Support & Beratung

+49 661 480 276 10

Inhalt
PSW GROUP Newsletter

Kann ich bei Lite-, Bronze- und Limitbreaker-Zertifikaten eine andere Bestätigungsadresse angeben?

Leider nein, die Bestätigungsadressen sind wie im Artikel „Was benötigen Sie zur Ausstellung eines SSL-Zertifikates“ beschrieben von den Zertifizierungsstellen jeweils fest vorgegeben und auch in deren Certification Practice Statements (CPS) festgeschrieben. Mit einem Certificate Practice Statement dokumentiert eine Zertifizierungsstelle, wie sie arbeitet. Auf den jeweiligen CPS basiert die Zulassung der jeweiligen Zertifizierungsstelle als auch das Vertrauen in deren Zertifikate. Die Bestätigungsadresse wird hierbei jeweils als eine administrative Adresse dokumentiert, d.h. sie kann damit bei Standardisierung dieser Aussage nur eine Adresse aus dem WHOIS oder eine als „administrativ“ geltende Adresse sein, die in Bezug mit der zu zertifizierenden Domain stehen muss (also @ der zu zertifizierenden Domain). Bei Lite ist hier der Einschluss der Subdomain möglich, bei Bronze und Limitbreaker kann nur die eigentliche Domain gewählt werden.

Zudem sollte verständlich sein, dass der niedrige Preis domainvalidierter Zertifikate sich auch in einer weitestgehenden Automatisierung und Standardisierung begründet. Ausnahmen bei entsprechender Validierung müssen manuell erfolgen und sind daher teurer als ein automatisiertes Verfahren, zu hohe Flexibilität schadet der Vertrauenswürdigkeit in die Zertifikate, sie könnten damit auch leichter von nicht berechtigten Personen für eine fremde Domain erlangt werden.

Zur Referenz finden Sie im LiteSSL Addendum zum CPS von Psoft aka. Comodo (Lite) Version 2.4 vom 03.02.2005 auf Seite 5 „To validate LiteSSL and LiteSSL Wildcard Secure Certificates Comodo checks that the Subscriber has control over the Domain name at the time the Subscriber submitted its enrollment certificates by reviewing the application information provided by the applicant (as per Section 4.3 of this CPS) and reviewing domain name ownership records available publicly through Internet approved global domain registrars and the use of generic e-mails which ordinarily are only available to person(s) controlling the domain name administration, for example, webmaster@, postmaster@, admin@ or requesting documentation that verifies control of the domain“ bzw. im CPS von RapidSSL aka. GeoTrust (Bronze) Version 1.0 vom 27.06.2005 auf Seite 10 „To do this, GeoTrust will send an e-mail message to one of the following e-mail addresses requesting confirmation of the Certificate order and authorization to issue the Certificate in the Domain Name: (a) an e-mail address identified in the record for the Domain Name in an official InterNIC domain name registry, (b) a limited list of the most commonly used generic e-mail addresses for authorized persons at Domain Names (e.g., „admin@domain.com,“ or „hostmaster@domain.com“ for the Domain Name domain.com), or (c) using a manual process conducted by GeoTrust, to another e-mail address obtained by GeoTrust that, in GeoTrust’s reasonable opinion, verifies domain control over the Domain Name“ bzw. im CPS von Thawte aka. VeriSign (Limitbreaker) Version 2.2 vom 21.04.2005 auf Seite 2 „thawte validates that the person enrolling for the certificate has control of the domain by requiring the person to answer an e-mail sent to the e-mail address listed or predetermined for that domain“ den entsprechenden Hinweis.

Gemäß aktueller Sicherheitsproblematiken mit unachtsamen Webmailanbietern (vgl. http://www.linux-magazine.com/w3/issue/114/054-055_kurt.pdf) wurden die Bestätigungsadressen gemäß RFC 2142 Punkt 5 sowie weiteren wirklich rein administrativen (admin, administrator, root) Adressen seitens aller Zertifizierungsstellen angepasst auf admin, administrator, hostmaster, postmaster, root, webmaster sowie Einträge aus dem WHOIS, soweit diese ermittelbar sind (leider hat hier insbesondere bei den selbst von VeriSign betrieben TLDs aufgrund der Notwendigkeit des Betriebes eigener (und damit, weil undefiniert, formatlich unterschiedlicher) WHOIS-Server für com, net, tv und cc VeriSign häufiger das Problem, die WHOIS-Daten richtig auslesen zu können).

War dieser Artikel hilfreich?
Empfohlene Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert