SSL-/TLS-Zertifikate

Haben Sie Fragen zu unseren SSL-/TLS-Zertifikaten? Wir helfen Ihnen gerne. Informieren Sie sich in unserem FAQ-Bereich oder nehmen Sie direkt Kontakt mit unserem Supportteam auf.

Aktuelle Hinweise zur Verwendung von SSL-Zertifikaten

Als Vertrauensdiensteanbieter (CA), der öffentlich vertrauenswürdige Zertifikate herausgibt, fühlen wir uns besonders verpflichtet, Sie in der praktischen Anwendung von SSL-/TLS-Zertifikaten zu unterstützen. In diesem Zusammenhang möchten wir Sie darauf aufmerksam machen, dass wir auch in Ihrem eigenen Interesse auf Ihre Mitarbeit angewiesen sind, um die Vertrauenswürdigkeit der Zertifikate und ihrer Inhalte sicherzustellen. Auf diesen Informationen basiert das Vertrauen in SSL-/TLS-verschlüsselte Webseiten und Onlineanwendungen.

Gleichzeitig sind wir- wie jede andere CA - die weltweit öffentlich vertrauenswürdige Zertifikate herausgibt, verpflichtet, jedem Hinweis auf falsche oder veraltete Informationen, missbräuchliche Nutzung, Schlüsselkompromittierung sowie Codierungsfehler in oder von SSL-/TLS-Zertifikaten nachzugehen und diese gegebenenfalls zu sperren. Die Gründe für eine Sperrung werden u.a. durch unsere Certificate Policy (CP), Certificate Practice Statements der D-TRUST GmbH (CPS) (https://www.bundesdruckerei.de/de/2833-repository), durch das CA/Browserforum (www.cabforum.org), aber auch durch die Browserhersteller durch ihre Rootstore Policies festgelegt. Im Analysefall sind wir auf Ihre zeitnahe Mitwirkung angewiesen. Diese wissen wir sehr zu schätzen.

Uns ist es in diesem Zusammenhang besonders wichtig, Sie darauf hinzuweisen, dass es Situationen geben kann, in denen wir – wie jede andere CA -  zu einer sofortigen Zertifikatssperrung (Zeitraum variiert zwischen „innerhalb von 24 Stunden“ und „innerhalb von 120 Stunden“) verpflichtet sind. Dies hat unmittelbar eine Auswirkung auf Ihr per SSL-/TLS-abgesichertes Serviceangebot.

In einem solchen Fall werden wir mit Ihnen gemeinsam alles unternehmen, einen möglichst unterbrechungsfreien Übergang zwischen dem alten und dem neuen Zertifikat zu gewährleisten. Mit Ihrer zeitnahen Reaktion können Sie uns in diesem Prozess optimal unterstützen.

Vor diesem Hintergrund ist es sehr wichtig zu prüfen, wie Sie die von uns ausgestellten SSL/TLS-Zertifikate in Ihren Infrastrukturen verwenden. Insbesondere sollten Sie in der Lage sein, Zertifikate innerhalb von 24 Stunden austauschen zu können, ohne dass Ihr SSL-/TLS-abgesichertes Serviceangebot davon betroffen ist. Gerade Technologien wie Certificate-Pinning können sich in diesem Zusammenhang als sehr kontraproduktiv erweisen, da Sie von der Umsetzungsdauer der Bekanntmachung eines neuen Zertifikats auf allen System abhängig sind. Sollten Sie Fragen haben, wie Sie zukünftig eine größere Agilität im Austausch von Zertifikaten erreichen können, sprechen Sie uns gerne an.

Wir werden in diesem Jahr Ihnen ein Whitepaper zur Verfügung stellen, in dem wir die Einsatzmöglichkeiten der einzelnen Zertifikatstypen beschreiben und besonders das Thema Zertifikatsagilität betrachten.

Wir freuen uns, Sie auch in Zukunft mit unseren Produkten in Fragen der Internetsicherheit unterstützen zu dürfen. Bei Fragen stehen wir Ihnen gerne unter support [at] bdr.de zur Verfügung.

Download und FAQs von Wurzel- und Ausstellerzertifikate

Unsere SSL-Zertifikate werden derzeit, je nach Produktausprägung, auf Basis von zwei unterschiedlichen Zertifikatsketten ausgestellt:

1. Advanced SSL ID, Wild Card SSL ID

2. Advanced EV SSL ID

Finden Sie hier mehr Informationen zu "Zertifikatssicherheitsvorfall melden".

Um ein Certificate Signing Request (CSR) zu erstellen, halten Sie bitte folgende Informationen bereit:

  • Common Name (CN) − Fully Qualified Domain Name (FQDN) Ihrer abzusichernden Webseite
  • Organisation Name (O) − Antragsteller (d. h. die Organisation, die sich selbst und Ihren Webserver zukünftig ausweisen möchte)
  • Locality (L) − Stadt (offizieller Firmensitz des Antragstellers)
  • State (S) − Bundesland / Kanton (offizieller Firmensitz des Antragstellers lt. HRA / HRB)
  • Country (C) − z. B. DE für Deutschland (offizieller Firmensitz des Antragstellers)

Hinweis: Bitte archivieren Sie nach der Erstellung unbedingt Ihre CSR-Datei und Ihren privaten Schlüssel!

Wenn D-TRUST den Antrag freigegeben hat, senden wir Ihnen das Zertifikat per E-Mail zu bzw. stellen Ihnen einen Link zum Download bereit. Jetzt brauchen Sie nur noch die Installation auf Ihrem Webserver durchzuführen.

Hinweis: Unsere Zertifikate sind mit allen gängigen Plattformen kompatibel, die aktuelle Hash-Algorithmen unterstützen. Sollten Sie Fragen zur CSR-Erstellung bzw. Erstellung von Zertifikatsanfragen haben, finden Sie bei den Herstellern Ihrer Hard- und Software umfassende und spezifische Dokumentationen.

Sollten Sie Probleme bei der Installation haben, kann dies folgende Ursachen haben:

  • Die Zertifikatsanforderung und / oder der private Schlüssel wurden zwischen dem Zeitpunkt der Request-Erzeugung und der Installation des Zertifikats gelöscht oder auf einem anderen Rechner durchgeführt.
  • Die Zertifikatskette auf dem Webserver ist unvollständig. Prüfen Sie bitte, ob das Root-Zertifikat (als Stammzertifizierungsstelle bzw. Root-CA) sowie das ausstellende Zwischenzertifikat (als Zwischenzertifizierungsstelle bzw. Chain- oder Sub-CA) vorhanden sind. Ist eines dieser Zertifikate nicht vorhanden, kann das SSL-Zertifikat nicht importiert werden. Auch kann ein fehlermeldungsfreier Zugriff durch einen Client auf den Server zu einem späteren Zeitpunkt nicht durchgeführt werden. Unsere aktuellen CA-Zertifikate finden Sie auf unserer Zertifikatsdownloadseite.

CAA steht für Certificate Authority Authorization. Mit diesem Ressource Record wird festgelegt, welche CA´s (Certificate Authorities) für die von Ihnen verwaltete Internet-Domain SSL-Zertifikate ausstellen dürfen. 
 
Die Angabe eines CAA Ressource Records ist optional, dient aber Ihrer Sicherheit: Mit dieser Maßnahme soll verhindert werden, dass unautorisiert TLS-Zertifikate für eine Ihrer Internet-Domains ausgestellt werden. Ist kein CAA Ressource Record vorhanden, darf jede CA für Ihre Domain ein TLS-Zertifikat ausstellen.
 
Die Angabe der D-TRUST CA in Ihrem CAA Ressource Record stellt sicher, dass keine unautorisierten TLS-Zertifikate für eine Ihrer Internet-Domains ausgestellt werden können.
 
Beispiele eines CAA Ressource Records, in dem D-TRUST als autorisierte CA angegeben wird:

  • Alle TLS-Zertifikatstypen (inkl. Wildcard)
    example.com.        CAA 0 issue "d-trust.net"
  • Ausschließlich Wildcard-TLS-Zertifikate
    example.com.        CAA 0 issuewild "d-trust.net"

Der erste Eintrag gilt für alle TLS-Zertifikatstypen, der zweite Eintrag gilt ausschließlich für Wildcard-TLS-Zertifikate. Wollen Sie alle TLS-Zertifikatstypen über eine CA beziehen, genügt der erste Eintrag. Weitergehende Informationen finden Sie im RFC 6844.

Wo wird der Eintrag vorgenommen?

Sie können einen entsprechenden CAA-Record in der DNS Konfiguration Ihres Domain-Providers (z.B. 1und1, Strato etc.) vornehmen.
 
HINWEIS: Bitte beachten Sie, dass die D-TRUST GmbH Ihnen keine TLS-Zertifikate ausstellen kann, wenn in Ihrem CAA Ressource Record eine andere CA als die D-TRUST GmbH aufgeführt ist.

Detaillierte Informationen finden Sie außerdem im Bereich Lösungen & Produkte.

Haben Sie Fragen zu unseren Produkten?

In unserem Service Portal finden Sie Hilfe bei technischen Problemen, Informationen über Voraussetzungen und Anwendungsmöglichkeiten unserer Lösungen sowie unseren Dokumentationen und Preislisten. Wir helfen Ihnen weiter.