Unterscheidung Nutzerzertifikat & Gruppenzertifikat
Es können zwei verschiedene Arten von Nutzerzertifikaten (S/MIME für E-Mail) beantragt werden. Diese werden im Folgenden näher erläutert.
-
Nutzerzertifikat
"Klassisches" personenbezogenes Nutzerzertifikat, welches einer natürlichen Person zugeordnet ist. Diese Zertifikate können in Mailprogrammen zum Signieren und Verschlüsseln von E-Mails eingesetzt werden. Durch die digitale Signatur einer E-Mail können die Empfänger verifizieren, dass die absendende Person auch tatsächlich diejenige ist, als die sie sich ausgibt (eine Fremd-Übernahme einer Mailbox reicht so nicht allein aus, siehe weiter unten: Nutzerzertifikate an der LUH).
-
Gruppenzertifikat
Ein Gruppenzertifikat ist empfehlenswert für Funktions-Mail-Adressen, auf die auch mehrere Personen Zugriff haben. Jede Person die mit diesem Zertifikat arbeiten und Mails signieren soll, muss Zugriff auf die Mailbox haben, das Zertifikat in ihren Mail-Klienten importieren und das Passwort dafür kennen. Ebenfalls muss die für das Gruppenzertifikat verantwortliche Person, die den Antrag stellt, Zugriff auf die Mailbox haben. Es ist sinnvoll, den Kreis der Personen die mit diesem Zertifikat arbeiten nicht allzu groß werden zu lassen.
Ein Gruppenzertifikat ist auch für Funktions-Mail-Adressen geeignet, auf die nur eine einzige Person Zugriff hat, z.B. um eine bestimmte Rolle zu erfüllen. Technisch handelt es sich dabei immer noch um ein Gruppenzertifikat und ist von dem persönlichen Nutzerzertifikat abzugrenzen (nur bei persönlichen Nutzerzertifikaten werden Vor- und Nachname in das Zertifikat mit übernommen).
Arten von Signaturen
Bei elektronischen Signaturen unterscheidet man zwischen
- einfachen elektronischen Signaturen
- fortgeschrittenen elektronischen Signaturen und
- qualifizierten elektronischen Signaturen
Erläuterungen sowie die jeweiligen Anforderungen finden Sie auf den Seiten der DFN-PKI.
Nutzerzertifikate an der LUH
Die Nutzerzertifikate von HARICA erfüllen (in der Form wie Sie an der LUH ausgestellt und eingesetzt werden) die Anforderungen an eine fortgeschrittene elektronische Signatur.
Für den Erstantrag ist eine Identifizierung notwendig, das Zertifikat wird erst durch Genehmigung durch die RA im LUIS ausgestellt.
Folgeanträge werden automatisch ohne erneute Identitätsprüfung genehmigt, wenn:
- die Erstbeantragung weniger als 825 Tage her ist und
- der Antrag mit den gleichen Daten gestellt wurde
Das Vorgehen entspricht den Anforderungen an S/MIME-Zertifikate, die in den S/MIME Baseline Requirements vom CA/Browser Forum definiert sind.
Das Risiko durch das Bedrohungsszenario "Unberechtigte Zertifikatsausstellung durch Mailboxübernahme über automatisch genehmigte Folgeanträge" wird durch verschiedene Maßnahmen (unter anderem separate Zugangsdaten zum Beantragungsportal als "zweiten Faktor") gesenkt.
Document Signing
Technisch können die Nutzerzertifikate von HARICA z.B. in Adobe Reader nicht automatisch überprüft werden, dafür benötigt es (wie bisher auch bei den Nutzerzertifikaten aus der DFN-PKI und von Sectigo) einige Vorarbeiten (Import des Wurzelzertifikats).
Nutzerzertifikate von HARICA (in der Form wie Sie an der LUH ausgestellt und eingesetzt werden) erfüllen die Anforderungen an eine fortgeschrittene elektronische Signatur. "Durch diese Anforderungen erhöht sich die Beweiskraft im Rechtsverkehr, weshalb sie sich für sämtlichen Rechtsverkehr ohne spezielle Formanforderungen eignet, wie z.B. Angebote oder Verträge." Quelle
Kontakt
Hotline IT-Service-Desk
Sprechzeiten
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.
Telefon
E-Mail
Hotline IT-Service-Desk
Sprechzeiten
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.
Telefon
E-Mail