Telekom Security PKI - Certificate Practice Statement - Telesec.de
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Telekom Security PKI – Certificate Practice Statement Erklärung zum Zertifizierungsbetrieb für Telekom Security Trust Center Public Key Infrastruktur Deutsche Telekom Security GmbH Öffentlich Version: 12.00 Gültig ab: 01.07.2020 Status: Freigabe Letztes Review: 05.06.2020 _________________________________________________________________________________ Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 1
IMPRESSUM
Tabelle 1 - Dokumenteneigenschaften
Eigenschaft Wert
Herausgeber Deutsche Telekom Security
Trust Center & ID-Solutions
Untere Industriestraße 20, 57250 Netphen, Deutschland
Dateiname Telekom-Security-PKI-CPS-DE-v12.00-20200605.docx
Gültig ab 01.07.2020
Titel Telekom Security PKI – Certificate Practice Statement
Erklärung zum Zertifizierungsbetrieb für Telekom Security
Trust Center Public Key Infrastruktur
Version 12.00
Letztes Review 05.06.2020
Status Freigabe
Ansprechpartner Telekom Security
Leiter Trust Center Betrieb
Kurzbeschreibung Erklärung zum Zertifizierungsbetrieb für die Root CAs
Copyright © 2020 by Deutsche Telekom Security GmbH, Bonn
Alle Rechte, auch die des auszugsweisen Nachdrucks, der fotomechanischen Wiedergabe
(einschließlich Mikrokopie) sowie der Auswertung durch Datenbanken oder ähnliche
Einrichtungen, vorbehalten.
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 2ÄNDERUNGSHISTORIE
Tabelle 2 – Änderungshistorie
Version Stand Bearbeiter Änderungen / Kommentar
8.0 15.05.2018 T-Systems Initialversion nach RFC 3647 Struktur und
Auftrennung zwischen CP und CPS. Aus diesem
Grund wurde eine neue Änderungshistorie begonnen.
Ältere Versionen des CP/CPS basieren auf einer
abweichenden Struktur.
9.0 12.10.2018 T-Systems Einarbeitung Änderungen in Kapitel 1.5.2, 4.9 und 5
10.0 10.10.2019 T-Systems Einarbeitung BR-Änderungen gemäß BR 1.5.7 bis
1.6.6
Einarbeitung EV-Änderungen gemäß EV 1.6.9 bis
1.7.0
10.1 04.02.2020 T-Systems - Änderung Dokumentenvorlage auf Barrierefreiheit
10.2 - Einarbeitung Mozilla 2.7 Anforderungen
10.3 - Einarbeitung BR-Änderungen gemäß BR 1.6.7
- Einarbeitung EV-Änderungen gemäß EV 1.7.1
10.3 04.02.2020 T-Systems Bereitstellung zur Prüfung
10.4 03.03.2020 T-Systems Einarbeitung Anpassungen
11.00 13.03.2020 T-Systems Freigabe
11.01 05.06.2020 T-Systems Änderung von T-Systems International GmbH zu
Deutsche Telekom Security GmbH
11.02 05.06.2020 T-Systems Review
11.03 05.06.2020 T-Systems QS
12.00 08.06.2020 T-Systems Freigabe
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 3INHALTSVERZEICHNIS
Impressum ............................................................................................................................ 2
Änderungshistorie ................................................................................................................. 3
Inhaltsverzeichnis .................................................................................................................. 4
Tabellenverzeichnis ..............................................................................................................12
Abbildungsverzeichnis ..........................................................................................................13
1 Einleitung ......................................................................................................................14
1.1 Überblick ................................................................................................................14
1.2 Dokumentenidentifikation .......................................................................................14
1.2.1 Revisionen ......................................................................................................14
1.2.2 Relevante Daten .............................................................................................14
1.3 PKI Beteiligte..........................................................................................................14
1.3.1 Zertifizierungsstellen (CA) ...............................................................................14
1.3.2 Registrierungsstellen (RA)...............................................................................16
1.3.3 Zertifikatsnehmer (Subscriber) ........................................................................16
1.3.4 Vertrauender Dritter (Relying parties) ..............................................................16
1.3.5 Andere Teilnehmer ..........................................................................................16
1.4 Zertifikatsverwendung ............................................................................................16
1.4.1 Zulässige Verwendung von Zertifikaten ...........................................................16
1.4.2 Unzulässige Verwendung von Zertifikaten.......................................................16
1.5 Verwaltung des Dokuments....................................................................................17
1.5.1 Organisatorische Zuständigkeit für dieses Dokument ......................................17
1.5.2 Kontaktinformationen ......................................................................................17
1.5.3 Pflege der Richtlinie und Konformität des CPS................................................17
1.5.4 Genehmigungsverfahren dieses Dokument (CP) ............................................17
1.6 Definitionen und Abkürzungen ...............................................................................18
1.6.1 Glossar............................................................................................................18
1.6.2 Abkürzungsverzeichnis ...................................................................................26
1.6.3 Referenzen .....................................................................................................27
1.6.4 Konventionen / Vorgaben ................................................................................28
2 Veröffentlichung und Verantwortlichkeit für Informationen (Repositories) ......................29
2.1 Informationsdienste (Repositories) .........................................................................29
2.2 Veröffentlichung von Zertifikaten und zugehörigen Informationen ..........................29
2.3 Zeitpunkt oder Intervall der Veröffentlichung ..........................................................30
2.4 Zugang zu den Informationsdiensten .....................................................................30
3 Identifizierung und Authentifizierung ..............................................................................31
3.1 Namensregeln ........................................................................................................31
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 43.1.1 Namensformen................................................................................................31
3.1.2 Aussagekraft von Namen ................................................................................31
3.1.3 Anonymität bzw. Pseudonyme der Zertifikatsnehmer ......................................31
3.1.4 Regeln zur Interpretation verschiedener Namensformen.................................31
3.1.5 Eindeutigkeit von Namen ................................................................................31
3.1.6 Erkennung, Authentifizierung und Rolle von Markennamen ............................31
3.2 Identitätsprüfungen bei Erstbeauftragung ...............................................................31
3.2.1 Methoden zur Überprüfung des Besitzes des privaten Schlüssels...................31
3.2.2 Prüfung der Organisations- und Domain-Identität............................................32
3.2.3 Authentifizierung einer natürlichen Person ......................................................34
3.2.4 Nicht verifizierte Teilnehmerinformationen .......................................................34
3.2.5 Überprüfung der Berechtigung ........................................................................34
3.2.6 Kriterien für Interoperabilität ............................................................................34
3.3 Identitätsprüfung und Authentifizierung bei einer Schlüsselerneuerung ..................34
3.3.1 Identifizierung und Authentifizierung für routinemäßige Schlüsselerneuerung .34
3.3.2 Identitätsprüfung bei Schlüsselerneuerung nach Zertifikatssperrung ...............34
3.4 Identifizierung und Authentifizierung bei Sperranträgen .........................................34
4 Betriebliche Anforderungen im Lebenszyklus von Zertifikaten .......................................36
4.1 Zertifikatsbeauftragung...........................................................................................36
4.1.1 Wer kann ein Zertifikat beauftragen?...............................................................36
4.1.2 Beauftragungsprozess und Zuständigkeiten....................................................36
4.2 Bearbeitung des Zertifikatsauftrags ........................................................................37
4.2.1 Durchführung der Identifikation und Authentifizierung .....................................37
4.2.2 Annahme oder Abweisung von Zertifikatsanträgen .........................................37
4.2.3 Bearbeitungsdauer ..........................................................................................37
4.3 Ausstellung von Zertifikaten ...................................................................................37
4.3.1 CA-Tätigkeiten während der Ausstellung von Zertifikaten ...............................37
4.3.2 Benachrichtigung des Zertifikatsnehmers über die Ausstellung von Zertifikaten
38
4.4 Zertifikatsannahme .................................................................................................38
4.4.1 Akzeptanz durch den Zertifikatsnehmer ..........................................................38
4.4.2 Veröffentlichung des Zertifikats durch die CA ..................................................38
4.4.3 Benachrichtigung weiterer Instanzen durch die CA .........................................38
4.5 Verwendung von Schlüsselpaar und Zertifikat ........................................................38
4.5.1 Nutzung des privaten Schlüssels und des Zertifikats durch den Zertifikatsnehmer
38
4.5.2 Nutzung von öffentlichen Schlüsseln und Zertifikaten durch Relying Parties ...38
4.6 Zertifikatserneuerung (Re-Zertifizierung) ................................................................38
4.6.1 Bedingungen für eine Zertifikatserneuerung ....................................................39
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 54.6.2 Wer darf eine Zertifikatserneuerung beauftragen? ..........................................39
4.6.3 Ablauf der Zertifikatserneuerung .....................................................................39
4.6.4 Benachrichtigung des Zertifikatsnehmers ........................................................39
4.6.5 Annahme einer Zertifikatserneuerung .............................................................39
4.6.6 Veröffentlichung einer Zertifikatserneuerung durch die CA ..............................39
4.6.7 Benachrichtigung weiterer Instanzen über eine Zertifikatserneuerung durch die
CA 39
4.7 Schlüsselerneuerung von Zertifikaten (Re-Key) .....................................................39
4.7.1 Bedingungen für eine Schlüsselerneuerung ....................................................39
4.7.2 Wer darf eine Zertifizierung eines neuen öffentlichen Schlüssels beauftragen?
39
4.7.3 Ablauf der Schlüsselerneuerung......................................................................39
4.7.4 Benachrichtigung eines Zertifikatsauftraggers über das neue Zertifikat ...........39
4.7.5 Annahme eines neuen Zertifikats ....................................................................39
4.7.6 Veröffentlichung des neuen Zertifikats durch die CA .......................................40
4.7.7 Benachrichtigung weiterer Instanzen über eine Schlüsselerneuerung .............40
4.8 Änderung von Zertifikatsdaten ................................................................................40
4.8.1 Bedingungen für eine Zertifikatsdatenänderung ..............................................40
4.8.2 Wer darf eine Änderung der Zertifikatsdaten beauftragen? .............................40
4.8.3 Ablauf der Änderung von Zertifikatsdaten........................................................40
4.8.4 Benachrichtigung eines Zertifikatsauftraggebers über Ausgabe eines neuen
Zertifikats.......................................................................................................................40
4.8.5 Annahme des geänderten Zertifikats ...............................................................40
4.8.6 Veröffentlichung einer Schlüsselerneuerung ...................................................40
4.8.7 Benachrichtigung weiterer Instanzen über das geänderte Zertifikat.................40
4.9 Zertifikatssperrung und Suspendierung ..................................................................40
4.9.1 Sperrgründe ....................................................................................................40
4.9.2 Wer kann eine Sperrung beauftragen? ............................................................41
4.9.3 Ablauf einer Sperrung .....................................................................................41
4.9.4 Fristen für einen Sperrauftrag..........................................................................42
4.9.5 Fristen für Verarbeitung durch die Zertifizierungsstelle ....................................42
4.9.6 Methoden zur Prüfung von Sperrinformationen durch Relying Parties .............42
4.9.7 Frequenz der Veröffentlichung von Sperrinformationen ...................................42
4.9.8 Maximale Latenzzeit von Sperrlisten ...............................................................43
4.9.9 Verfügbarkeit von Online-Sperr-/Statusinformationen......................................43
4.9.10 Anforderungen an Online Überprüfungsverfahren ...........................................43
4.9.11 Andere verfügbare Formen der Bekanntmachung von Sperrinformationen .....43
4.9.12 Gesonderte Bedingungen bei Kompromittierung privater Schlüssel ................43
4.9.13 Suspendierung von Zertifikaten .......................................................................43
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 64.9.14 Wer kann eine Suspendierung beantragen .....................................................44
4.9.15 Ablauf einer Suspendierung ............................................................................44
4.9.16 Begrenzung der Suspendierungsperiode ........................................................44
4.10 Statusauskunftsdienste für Zertifikate .....................................................................44
4.10.1 Betriebliche Vorgaben .....................................................................................44
4.10.2 Verfügbarkeit ...................................................................................................44
4.10.3 Optionale Merkmale ........................................................................................44
4.11 Kündigung durch den Zertifikatsnehmer .................................................................44
4.12 Schlüsselhinterlegung und Wiederherstellung ........................................................44
4.12.1 Richtlinien für Schlüsselhinterlegung und -wiederherstellung. .........................44
4.12.2 Sitzungsschlüsselkapselung und Richtlinien für die Wiederherstellung. ..........44
5 Bauliche, organisatorische und Betriebliche Maßnahmen .............................................45
5.1 Trust Center Sicherheitsmaßnahmen (Physikalische Kontrollen) ...........................45
5.1.1 Standort und bauliche Maßnahmen.................................................................45
5.1.2 Physikalischer Zutritt .......................................................................................45
5.1.3 Stromversorgung und Klimatisierung...............................................................46
5.1.4 Wasserschäden ..............................................................................................46
5.1.5 Brandschutz ....................................................................................................46
5.1.6 Aufbewahrung von Datenträgern .....................................................................47
5.1.7 Entsorgung......................................................................................................47
5.1.8 Externe Sicherung ...........................................................................................47
5.2 Organisatorische Maßnahmen ...............................................................................47
5.2.1 Vertrauenswürdige Rollen ...............................................................................47
5.2.2 Anzahl der für eine Aufgabe erforderlichen Personen .....................................47
5.2.3 Identifizierung und Authentifizierung für jede Rolle ..........................................47
5.2.4 Rollen, die eine Aufgabentrennung erfordern ..................................................48
5.3 Personelle Maßnahmen .........................................................................................48
5.3.1 Anforderungen an Qualifikation, Erfahrung und Sicherheitsüberprüfung .........48
5.3.2 Sicherheitsüberprüfung ...................................................................................48
5.3.3 Schulungs- und Fortbildungsanforderungen ....................................................49
5.3.4 Nachschulungsintervalle und -anforderungen..................................................49
5.3.5 Häufigkeit und Abfolge der Arbeitsplatzrotation ...............................................49
5.3.6 Sanktionen bei unbefugten Handlungen ..........................................................49
5.3.7 Anforderungen an unabhängige Auftragnehmer ..............................................49
5.3.8 Dokumentation für das Personal .....................................................................50
5.4 Protokollereignisse .................................................................................................50
5.4.1 Art der aufgezeichneten Ereignisse .................................................................50
5.4.2 Bearbeitungs- und Archivierungsintervall für Audit-Protokolle (Logs) ..............50
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 75.4.3 Aufbewahrungszeitraum für Audit-Protokolle ...................................................51
5.4.4 Schutz der Audit-Protokolle .............................................................................51
5.4.5 Sicherungsverfahren für Audit-Protokolle ........................................................51
5.4.6 Audit-Protokolle-Erfassungssystem (intern vs. extern) ....................................51
5.4.7 Benachrichtigung des Ereignisauslösenden Subjekts......................................51
5.4.8 Schwachstellenprüfung ...................................................................................51
5.5 Datenarchivierung ..................................................................................................51
5.5.1 Art der archivierten Datensätze .......................................................................51
5.5.2 Aufbewahrungszeitraum für archivierte Daten .................................................51
5.5.3 Schutz von Archiven........................................................................................52
5.5.4 Sicherungsverfahren für Archive .....................................................................52
5.5.5 Anforderungen an Zeitstempel von Datensätzen .............................................52
5.5.6 Archiverfassungssystem (intern oder extern) ..................................................52
5.5.7 Verfahren zur Beschaffung und Überprüfung von Archivinformationen ...........52
5.6 Schlüsselwechsel ...................................................................................................52
5.7 Kompromittierung und Wiederherstellung der Dienstleistung .................................52
5.7.1 Umgang mit Störungen und Kompromittierungen ............................................53
5.7.2 Wiederherstellung bei Beschädigung von EDV-Geräten, Software und/oder
Daten 53
5.7.3 Verfahren bei Kompromittierung von privaten Schlüsseln ...............................53
5.7.4 Geschäftskontinuität nach einem Notfall..........................................................53
5.8 Einstellung des CA oder RA Betriebes ...................................................................54
6 Technische Sicherheitsmaßnahmen..............................................................................55
6.1 Generierung und Installation von Schlüsselpaaren .................................................55
6.1.1 Generierung von Schlüsselpaaren ..................................................................55
6.1.2 Bereitstellung des privaten Schlüssels an Zertifikatsnehmer ...........................55
6.1.3 Bereitstellung des öffentlichen Schlüssels an die Zertifizierungsstelle .............55
6.1.4 Bereitstellung des öffentlichen CA-Schlüssels .................................................55
6.1.5 Algorithmen und Schlüssellängen ...................................................................56
6.1.6 Parameter der Generierung öffentlicher Schlüsselparameter und
Qualitätskontrolle...........................................................................................................56
6.1.7 Schlüsselverwendung .....................................................................................56
6.2 Schutz privater Schlüssel und technische Kontrollen kryptografischer Module .......56
6.2.1 Standards und Kontrollen für kryptografische Module .....................................56
6.2.2 Mehrpersonenkontrolle (n aus m) bei privaten Schlüsseln...............................57
6.2.3 Hinterlegung von privaten Schlüsseln .............................................................57
6.2.4 Sicherung (Key Backup) von privaten Schlüsseln ...........................................57
6.2.5 Archivierung von privaten Schlüsseln ..............................................................57
6.2.6 Übertragung privater Schlüssel in oder von einem kryptografischen Modul .....57
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 86.2.7 Speicherung privater Schlüssel auf kryptografischen Modulen ........................57
6.2.8 Methode zur Aktivierung privater Schlüssel .....................................................57
6.2.9 Methode zur Deaktivierung privater Schlüssel .................................................58
6.2.10 Methode zur Vernichtung privater Schlüssel ...................................................58
6.2.11 Methode zur Beurteilung kryptographischer Module ........................................58
6.3 Andere Aspekte zur Verwaltung von Schlüsselpaaren ...........................................58
6.3.1 Archivierung von öffentlichen Schlüsseln ........................................................58
6.3.2 Gültigkeitsperioden von Zertifikaten und Schlüsselpaaren ..............................58
6.4 Aktivierungsdaten ...................................................................................................58
6.4.1 Generierung und Installation von Aktivierungsdaten ........................................58
6.4.2 Schutz von Aktivierungsdaten .........................................................................59
6.4.3 Weitere Aspekte von Aktivierungsdaten ..........................................................59
6.5 Computer-Sicherheitskontrollen .............................................................................59
6.5.1 Spezifische technische Anforderungen an die Computersicherheit .................59
6.5.2 Bewertung der Computersicherheit .................................................................59
6.6 Technische Kontrollen des Lebenszyklus ...............................................................59
6.6.1 Kontrollen der Systementwicklung...................................................................59
6.6.2 Kontrollen des Sicherheitsmanagements ........................................................59
6.6.3 Sicherheitskontrollen des Lebenszyklus ..........................................................59
6.7 Netzwerk-Sicherheitskontrollen ..............................................................................59
6.8 Zeitstempel ............................................................................................................60
7 Zertifikats-, Sperrlisten- und OCSP-Profile ....................................................................61
7.1 Zertifikatsprofile ......................................................................................................61
7.1.1 Versionsnummer(n) .........................................................................................61
7.1.2 Zertifikatsinhalte und -erweiterungen nach RFC 5280 .....................................61
7.1.3 Objekt-Kennungen von Algorithmen ................................................................61
7.1.4 Namensformen................................................................................................62
7.1.5 Namensbeschränkungen ................................................................................62
7.1.6 Objekt-Identifikatoren für Zertifizierungsrichtlinien ...........................................62
7.1.7 Verwendung der Erweiterung Policy Constraints .............................................62
7.1.8 Syntax und Semantik von Policy Qualifiers .....................................................63
7.1.9 Verarbeitung der Semantik der kritischen Erweiterung: Certificate Policies .....63
7.2 Sperrlistenprofile ....................................................................................................63
7.2.1 Versionsnummer(n) .........................................................................................63
7.2.2 Sperrlisten- und Sperrlisteneintragserweiterungen ..........................................63
7.3 OCSP-Profil............................................................................................................63
7.3.1 Versionsnummer(n) .........................................................................................63
7.3.2 OCSP-Erweiterungen ......................................................................................63
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 98 Audits und andere Bewertungskriterien .........................................................................64
8.1 Häufigkeit und Art der Prüfungen ...........................................................................64
8.2 Identität/Qualifikation des Prüfers ...........................................................................64
8.3 Beziehung des Prüfers zur prüfenden Stelle ..........................................................64
8.4 Abgedeckte Bereiche der Prüfung ..........................................................................64
8.5 Maßnahmen zur Beseitigung von Mängeln oder Defiziten ......................................64
8.6 Mitteilung der Ergebnisse .......................................................................................65
8.7 Selbst-Auditierung ..................................................................................................65
9 Sonstige geschäftliche und rechtliche Be-stimmungen ..................................................66
9.1 Entgelte ..................................................................................................................66
9.1.1 Entgelte für die Ausstellung oder Erneuerung von Zertifikaten ........................66
9.1.2 Entgelte für den Zugriff auf Zertifikate .............................................................66
9.1.3 Entgelte für den Zugriff auf Sperr- oder Statusinformationen ...........................66
9.1.4 Entgelte für andere Leistungen .......................................................................66
9.1.5 Erstattung von Entgelten .................................................................................66
9.2 Finanzielle Verantwortlichkeiten .............................................................................66
9.2.1 Versicherungsschutz .......................................................................................66
9.2.2 Sonstige finanzielle Mittel ................................................................................67
9.2.3 Versicherungs- oder Gewährleistungsschutz für Endteilnehmer ......................67
9.3 Vertraulichkeit von Geschäftsinformationen ...........................................................67
9.3.1 Umfang von vertraulichen Informationen .........................................................67
9.3.2 Umfang von nicht vertraulichen Informationen.................................................67
9.3.3 Verantwortung zum Schutz vertraulicher Informationen ..................................67
9.4 Schutz von personenbezogenen Daten (Datenschutz) ...........................................67
9.4.1 Datenschutzkonzept ........................................................................................67
9.4.2 Vertraulich zu behandelnde Daten ..................................................................67
9.4.3 Nicht vertraulich zu behandelnde Daten ..........................................................68
9.4.4 Verantwortung für den Schutz vertraulicher Daten ..........................................68
9.4.5 Mitteilung und Zustimmung zur Nutzung vertraulicher Daten...........................68
9.4.6 Offenlegung gemäß gerichtlicher oder verwaltungsmäßiger Prozesse ............68
9.4.7 Andere Umstände zur Offenlegung von Daten ................................................68
9.5 Urheberrecht ..........................................................................................................68
9.6 Zusicherungen und Gewährleistung .......................................................................68
9.6.1 Zusicherungen und Gewährleistungen der Zertifizierungsstelle (CA) ..............68
9.6.2 Zusicherungen und Gewährleistungen der Registrierungsstelle (RA) ..............69
9.6.3 Zusicherungen und Gewährleistungen des Endteilnehmers ............................70
9.6.4 Zusicherungen und Gewährleistungen von Vertrauenden Dritten ....................70
9.6.5 Zusicherungen und Gewährleistungen anderer Teilnehmer ............................70
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 109.7 Haftungsausschluss ...............................................................................................70
9.8 Haftungsbeschränkungen.......................................................................................70
9.9 Schadensersatz .....................................................................................................70
9.9.1 Schadenersatz durch die CAs .........................................................................70
9.9.2 Schadenersatz durch die Endteilnehmer .........................................................70
9.9.3 Schadenersatz durch beteiligte Parteien .........................................................70
9.10 Laufzeit und Beendigung ........................................................................................71
9.10.1 Laufzeit ...........................................................................................................71
9.10.2 Beendigung .....................................................................................................71
9.10.3 Wirkung der Beendigung und Fortbestand ......................................................71
9.11 Individuelle Mitteilungen und Kommunikation mit Teilnehmern ...............................71
9.12 Änderungen des CPS.............................................................................................71
9.12.1 Verfahren für Änderungen ...............................................................................71
9.12.2 Benachrichtigungen über Änderungen ............................................................71
9.12.3 Gründe zur Vergabe einer neuen OID .............................................................72
9.13 Bestimmungen zur Beilegung von Streitigkeiten.....................................................72
9.14 Geltendes Recht ....................................................................................................72
9.15 Einhaltung geltenden Rechts..................................................................................72
9.16 Verschiedene Bestimmungen .................................................................................72
9.16.1 Vollständiger Vertrag .......................................................................................72
9.16.2 Abtretung ........................................................................................................72
9.16.3 Salvatorische Klausel ......................................................................................72
9.16.4 Vollstreckung (Rechtsanwaltsgebühren und Rechtsverzicht) ..........................72
9.16.5 Höhere Gewalt ................................................................................................72
9.17 Sonstige Bestimmungen ........................................................................................72
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 11TABELLENVERZEICHNIS Tabelle 1 - Dokumenteneigenschaften .................................................................................. 2 Tabelle 2 – Änderungshistorie ............................................................................................... 3 Tabelle 3 - Dokumenteneigenschaften .................................................................................14 Tabelle 4 – Glossar ..............................................................................................................18 Tabelle 5 – Abkürzungsverzeichnis ......................................................................................26 Tabelle 6 - Referenzen .........................................................................................................27 _________________________________________________________________________________ Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 12
ABBILDUNGSVERZEICHNIS Es konnten keine Einträge für ein Abbildungsverzeichnis gefunden werden. _________________________________________________________________________________ Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 13
1 EINLEITUNG
1.1 Überblick
Die Trust Center Public Key Infrastruktur (PKI) wird durch die Konzerneinheit Deutsche
Telekom Security GmbH in der Deutschen Telekom AG im DT Security Trust Center betrieben.
Das Trust Center unterhält eine Reihe unterschiedlicher Zertifizierungsstellen unter
verschiedenen Stammzertifizierungsstellen (Root-CAs).
Bei dem vorliegenden Dokument handelt es sich um die Erklärung zum Zertifizierungsbetrieb
(engl. Certification Practise Statement, kurz CPS) für alle innerhalb der DT Security PKI
betriebenen Zertifizierungsstellen, wobei der Fokus auf der Root-CA liegt. Es orientiert sich an
dem internationalen Standard für Zertifizierungsrichtlinien RFC 3647 (Internet X.509 Public
Key Infrastructure Certificate Policy and Certification Practices Framework) der Internet
Engineering Task Force (IETF).
Das Trust Center sichert weiterhin zu, dass alle Zertifizierungsstellen innerhalb der DT Security
PKI alle Anforderungen und Regelungen der jeweils aktuellen veröffentlichten Version der
[CAB-BR] (http://www.cabforum.org/documents.html) erfüllen und einhalten. Im Falle eines
Widerspruchs zwischen dem vorliegenden Dokument und den [CAB-BR], haben die
Regelungen aus den [CAB-BR] Vorrang.
1.2 Dokumentenidentifikation
Tabelle 3 - Dokumenteneigenschaften
Name Version Datum Objektbezeichnung
(Object Identifier)
Telekom Security PKI – Certificate 12.00 01.07.2020 1.3.6.1.4.1.7879.13.39
Practice Statement
1.2.1 Revisionen
Siehe Änderungshistorie zu Anfang des Dokuments.
1.2.2 Relevante Daten
Siehe Änderungshistorie zu Anfang des Dokuments.
1.3 PKI Beteiligte
1.3.1 Zertifizierungsstellen (CA)
Neben dem Betrieb von Zertifizierungsstellen für eigene interne Produkte und Dienstleistungen
stellt das Trust Center CA-Zertifikate für Zertifizierungsstellen anderer Betreiber aus, die unter
den folgenden öffentlichen Stammzertifizierungsstellen (Root-CAs) betrieben werden:
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 14Deutsche Telekom Root CA 2 Key: RSA 2048, SHA-1 Serial#: 26 Thumbprint: 85:a4:08:c0:9c:19:3e:5d:51:58:7d:cd:d6:13:30:fd:8c:de:37:bf Valid until: 10. Juli 2019 T-TeleSec GlobalRoot Class 2 Key: RSA 2048, SHA-256 Serial#: 01 Thumbprint: 59:0d:2d:7d:88:4f:40:2e:61:7e:a5:62:32:17:65:cf:17:d8:94:e9 Valid until: 2. Oktober 2033 T-TeleSec GlobalRoot Class 3 Key: RSA 2048, SHA-1 Serial#: 01 Thumbprint: 55:a6:72:3e:cb:f2:ec:cd:c3:23:74:70:19:9d:2a:be:11:e3:81:d1 Valid until: 2. Oktober 2033 TeleSec GlobalRoot Class 1 G3 Key: ECDSA_P384, sha384ECDSA Serial#: 1a:f8:94:c5:45:27:c2:c5:68:25:b8:a9:31:5c:bf:da Thumbprint: 52 7f 0d 83 1b 02 bd 85 a6 8b f6 db 23 f6 e7 0d e2 f8 a0 20 Valid until: 10. April 2044 TeleSec GlobalRoot Class 2 G3 Key: ECDSA_P384, sha384ECDSA Serial#: 08:22:70:67:e1:16:f6:90:56:ef:0b:fe:fb:bd:d9:91 Thumbprint: 63 2e 29 d7 8a 73 ab 29 5f 50 84 35 a5 f0 6a 7e f6 55 d9 81 Valid until: 10. April 2044 TeleSec GlobalRoot Class 3 G3 Key: ECDSA_P384, sha384ECDSA Serial#: 2b:d4:0e:3e:f9:1f:9a:c5:f9:19:af:04:24:6c:7e:fb _________________________________________________________________________________ Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 15
Thumbprint: 46 3c 28 b0 b9 41 91 a6 23 38 aa dc db 79 b4 46 ca 97 a9 e9
Valid until: 10. April 2044
Die Root-CA Zertifikate sind vom Trust Center selbst-signiert und werden durch DT Security
veröffentlicht. Die Veröffentlichung erlaubt eine lückenlose Gültigkeitsüberprüfung aller in
dieser Hierarchie ausgestellten Zertifikate. Es werden ausschließlich Zertifikate von
unmittelbar nachgeordneten Zertifizierungsstellen (Sub-CAs) ausgestellt. Zertifikate für
Endteilnehmer (Subscriber Zertifikate) werden nicht ausgegeben. Regelungen bzgl.
Endteilnehmer-Zertifikaten werden in separaten CPS weiterer DT Security Zertifikatslösungen
beschrieben.
1.3.2 Registrierungsstellen (RA)
Registrierungen und alle damit zusammenhängenden Aktivitäten für die in diesem CPS
aufgeführten Root-CAs werden durch eine zentrale interne Registrierungsstelle der DT
Security bearbeitet. Es werden weder weitere externe noch interne Registrierungsstellen (RA)
hinzugezogen.
1.3.3 Zertifikatsnehmer (Subscriber)
Zertifikatsnehmer der Root-CAs sind ausschließlich unmittelbar nachgeordnete
Zertifizierungsstellen. Es werden keine Endteilnehmer Zertifikate ausgestellt.
Der Zertifikatsnehmer:
▪ beantragt das Zertifikat (vertreten durch eine berechtigte natürliche Person)
▪ wird im Rahmen der Registrierung von der zuständigen CA authentifiziert
▪ wird durch das Zertifikat identifiziert, d.h. es wird bestätigt, dass der im Zertifikat
enthaltene öffentliche Schlüssel dem Zertifikatsnehmer gehört
▪ ist im Besitz des privaten Schlüssels, der zum öffentlichen Schlüssel im Zertifikat gehört
1.3.4 Vertrauender Dritter (Relying parties)
Zertifikatsnutzer sind juristischen Personen bzw. Organisationseinheiten, die auf die Integrität
und Qualität eines ausgestellten Endteilnehmer Zertifikates vertrauen.
1.3.5 Andere Teilnehmer
Nicht anwendbar.
1.4 Zertifikatsverwendung
1.4.1 Zulässige Verwendung von Zertifikaten
Siehe CP, Kapitel 1.4.1
1.4.2 Unzulässige Verwendung von Zertifikaten
Siehe CP, Kapitel 1.4.2
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 161.5 Verwaltung des Dokuments 1.5.1 Organisatorische Zuständigkeit für dieses Dokument Dieses Dokument (CP) wird herausgegeben von Deutsche Telekom Security GmbH, Trust Center & ID-Solutions. 1.5.2 Kontaktinformationen Adresse: Deutsche Telekom Security GmbH Trust Center & ID Solutions Leiter Trust Center Betrieb Untere Industriestraße 20 57250 Netphen, Deutschland Telefon: +49 (0) 1805 268 204 (Festnetz 0,14 EUR/Minute, Mobilfunknetze max. 0,42 EUR/Minute) WWW: https://www.telesec.de E-Mail: telesec_support@t-systems.com Die Meldung von Missbrauch, Kompromittierung von Zertifikaten und Schlüsseln des Trust Center können unter der URL https://www.telesec.de/de/kontakt-de 7x24h abgesetzt werden. Die Priorisierung erfolgt über Auswahl „Zertifikats-Missbrauchsverdacht melden“ im Kontaktformularfeld „Betreff“. Eine möglichst präzise und umfangreiche Darstellung sollte im Feld „Text“ erfolgen, so dass eine Bewertung durch DT Security frühzeitig erfolgen kann und adäquate Maßnahmen eingeleitet werden können. DT Security meldet sich in der Regel innerhalb von 24h mit einer ersten Einschätzung über die angegebenen Kommunikationskanäle. DT Security wird ggf. Strafverfolgungsbehörden und Aufsichtsbehörden einschalten. Die Eingabe der Meldung wird als Einverständnis gewertet, dass Daten ohne weitere Einwilligung in einem solchen Fall an Behörden weitergegeben werden können. 1.5.3 Pflege der Richtlinie und Konformität des CPS Dieses Dokument (CPS) behält seine Gültigkeit, solange es nicht vom Herausgeber (siehe Kapitel 1.5.1) widerrufen wird. Es wird bei Bedarf (jedoch mindestens einmal im Jahr) fortgeschrieben und erhält dann jeweils eine neue aufsteigende Versionsnummer (siehe auch Kapitel 9.12.1 und 9.12.2). Das CPS ist konform zur vorliegenden CP zu erstellen. 1.5.4 Genehmigungsverfahren dieses Dokument (CP) Der in Kapitel 1.5.1 benannte Herausgeber ist für dieses Dokument (CPS) verantwortlich. Die Genehmigung erfolgt durch das Change Advisory Board. _________________________________________________________________________________ Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 17
Die vorliegende CPS wird unabhängig von weiteren Änderungen einem jährlichen Review
unterzogen. Verantwortlich für die Durchführung bzw. die Koordination des Reviews ist die in
Kapitel 1.5.1 benannte Stelle.
Das jährliche Review ist in der Änderungshistorie des CPS zu vermerken. Dies gilt auch für
den Fall, dass keine inhaltlichen Änderungen vorgenommen werden.
1.6 Definitionen und Abkürzungen
1.6.1 Glossar
Tabelle 4 – Glossar
Begriff Erläuterung
Antrag auf ein Ein Antrag, für den die CA eine Zusatzprüfung im Hinblick auf interne
Zertifikat mit Kriterien und Datenbanken vorsieht, die von der CA geführt werden. Dies
erhöhtem Risiko kann Namen betreffen, die in Bezug auf Phishing oder eine andere
betrügerische Nutzung einem höheren Risiko ausgesetzt sind, Namen, die in
zuvor abgelehnten Zertifikatsanträgen oder widerrufenen (gesperrten)
Zertifikaten enthalten sind, Namen, die auf der MillerSmiles-Phishing-Liste
oder auf der Safe-Browsing-Liste von Google stehen bzw. Namen, die die
CA anhand ihrer eigenen Risikominderungskriterien identifiziert.
Antragsteller Die natürliche oder juristische Person, die ein Zertifikat (oder dessen
Erneuerung) beantragt. Ist das Zertifikat einmal ausgestellt, wird der
Antragsteller als Zertifikatnehmer bezeichnet. Bei für Geräte ausgestellten
Zertifikaten ist der Antragsteller die Organisation, die über das in dem
Zertifikat genannte Gerät Kontrolle ausübt bzw. es betreibt, auch wenn das
Gerät den eigentlichen Antrag auf das Zertifikat sendet.
Anwendungssoftwa Ein Anbieter von Internetbrowser-Software oder anderer
reanbieter Anwendungssoftware der vertrauenden Seite, die Zertifikate anzeigt oder
verwendet und Stammzertifikate (Root) beinhaltet.
Ausstellende Die Zertifizierungsstelle (CA), die ein bestimmtes Zertifikat ausgestellt hat.
Zertifizierungsstelle Dabei kann es sich um eine Stammzertifizierungsstelle (Root-CA) oder eine
(CA) untergeordnete Zertifizierungsstelle (Sub-CA) handeln.
Authentifizierung Prüfung einer Identität an Hand behaupteter Merkmale.
Authority Liste, in der gesperrte digitale Zertifikate von Zertifizierungsstellen (außer
Revocation List Root-CA) aufgeführt sind. Vor der Verwendung eines digitalen Zertifikats
(ARL) einer Zertifizierungsstelle sollte anhand der ARL überprüft werden, ob dieses
noch verwendet werden darf.
Beauftragte Eine natürliche oder juristische Person, die nicht identisch mit der
Drittpartei Zertifizierungsstelle (CA) ist, jedoch von dieser bevollmächtigt ist, den
Zertifikatsverwaltungsprozess zu unterstützen, indem sie Aufgaben zur
Erfüllung einer oder mehrerer Anforderungen erfüllt. Dies kann z.B. eine
externe Registrierungsstelle oder auch eine interne enterprise
Registrierungsstelle sein.
Berechtigungsdoku Die Dokumentation, die die Berechtigung eines Antragstellers belegt, ein
ment oder mehrere Zertifikat(e) für eine bestimmte natürliche Person, Personen-
und Funktionsgruppen, juristische Personen oder Gerät zu beantragen. Es
kann sich auch um ein Dokument der Zertifizierungsstelle über eine
Kommunikation mit der betreffenden Person oder Organisation handeln.
Bezugsvertrag Eine Vereinbarung zwischen der Zertifizierungsstelle (CA) und dem
(Subscriber Antragsteller/Zertifikatnehmer, in der die Rechte und Verpflichtungen der
Agreement) Parteien festlegt werden.
Bulk Funktion einer CA mit der der Sub-Registrator Soft-PSE per
Massengenerierung erzeugen kann.
Certificate Das Zertifikat-Verwaltungsprotokoll, ist ein von der IETF entwickeltes
Management Protokoll, zur Verwaltung von X.509-Zertifikaten innerhalb einer Public-Key-
Protocol (CMP) Infrastruktur (PKI).
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 18Begriff Erläuterung
Certificate Policy Legt die Richtlinien für die Generierung und Verwaltung von Zertifikaten
(CP) eines bestimmten Typs fest.
Certificate Signing Von einem Gerät (z.B. Server) elektronisch erstellt und mit dem privaten
Request (CSR) Schlüssel signierter Zertifikatsantrag, der in kodierter Form den öffentlichen
[TC] Schlüssel und die Zertifikatsdaten enthält. Die Syntax wird durch den
Standard PKCS#11 beschrieben.
Certificate Siehe Sperrliste
Revocation List
(CRL)
Certification Siehe Zertifizierungsstelle.
Authority (CA)
Certification Erklärungen für den Betrieb einer Zertifizierungsstelle. Insbesondere setzt
Practice Statement das CPS die Vorgaben und Richtlinien der CP einer Zertifizierungsstelle um.
(CPS)
Change Advisory Gremium innerhalb der DT Security das über PKI-Funktionalitäten
Board entscheidet.
Chipkarte Plastikkarte mit integriertem Computerchip. Telefonkarten sind ein Beispiel
dafür. Ist der Computerchip dazu in der Lage, Berechnungen durchzuführen,
so spricht man auch von einer Smartcard. Smartcards können auch für
kryptografische Anwendungen eingesetzt werden.
Dezentrales Der Benutzer stellt über die Benutzer-Webseite oder per Mail-Request oder
Registrierungsmod das Gerät stellt über seine SCEP-Schnittstelle den Zertifikatsantrag, den der
ell Sub-Registrator bearbeitet (Genehmigung, Ablehnung oder Zurückstellung
(Wiedervorlage)).
Digitale Signatur Mit einem speziellen mathematischen Verfahren erstellte Prüfsumme.
Sichert die Authentizität des Signierenden und die Integrität der Daten.
Distinguished Format, mit dem gemäß dem X.500-Standard eindeutige Namen angegeben
Name werden können. In einem digitalen Zertifikat muss ein DN enthalten sein.
Domain- Die Dokumentation, die von der Domain-Namen-Registrierungsstelle
Berechtigungs- (Domain Name Registrar), einem registrierten Domain-Inhaber (Domain
dokument Name Registrant) oder der Person bzw. Organisation bereitgestellt wird, die
in WHOIS als registrierter Domain-Inhaber aufgeführt ist (einschließlich aller
privaten, anonymen oder Proxy-Registrierungsservices), und die
Berechtigung eines Antragstellers belegt, ein Zertifikat für einen bestimmten
Domain-Namensraum zu beantragen. Es kann sich auch um ein Dokument
der Zertifizierungsstelle über eine Kommunikation mit der betreffenden
Person oder Organisation handeln.
Domain-Name Die Bezeichnung, die einem Knoten im Domain Name System (DNS)
zugeordnet ist.
Dual-Key-Zertifikat Variante, bei der für Verschlüsselung und Signatur getrennte Schlüsselpaare
verwendet werden. D.h. ein Benutzer besitzt zwei korrespondierende
Zertifikate.
Endteilnehmer Siehe auch Zertifikatnehmer. Der Begriff Endteilnehmer wird überwiegend im
Umfeld X.509 verwendet.
Endteilnehmer- Ein Zertifikat, welches nicht die Basiseinschränkung (basic constraints)
Zertifikat „Zertifizierungsstelle“ verwendet, daher selber keine Zertifikate signieren
kann.
Erklärung zum Eines von mehreren Dokumenten, die allgemeine und spezifische
Zertifizierungsbetri Rahmenbedingungen vorgibt. Das beninhaltet insbesondere eine
eb (CPS) Beschreibung der Verfahrensweise, wie die Zertifizierungsstelle (CA)
Zertifikate ausstellt, verwaltet, sperrt und erneuert.
Erlaubte Internet- Ein Domänenname, der aus der Top-Level-Domain und weiteren Sub-
Domänen Domains besteht, und nach erfolgreicher Prüfung durch die interne
Registrierungsstelle als „erlaubte Internet-Domäne“ in die PKI-Konfiguration
des Mandanten (Master-Domäne) aufgenommen wird.
_________________________________________________________________________________
Telekom Security PKI – Certificate Practice Statement Version 12.00, Gültig ab: 01.07.2020, Seite 19Sie können auch lesen
