Rechtliche Grundlagen

Erläuterungen zu dem rechtlichen Aspekt finden Sie unter: Rechtliche Grundlagen elektronischer Signaturen

Eine Präsentation ist verfügbar unter: Technische und rechtliche Aspekte bei Dokumentensignaturen

Tauglichkeit normaler Client-Zertifikate

Document Signing, z.B. in Adobe, ist mit den normalen Client-Zertifikaten zwar technisch möglich, es müssen aber recht hohe Hürden überwunden werden. Insbesondere sind bei den Prüfern der Signaturen spezielle Einstellungen zu treffen, um die Vertrauenswürdigkeit der Signaturen darzustellen. Diese Einstellungen müssen von jeder Person vorgenommen werden, die die Signaturen prüfen soll.

Eine sehr detaillierte Anleitung wird von der Universität Münster zur Verfügung gestellt. Deren Anwendung muss natürlich an die eigenen lokalen Gegebenheiten angepasst werden: https://www.uni-muenster.de/CA/de/howto-pdf.shtml

Organisationen und Personen, die mit Client-Zertifikaten aus GÉANT TCS fortgeschrittenen Signaturen gemäß eIDAS erstellen wollen, müssen darauf vorbereitet sein, dass sie die Identifizierung des Unterzeichnenden im Streitfall ggf. anhand eigener Unterlagen nachweisen müssen.

Die Ansprüche an qualifizierte Signaturen werden keinesfalls erfüllt.

Des Weiteren unterliegen die Zertifikate den Regeln des CA/Browserforums für S/MIME, wodurch sich auch sehr kurzfristig die technischen Rahmenbedingungen ändern können. Darüber hinaus sieht Sectigo den Einsatz der S/MIME-Client-Zertifikate nur für E-Mailsignatur und -verschlüsselung und nicht für andere Anwendungsfälle vor (siehe Kapitel 1.4 im Dokument „Sectigo WebPKI S/MIME Certificate Practice Statement“ im CPS Repository).

Die DFN-Verein Community-PKI ist eine Alternative, die niedrigere technische Hürden als die regulären Client-Zertifikate in GÉANT TCS hat.

Document Signing Zertifikate

Im Rahmen von TCS können von Sectigo kostenpflichtige, rabattierte Document Signing Zertifikate bezogen werden, denen ohne weitere Konfigurationsarbeiten direkt in Adobe vertraut wird. Diese Zertifikate sind über die Adobe Approved Trust List verankert.

Zur rechtlichen Bewertung der mit den Document Signing Zertifikaten erzeugten Signaturen („Fortgeschritten nach eIDAS“) können wir keine Aussage treffen, da Sectigo die Prozesse nicht nach den Vorgaben von eIDAS gestaltet. Die Ansprüche an qualifizierte Signaturen werden keinesfalls erfüllt.

Für den Bezug dieser Zertifikate gibt es einen separaten Antragsweg außerhalb von cert-manager.

Die Zertifikate kosten ca. 130,- Euro für 3 Jahre. Der Betrag ist während des Antragsprozesses direkt per Kreditkarte oder PayPal zu begleichen. Neben diesem Betrag entstehen zusätzliche, weitere Kosten und Aufwände, da von Sectigo eine Identitätsbestätigung der Antragsstellenden durch eine dritte Partei (Notariate, Rechtsanwaltskanzleien o.ä) gefordert wird. Bisherige Erfahrungen zeigen, dass Sectigo bei den bestätigenden Notariaten/Kanzleien zurückruft und eine mündliche Bestätigung des Vorgangs einholen möchte. Zur Not wird für diese Nachfrage auch E-Mail verwendet. Es werden Adressdaten genutzt, die in einem Register, bspw. der Bundesrechtsanwaltskammer, aufgeführt sind.

Im Zuge des Antragsprozesses wird von Sectigo die Einsendung einer Kopie eines Ausweisdokumentes verlangt. Das Zertifikat wird von Sectigo auf Crypto-Token erstellt und versandt. Der DN der ausgestellten Zertifikate enthält je nach gewähltem Zertifikattyp entweder CN=<Einrichtung> (Typ „Company“) oder CN=<Name des Antragsstellers> (Typ „Individual“).

Die Beantragung führen Sie bitte wie in der Dokumentation von GÉANT dargestellt durch: https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-Q:AreDocumentSigningCertificatesavailableviaSectigo? (Hinter dem Link „GUIDE“ verbirgt sich eine ausführliche PDF-Dokumentation)

Qualifizierte Zertifikate

Sectigo hat auch ein Angebot für qualifizierte Zertifikate, die über die EU Trusted List auch in Adobe verankert sind. Dieses Angebot ist aber nicht Bestandteil des derzeitigen Leistungsumfangs von TCS und ist nicht rabattiert.

Auch die qualifizierten Zertifikate müssen über einen separaten Antragsweg außerhalb von cert-manager bezogen werden.

  • Zuletzt geändert: vor 5 Monaten