natürlichen Person zu einer Organisation, eine vertretungsbefugte
natürliche Person oder qualifizierte Person (QP) der Organisation,
- bei Ausstellung eines Zertifikats einer juristischen Person, eine vertretungsbefugte
natürliche Person der juristischen Person,
- der VDA selbst
Folgende Gründe verpflichten zu einer Aussetzung eines Zertifikats:
- bei Verdacht auf Verlust oder Diebstahl des privaten Schlüssels (z.B. der Smartcard)
- bei Verdacht auf Defekt des (Q)SEE (z.B. Smartcard)
- bei Verdacht auf Kompromittierung oder Missbrauch des privaten Schlüssels
Eine Aussetzung kann von folgenden Personen und Institutionen veranlasst werden:
- Zertifikatsinhaber/in oder eine andere Person, die das Widerrufskennwort kennt,
- Zertifikatsinhaber/in oder eine vertretungsbefugte Person, die den Umstand für eine
Aussetzung und die Berechtigung für diese plausibilisieren kann,
PUBLIC 23.06.2021
Seite 25 / 51
cryptas.com . prime-sign.com . cryptoshop.com
Wien | Graz | Düsseldorf | StockholmSie können auch lesen
