Hier erhalten Sie aktuelle Informationen zu Signtrust Lösungen die Ihnen rund um die Beantragung Ihrer Signaturkarte sowie im Umgang mit Signtrust Lösungen praktische Tipps und Hilfen geben. Klicken Sie einfach ein Thema an.

Themen

Die elektronische Signatur

Gibt es eine Möglichkeit den Antragsprozess auch offline durchführen?

Ja, es gibt eine Möglichkeit. Der Antrag wird dann per Papierantrag durchgeführt. Bitte setzten Sie sich hierzu mit unserer Hotline in Verbindung. Die Bearbeitung des Papierantrages verursacht Mehrkosten, die wir Ihnen leider in Rechnung stellen müssen. Signtrust Support-Hotline: (0700) SIGNTRUST (0700)
bzw. 7 44 68 78 78
(12,4 ct je angefangene Minute)

Wo kann ich Zertifikate online abfragen und abrufen und Informationen zur elektronischen Signatur von Signtrust erhalten?

Den Verzeichnisdienst der Deutschen Post Com, Geschäftsfeld Signtrust können Sie unter www.signtrust.de abfragen. Dort können Sie auch die Signtrust Zertifikate abrufen, die von ihren Inhabern als abrufbar bestimmt wurden. Unter dieser Internetadresse erhalten Sie ebenfalls weitere Informationen rund um die elektronische Signatur von Signtrust. 

Was geschieht mit meinen persönlichen Daten?

Das Trustcenter der Deutschen Post Com, Geschäftsfeld Signtrust unterliegt beim Umgang mit Kundendaten den Datenschutzgesetzen. Die Daten, die auf Wunsch des Kunden in das Zertifikat aufgenommen werden, können - wenn vom Kunden gewünscht - über den Signtrust-Verzeichnisdienst von jedermann abgefragt werden. Die Deutsche Post Com, Geschäftsfeld Signtrust erhebt, verarbeitet und nutzt nur die persönlichen Daten, die zum Betrieb einer Zertifizierungsstelle erhoben, verarbeitet und genutzt werden müssen. Signtrust ergreift die erforderlichen Maßnahmen, um die persönlichen Daten der Kunden vor dem Zugriff Unbefugter zu schützen. Eine Weitergabe der persönlichen Daten erfolgt nur auf gerichtliche Anordnung. Signtrust nutzt die zur Verfügung gestellten Daten nur innerhalb des Betriebes des Trustcenters, eine weitergehende kommerzielle Nutzung dieser Daten durch Signtrust findet nicht statt. 

Wo erhalte ich weitere Informationen zu technischen oder rechtlichen Fragen?

Eine der Möglichkeiten, Informationen rund um das Thema elektronische Signatur zu erhalten, ist das Internet. Speziell zu den rechtlichen und technischen Hintergründen finden sich Informationen auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI - www.bsi.de). Das Bundesministerium für Wirtschaft und Technologie (BMWi) ) unterhält ebenfalls eine Seite im Internet, die sich mit dem IuKDG (www.iukdg.de) befasst. Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) erstellt die Schlüsselpaare und Zertifikate für alle Trustcenter und stellt ebenfalls Informationen bereit. Auf der Website von TÜV IT (www.tuevit.de) erhalten Sie Informationen zu den zertifizierten Komponenten. Informationen erhalten Sie auch bei der Signtrust Support-Hotline unter der Rufnummer: (0700) SIGNTRUST
bzw. (0700) 7 44 68 78 78
(12,4 ct je angefangene Minute)

Was sind die gesetzlichen Hintergründe der elektronischen Signatur?

Die gesetzliche Grundlage für elektronische Signaturen bildet in Deutschland das Gesetz über Rahmenbedingungen für elektronische (bisher: digitale) Signaturen (SigG). Dieses Gesetz ist in seiner ursprünglichen Form bereits am 1. August 1997 in Kraft getreten und existiert seit Mai 2001 in einer überarbeiteten (novellierten) Form. Es regelt den Aufbau der PKI (Sicherungsinfrastruktur) für elektronische Signaturen in Deutschland. Auf der Grundlage des SigG von 1997 wurden weiterhin die Signaturverordnung erlassen und zwei Maßnahmenkataloge geschaffen, die insbesondere auch die technischen Anforderungen weiter spezifizieren.

Wie kann man eine Signtrust Signaturkarte beantragen?

Zusammen mit Ihren Antragsunterlagen, die Sie i. d. R. zuvor online unter www.signtrust.de eingegeben und ausgedruckt haben, benötigt Signtrust eine Fotokopie Ihres Personalausweises oder Reisepasses. Sofern Sie Ihren Personalausweis verwenden, kopieren Sie bitte Vorder- und Rückseite und unterschreiben die Fotokopie quer durch das Lichtbild. Falls Sie Ihren Reisepaß verwenden, fotokopieren Sie bitte die Seiten des Reisepasses, auf denen Ihre Angaben zur Person stehen und unterschreiben quer durch das Lichtbild. Beachten Sie bitte, dass Signtrust bei einer Identifikation mit Reisepaß oder ausländischem Ausweis eine Original-Meldebescheinigung, die nicht älter als 3 Monate sein darf, benötigt. Bitte unterschreiben Sie auf dem Lichtbild so, wie Sie auch auf dem Ausweisdokument selbst unterschrieben haben, damit wir Ihre Unterschriften vergleichen können. Sollten Sie keine Möglichkeit haben, den Antrag online einzugeben, besteht die Möglichkeit, über die Supporthotline Antragsunterlagen per e-mail oder per Post zu erhalten. Diese füllen Sie dann handschriftlich aus und senden sie uns zurück. Einige Zeit später erhalten Sie Ihren Online-Antrag, auf dem Sie die sensiblen Daten einfügen (Kontonummer, Sperrkennwort) und den Antrag unterschreiben. Der Online-Antrag enthält einen Coupon, den Sie benötigen, um sich bei einer Postfiliale Ihrer Wahl identifizieren zu lassen. Bitte gehen Sie mit Ihrem Online-Antrag, Ausweiskopien, PostIdent-Coupon und dem Ausweisdokument zu einer Filiale der Deutschen Post. Dort wird Sie ein Filialmitarbeiter identifizieren und die kompletten Unterlagen an Signtrust senden. Bitte beachten Sie, dass Signtrust nur vollständige Anträgsunterlagen bearbeiten kann. Beachten Sie bitte, dass uns die kompletten Antragsunterlagen mit Identifikation von einem Filialmitarbeiter in einem Postsache-Umschlag zugesandt werden. Händigen Sie deshalb bitte Ihre kompletten Antragsunterlagen offen, ohne Briefumschlag, dem Filialmitarbeiter aus. Wenige Tage später wird Ihnen Ihre Signtrust Signaturkarte zugestellt. Es existieren zwei Möglichkeiten der Zustellung, unter denen Sie wählen können:

  • Übergabe mit Empfangsbestätigung: Bei dieser Art der Zustellung wird Ihnen die Signaturkarte und der erste Teil der PIN an Ihre Meldeadresse, oder eine alternative Zustelladresse (z. B. Ihr Arbeitsplatz) zugestellt. Zusammen mit der Signaturkarte geht Ihnen ein Antwortcoupon zu, den Sie vom Anschreiben trennen, ausfüllen und unterschrieben an Signtrust zurücksenden. Danach erst wird das Zertifikat in den Verzeichnisdienst eingestellt und Sie erhalten die Transport-PINs zur Aktivierung und Verwendung der Signaturkarte.
  • Übergabe mit erneuter persönlicher Identifikation: Bei diesem Verfahren wird Ihnen die Signaturkarte an Ihrer Meldeadresse persönlich von einem Zusteller nach einer erneuten persönlichen Identifikation anhand Ihres Ausweisdokumentes übergeben. Wichtig ist es, dass Sie sich mit dem gleichen Ausweisdokument identifizieren wie auch bei der ersten Identifikation in der Postfiliale. Dieses Zustellverfahren ist noch sicherer als das oben beschriebene, eine Zustellung kann jedoch ausschließlich an Ihre Meldeadresse erfolgen. Fall Sie nicht persönlich vom Zusteller angetroffen werden, werden Sie darüber benachrichtigt, dass Sie Ihren Kartenbrief in einer bestimmten Filiale abholen können.
Bei beiden Verfahren gilt: Vergewissern Sie sich, dass die Karte in dem Kartenbrief tatsächlich enthalten ist, bevor Sie den Empfang der Karte durch Ihre erste Unterschrift auf dem Begleitschreiben bestätigen. Mit Ihrer zweiten Unterschrift bestätigen Sie, dass Sie den Inhalt der Ihnen vorliegenden Broschüre zur Kenntnis genommen haben. Das Verfahren von Signtrust zur Identifizierung erreicht eine hohe Sicherheit und wird damit den Anforderungen des Signaturgesetzes vollauf gerecht. Diese Sicherheit kommt Ihnen zugute. Wenn Sie Sicherheitsverletzungen des beschriebenen Verfahrens feststellen oder Ihre Signaturkarte 14 Tage nach Ihrer Identifikation in der Filiale noch nicht erhalten haben, können Sie Signtrust unter folgenden Rufnummern erreichen: (0700) SIGNTRUST
bzw. (0700) 7 44 68 78 78
(12,4 ct je angefangene Minute)

Was sind die Bedingungen dafür, dass mir eine elektronische Signatur im Rechtsverkehr zugeordnet wird?

Alle mit Ihrem privaten Signaturschlüssel erzeugten elektronischen Signaturen werden Ihnen grundsätzlich zugeordnet, wenn das dazugehörige Zertifikat zum Zeitpunkt der Erzeugung der elektronischen Signatur gültig war. Da Sie die PIN geheim halten müssen und diese zum elektronischen Signieren unbedingt eingegeben werden muss, wird vermutet, dass jede elektronische Signatur mit Ihrem Willen erzeugt wurde. Nur wenn diese Vermutung durch Fakten widerlegt werden kann, wird eine elektronische Signatur nicht dem Inhaber des privaten Signaturschlüssels zugeordnet. Eine qualifizierte elektronische Signatur, wie sie von Ihnen durch Verwendung der Signaturkarte und -software von Signtrust erzeugt werden kann, hat im Rechtsverkehr die gleiche Wirkung wie eine eigenhändige Unterschrift, soweit dies durch ein Gesetz bestimmt wird. 

Was muss ich beim elektronischen Signieren beachten?

Die Signtrust Signaturkarte ist ein sicheres Werkzeug zum elektronischen Unterschreiben und Verschlüsseln. Im Umgang mit der Technik der elektronischen Signatur müssen jedoch bestimmte Regeln beachten werden, damit diese Sicherheit nicht beeinträchtigt wird. Auch Sie als Anwender müssen einige Dinge beachten:  

  • Überprüfen Sie vor dem elektronischen Signieren den Inhalt der Daten, die elektronisch signiert werden sollen. Verwenden Sie hierzu die Darstellungskomponente der verwendeten Signaturanwendungskomponente, die sicherstellt, dass Sie wirklich das zum Prüfen angezeigt bekommen, was Sie im Folgenden elektronisch signieren.
  • Sie haben immer die Möglichkeit, die von Ihnen erstellten elektronischen Signaturen selbst zu prüfen, um die Richtigkeit des Inhaltes der elektronisch signierten Daten festzustellen.
  • Stellen Sie sicher, dass sich alle Geräte und Programme, die Sie zum elektronischen Signieren benötigen, in ordnungsgemäßem Zustand befinden. Verhindern Sie den Zugriff von Unberechtigten auf diese Komponenten durch den Einsatz von geeigneten Sicherungsmaßnahmen.
  • Verwenden Sie zum elektronischen Signieren und zum Prüfen elektronischer Signaturen ausschließlich Geräte und Programme, die als signaturgesetzkonform bestätigt wurden (vergleichen Sie den folgenden Abschnitt).
  • Stellen Sie sicher, dass Geräte und Programme zum elektronischen Signieren und zum Prüfen elektronischer Signaturen vertrauenswürdig und zuverlässig installiert werden und betreiben Sie diese nur gemäß Ihrer Spezifikation und Dokumentation.
  • Vergewissern Sie sich, dass der von Ihnen am Arbeitsplatz verwendete Rechner vertrauenswürdig installiert und administriert wurde und dass nur vertrauenswürdige Software eingesetzt wird.
  • Setzen Sie Sicherheitsprodukte wie Virenscanner und Firewalls ein, um die Integrität der von Ihnen zum elektronischen Signieren verwendeten Systeme zu schützen.
  • Vermeiden Sie durch die Beachtung dieser Grundsätze eine Verringerung der durch die elektronische Signatur erreichten Rechtssicherheit.

Was geschieht beim Vorgang des elektronischen Signierens aus technischer Sicht?

Bei der Erstellung einer elektronischen Signatur wird ein sogenannter "Hash-Wert" (eine "Kurzform" einer e-mail oder einer Datei) durch eine mathematische Funktion erzeugt. Sie ist mit einem Fingerabdruck vergleichbar: Jede e-mail hat ihren individuellen Hash-Wert. Jede auch noch so geringe Veränderung in der e-mail oder der Datei (und sei es nur ein zusätzliches Leerzeichen zwischen zwei Worten oder sogar ein einzelnes Satzzeichen) führt dazu, dass ein verändeter Hash-Wert berechnet wird. Der Hash-Wert ist damit eine individuelle Kurzform der zu signierenden e-mail oder Datei. Dieser Hash-Wert ist keine inhaltliche Zusammenfassung der e-mail oder der Datei, sondern ein Zahlencode. Dieser individuelle Hash-Wert wird dann zum eigentlichen elektronischen Signieren in die Signtrust Signaturkarte übertragen. Dort wird der Hash-Wert mit Hilfe des auf der Karte befindlichen privaten Schlüssel verschlüsselt und in dieser verschlüsselten Form wieder zurück an das Programm übergeben, das die Signatur erstellt. Der verschlüsselte Hash-Wert der e-mail oder der Datei ist die eigentliche elektronische Signatur. Da jede Änderung der e-mail oder der Datei zu einer Änderung des Hash-Wertes führt, kann durch einen Vergleich des dem Empfänger zugegangenen verschlüsselten Hash-Wertes mit einem erneut erstellten Hash-Wert der ebenfalls übertragenen e-mail oder Datei in Originalform festgestellt werden, ob die e-mail oder die Datei unverändert bei dem Empfänger angekommen ist. Das Zertifikat enthält den öffentlichen Schlüssel. Der Empfänger erhält daher zusammen mit Ihrer Nachricht auch gleich den Schlüssel, mit dem er die Prüfung der elektronischen Signatur durchführen kann. Dadurch, dass jedes Schlüsselpaar nur einmal vergeben wird, kann weiterhin eine e-mail eindeutig einem Versender (und Inhaber eines privaten Schlüssels) zugeordnet werden

Wie sieht die Infrastruktur für die elektronische Signatur aus?

Das deutsche Signaturgesetz (SigG) sieht für den Bereich der freiwillig akkreditierten Zertifizierungsdiensteanbieter der höchsten Sicherheitsstufe (§§ 15 ff SigG) den Aufbau einer Infrastruktur für elektronische Signaturen vor. Diese bezeichnet man auch als Sicherungsinfrastruktur oder Public Key Infrastructure (PKI). An der Spitze dieser Infrastruktur steht die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) als sogenannte "Wurzelzertifizierungsstelle". Sie generiert den öffentlichen und den privaten Schlüssel der untergeordneten Zertifizierungsdiensteanbieter und bestätigt die Zuordnung eines öffentlichen Schlüssels zu einem Zertifizierungsdiensteanbieter durch ein Zertifikat, ebenso wie das Trustcenter der Deutschen Post Com, Geschäftsfeld Signtrust, Zertifikate für seine Kunden erstellt. Unterhalb der Wurzelzertifizierungsstelle sind die eigentlichen Zertifizierungsdiensteanbieter (auch: Zertifizierungsstellen) oder Trustcenter - wie beispielsweise die Deutsche Post Com GmbH - angesiedelt. Das System der elektronischen Signatur kann ohne diese Zertifizierungsdiensteanbieter oder Trustcenter nicht funktionieren. Es muss eine Stelle existieren, die das Schlüsselpaar für die Signaturkarte in einer sicheren Umgebung erstellt und insbesondere die Zuordnung einer Person zu einem Schlüsselpaar feststellt und für die anderen Teilnehmer bescheinigt. Die Bescheinigung dieser Zuordnung einer Person zu einem Schlüssel wird von einem Zertifizierungsdiensteanbieter vorgenommen (vergleiche: Was macht ein Trustcenter?). Wichtig für das System der elektronischen Signaturen ist das Vorhandensein von Institutionen, die eine verbindliche Zuordnung eines Schlüsselpaares zu einer Person vornehmen. Den Teilnehmern einer elektronischen Kommunikation ohne zusätzliche Sicherungsmittel fehlt das Vertrauen in die Identität des Anderen und in die Integrität der übermittelten Inhalte. Die Aufgabe, dieses Vertrauen zwischen den Beteiligten einer elektronischen Kommunikation herzustellen, wird im System der elektronischen Signatur von den Trustcentern (auch: Zertifizierungsdiensteanbietern und -stellen genannt) wahrgenommen. Neben den Zertifizierungsdiensteanbietern existieren weiterhin sogenannte Prüf- und Bestätigungsstellen. Diese Stellen übernehmen für die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BnetzA) die wichtige Aufgabe, zu überprüfen, ob die am Markt erhältlichen technischen Geräte zum Erzeugen oder Prüfen von elektronischen Signaturen den Anforderungen des Signaturgesetzes und der Signaturverordnung genügen. Wenn dies der Fall ist, erteilt die BNetzA eine dementsprechende Bestätigung, die im Bundesanzeiger veröffentlicht wird.

Was macht ein Trustcenter (Zertifizierungsdiensteanbieter)?

Trustcenter (Zertifizierungsdiensteanbieter) nehmen im System der elektronischen Signatur viele wichtige Aufgaben wahr. 

  • Generierung der Schlüssel
  • Zertifizierung des öffentlichen Schlüssels
  • Attribute
  • Qualifizierte Attribut-Zertifikate
  • Bereitstellen der Zertifikate (Verzeichnisdienst)
  • Entgegennahme und Ausführung von Sperrungen durch das Trustcenter (Sperrdienst)
  • Amtliche Zeitangaben (Zeitstempeldienst)
(Erklärungen zu den oben genannten Begriffen finden Sie in unserem PKI-Lexikon)

Was muss ich tun, um eine elektronische Signatur zu prüfen?

Die bei Ihnen im Einsatz befindliche Signaturanwendungskomponente (das Programm, mit dem Sie unter anderem e-mails signieren und verschlüsseln können) stellt Ihnen normalerweise eine Komponte zur Überprüfung der elektronischen Signatur zur Verfügung. Details dazu entnehmen Sie bitte dem jeweiligen Handbuch Ihres Programms.

Was muss ich tun, um elektronisch zu signieren?

Nehmen wir an, Sie wollen eine e-mail elektronisch signieren (vielleicht wollen Sie etwas sicher und rechtsverbindlich bestellen oder beantragen). Sie schreiben Ihre e-mail mit Hilfe Ihres e-mail-Programms, wie Sie es gewöhnt sind. Ja nachdem welche Signaturanwendungskomponente (so werden die Programme, die e-mail signieren können, genannt) von Ihnen genutzt wird, können Sie innerhalb Ihres e-mail-Programms die e-mail signieren oder auch verschlüsseln. Wie dieser Prozess abläuft entnehmen Sie bitte dem jeweiligen Handbuch Ihres Programms (also der Signaturanwendungskomponente).

Wie funktionieren elektronische Signaturen?

Die Technik der elektronischen Signatur beruht auf einem System zweier elektronischer Schlüssel. Diese beiden unterschiedlichen Schlüssel (die als privater und als öffentlicher Schlüssel bezeichnet werden) gehören in dem Sinne zusammen, als dass Inhalte, die mit dem privaten Schlüssel verschlüsselt werden, nur mit dem dazugehörigen öffentlichen Schlüssel entschlüsselt werden können. Der private Schlüssel muss dabei immer geheim bleiben, der öffentliche Schlüssel darf jedoch jedermann bekannt sein, da durch die bei der Erstellung des Schlüsselpaares verwendete mathematische Funktion sichergestellt wird, dass man den privaten Schlüssel auch dann nicht berechnen kann, wenn man im Besitz des öffentlichen Schlüssels ist. Ein solches kryptographisches Verfahren unter Verwendung eines geheimen privaten und eines frei verfügbaren öffentlichen Schlüssels wird als asymmetrisches kryptographisches Verfahren bezeichnet. Das von Signtrust verwendete kryptographische Verfahren ist das RSA-Verfahren (die Buchstaben RSA stehen für die Anfangsbuchstaben der drei Erfinder dieses Verfahrens: Rivest, Shamir und Adleman). Wenn man ein kryptographisches Verfahren für den Datenaustausch in Netzwerken einsetzen will, in dem sich die beteiligten Personen nicht bekannt sind, muss man ein derartiges asymmetrisches kryptographisches Verfahren wählen, weil nur ein solches Verfahren es ermöglicht, dass jedermann in den Besitz des öffentlichen Schlüssels gelangen kann, um die Identität seines Gegenübers und die Integrität des Kommunikationsinhaltes zweifelsfrei feststellen zu können.

Wie funktionieren elektronische Signaturen?

Die Technik der elektronischen Signatur beruht auf einem System zweier elektronischer Schlüssel. Diese beiden unterschiedlichen Schlüssel (die als privater und als öffentlicher Schlüssel bezeichnet werden) gehören in dem Sinne zusammen, als dass Inhalte, die mit dem privaten Schlüssel verschlüsselt werden, nur mit dem dazugehörigen öffentlichen Schlüssel entschlüsselt werden können. Der private Schlüssel muss dabei immer geheim bleiben, der öffentliche Schlüssel darf jedoch jedermann bekannt sein, da durch die bei der Erstellung des Schlüsselpaares verwendete mathematische Funktion sichergestellt wird, dass man den privaten Schlüssel auch dann nicht berechnen kann, wenn man im Besitz des öffentlichen Schlüssels ist. Ein solches kryptographisches Verfahren unter Verwendung eines geheimen privaten und eines frei verfügbaren öffentlichen Schlüssels wird als asymmetrisches kryptographisches Verfahren bezeichnet. Das von Signtrust verwendete kryptographische Verfahren ist das RSA-Verfahren (die Buchstaben RSA stehen für die Anfangsbuchstaben der drei Erfinder dieses Verfahrens: Rivest, Shamir und Adleman). Wenn man ein kryptographisches Verfahren für den Datenaustausch in Netzwerken einsetzen will, in dem sich die beteiligten Personen nicht bekannt sind, muss man ein derartiges asymmetrisches kryptographisches Verfahren wählen, weil nur ein solches Verfahren es ermöglicht, dass jedermann in den Besitz des öffentlichen Schlüssels gelangen kann, um die Identität seines Gegenübers und die Integrität des Kommunikationsinhaltes zweifelsfrei feststellen zu können. 

Was muss ich beim elektronischen Signieren beachten?

Die Signtrust Signaturkarte ist ein sicheres Werkzeug zum elektronischen Unterschreiben und Verschlüsseln. Im Umgang mit der Technik der elektronischen Signatur müssen jedoch bestimmte Regeln beachten werden, damit diese Sicherheit nicht beeinträchtigt wird. Auch Sie als Anwender müssen einige Dinge beachten: 

  • Überprüfen Sie vor dem elektronischen Signieren den Inhalt der Daten, die elektronisch signiert werden sollen. Verwenden Sie hierzu die Darstellungskomponente der verwendeten Signaturanwendungskomponente, die sicherstellt, dass Sie wirklich das zum Prüfen angezeigt bekommen, was Sie im Folgenden elektronisch signieren.
  • Sie haben immer die Möglichkeit, die von Ihnen erstellten elektronischen Signaturen selbst zu prüfen, um die Richtigkeit des Inhaltes der elektronisch signierten Daten festzustellen.
  • Stellen Sie sicher, dass sich alle Geräte und Programme, die Sie zum elektronischen Signieren benötigen, in ordnungsgemäßem Zustand befinden. Verhindern Sie den Zugriff von Unberechtigten auf diese Komponenten durch den Einsatz von geeigneten Sicherungsmaßnahmen.
  • Verwenden Sie zum elektronischen Signieren und zum Prüfen elektronischer Signaturen ausschließlich Geräte und Programme, die als signaturgesetzkonform bestätigt wurden (vergleichen Sie den folgenden Abschnitt).
  • Stellen Sie sicher, dass Geräte und Programme zum elektronischen Signieren und zum Prüfen elektronischer Signaturen vertrauenswürdig und zuverlässig installiert werden und betreiben Sie diese nur gemäß Ihrer Spezifikation und Dokumentation.
  • Vergewissern Sie sich, dass der von Ihnen am Arbeitsplatz verwendete Rechner vertrauenswürdig installiert und administriert wurde und dass nur vertrauenswürdige Software eingesetzt wird.
  • Setzen Sie Sicherheitsprodukte wie Virenscanner und Firewalls ein, um die Integrität der von Ihnen zum elektronischen Signieren verwendeten Systeme zu schützen.
  • Vermeiden Sie durch die Beachtung dieser Grundsätze eine Verringerung der durch die elektronische Signatur erreichten Rechtssicherheit.

Welche Bedeutung hat die Aufnahme eines Pseudonyms in das Zertifikat?

Wenn Sie sich dafür entscheiden, ein Pseudonym in das Zertifikat aufzunehmen, wird NUR das Pseudonym, keine weiteren persönlichen Daten in das Zertifikat aufgenommen. Pseudonyme sind durch den Eintrag ":PN,1,de" im Zertifikat gekennzeichnet. Pseudonyme können innerhalb des Kundenkreises der Deutsche Post Com, Geschäftsfeld Signtrust nur einmal vergeben werden. Beantragen mehrere Teilnehmer das gleiche Pseudonym, so werden diese durchnummeriert, z. B. "Pseudonym :PN,1,de", "Pseudonym :PN,2,de", etc. Die Deutsche Post Com, Geschäftsfeld Signtrust ist nach dem SigG dazu verpflichtet, die Daten über die Identität eines Kunden mit Pseudonym auf Ersuchen an die zuständigen Stellen zu übermitteln, soweit dies für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder des Zoll-Kriminalamtes erforderlich ist. Die Auskünfte werden durch Signtrust dokumentieren. Die Behörde, die um die Übermittlung der Daten ersucht, hat den Kunden über die Aufdeckung des Pseudonyms zu unterrichten, sobald dadurch die Wahrnehmung der gesetzlichen Aufgaben nicht mehr beeinträchtigt wird oder wenn das Interesse des Kunden an der Unterrichtung überwiegt. 

Was muss ich bei beschränkenden Attribut-Zertifikaten beachten?

Wenn Sie Inhaber eines beschränkenden Attribut-Zertifikates sind, müssen Sie Folgendes beachten: Für den Fall, dass ein Zertifikat Nutzungsbeschränkungen oder Angaben über Vertretungsmacht, berufsrechtliche oder sonstige Zulassungen enthält und diese Beschränkung im Zusammenhang mit den elektronisch signierten Daten Bedeutung hat, ist das beschränkende Zertifikat den Daten beizufügen und mit diesen zusammen elektronisch zu signieren. Die Beschränkungen der Attribut-Zertifikate können immer nur dann Wirkung entfalten, wenn Sie die relevanten Attribut-Zertifikate dem Empfänger übermittelt haben, damit dieser von ihnen Kenntnis erlangen kann. 

Wer kann meine elektronisch signierten Nachrichten und Daten lesen?

Elektronische Signaturen greifen auf Methoden der Verschlüsselung (Kryptographie) zurück, um die Integrität von Daten und Nachrichten und die Identität des Absenders festzustellen. Neben der elektronischen Signatur als dem verschlüsselten Hash-Wert der Daten und dem Zertifikat werden bei der Technik der elektronischen Signatur jedoch immer die Daten auch in Ihrer unverschlüsselten, originalen Form an den Empfänger übermittelt. Die Vertraulichkeit Ihrer Daten wird also durch die elektronische Signatur allein nicht geschützt. Die Signtrust Signaturkarte enthält jedoch neben dem Schlüsselpaar zum elektronischen Signieren noch zwei weitere asymmetrische Schlüsselpaare. Eines der beiden wird zum sicheren Verschlüsseln Ihrer Nachrichten und Daten verwendet. Die Funktion des Verschlüsselns ist sowohl zusammen mit der Funktion des elektronischen Signierens als auch für sich genommen zu verwenden. Das dritte Schlüsselpaar auf der Signtrust Signaturkarte dient der Authentisierung. Alle auf der Signtrust Signaturkarte vorhandenen Schlüssel werden nach den gleichen, strengen Sicherheitsanforderungen generiert. Die zu dem Verschlüsselungs- und Authentisierungsschlüsselpaar gehörenden Zertifikate werden ebenfalls in dem Verzeichnisdienst der Deutschen Post Com, Geschäfsfeld Signtrust geführt. 

Was muss ich im Umgang mit der individuellen PIN beachten?

Elektronisches Signieren ist nur möglich, wenn man den Signiervorgang durch Eingabe der mindestens sechstelligen PIN aktiviert. Wer im Besitz der PIN und der Signaturkarte ist, kann also elektronisch signieren! Die PIN ist daher von Ihnen unter allen Umständen geheim zu halten.Vermeiden Sie, dass jemand Ihre PIN erfährt - insbesondere bei der Eingabe der PIN besteht diese Gefahr. Sollte ein Dritter Kenntnis von Ihrer PIN erhalten haben oder wenn Sie die Vermutung haben, dass dieses geschehen ist, sollten Sie die PIN unverzüglich ändern. Achten Sie bei der Wahl Ihrer PIN darauf, dass es Dritten nicht möglich sein darf, die von Ihnen gewählte PIN aufgrund Ihres persönlichen Umfeldes zu erraten. Zahlen aus Ihrem persönlichen Umfeld (Geburtsdaten, Telefonnummern und Ähnliches) sollten daher nicht als PIN verwendet werden. Vermeiden Sie es, eine Zahl als PIN für unterschiedliche Anwendungen, Chipkarten oder Authentisierungsvorgänge zu verwenden. Um die hohen Sicherheitsanforderungen des Signaturgesetzes zu erfüllen, wird Ihre PIN bei Signtrust nicht gespeichert. Auch geht Ihnen die PIN für Ihre Signtrust Signaturkarte in zwei Teilen zu, um ein Höchstmaß an Sicherheit zu erreichen. Nach der dreimaligen Eingabe einer falschen PIN sperrt Ihre Chipkarte den Zugang zu dem privaten Schlüssel unwiederruflich, Sie können dann mit der Chipkarte nicht mehr elektronisch signieren! Vermeiden Sie daher bei der PIN Fehleingaben. 

Was muss ich beim Umgang mit der Signtrust Signaturkarte beachten?

Mit der Signtrust Signaturkarte erstellen Sie Ihre elektronischen Signaturen, Ihre persönliche elektronische Unterschrift. Im Umgang mit Ihrer Signtrust Signaturkarte sollten Sie daher Folgendes beachten:

  • Die Signtrust Signaturkarte ist von Ihnen ausschließlich diebstahlgesichert in persönlichem Besitz zu behalten und nicht an andere zu übergeben.
  • Sollten Sie Ihre Signtrust Signaturkarte einmal verlieren, müssen Sie umgehend eine Sperrung des Zertifikates vornehmen, das zu der Signaturkarte gehört. Diese Sperrung kann bei Signtrust telefonisch unter der Nummer:
(0800) 1 00 82 63 oder per Brief an die Anschrift:
Deutsche Post Com GmbH,
Geschäftsfeld Signtrust,
Postfach 10 01 13,
64202 Darmstadt vorgenommen werden. Die Sperrung eines Signaturschlüssel-Zertifikates zieht gemäß dem Signaturgesetz auch immer die Sperrung aller Attribut-Zertifikate nach sich.
  • Benutzen Sie Ihre Signtrust Signaturkarte nur mit Geräten, die Ihnen bekannt sind und von deren Zuverlässigkeit Sie sich überzeugt haben. Beachten Sie die Sicherheitshinweise und verwenden Sie alle Geräte und Programme nur gemäß deren Spezifikation und Dokumentation.
  • Benutzen Sie Ihre Signtrust Signaturkarte möglichst nur mit dafür zugelassenen und bestätigten Komponenten. Informationen über solche Komponenten erhalten Sie bei der BNetzA.
  • Sollte Ihre Signtrust Signaturkarte beschädigt sein, besteht die Möglichkeit, dass versucht wurde, Ihre Signtrust Signaturkarte zu manipulieren. Wenn Sie die Beschädigung nicht zuordnen können, nehmen Sie zur Sicherheit eine Sperrung des Signaturschlüssel-Zertifikates vor.

Wie lange ist eine elektronische Signatur gültig?

Die technische Entwicklung von elektronischen Geräten und Software schreitet stetig voran. Daher werden die Berechnungsroutinen und -parameter zur Erzeugung elektronischer Signaturen nur für einen bestimmten Zeitraum im Voraus als geeignet beurteilt und danach einer erneuten Prüfung unterzogen und wenn nötig den veränderten technischen Gegebenheiten angepasst. Wenn Sie die elektronisch signierten Daten über einen längeren Zeitraum in signierter Form benötigen, als den, für den von Ihnen zur Erzeugung und Prüfung eingesetzten Berechnungsroutinen und Parameter als geeignet beurteilt wurden, so müssen Sie diese Daten mit neuen Berechnungsroutinen und Parametern signieren, bevor der Sicherheitswert der vorhandenen elektronischen Signatur geringer wird. Die bereits bestehende elektronische Signatur der Daten ist dabei in die erneute Signatur einzuschließen. Außerdem sind die Daten im Zuge des erneuten elektronischen Signierens mit einem Zeitstempel zu versehen. Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BnetzA) veröffentlicht regelmäßig eine Übersicht der geeigneten mathematischen Verfahren und legt den Zeitpunkt fest, bis zu dem die Eignung gilt. Ein Zertifikat kann längstens fünf Jahre gültig sein. 

Was muss ich bei der Prüfung von elektronischen Signaturen beachten?

Sie werden nicht nur selbst elektronisch signieren, sondern auch elektronische Nachrichten und Daten von anderen erhalten, die von diesen elektronisch signiert wurden. Selbstverständlich werden auch Sie sichergehen wollen, dass die Absenderangaben dieser Nachrichten oder Daten korrekt sind und dass diese nicht auf dem Weg verändert wurden. Da Zertifikate und Attribut-Zertifikate ungültig werden oder gesperrt werden können, ist von Ihnen festzustellen, dass alle relevanten Zertifikate zum Zeitpunkt des elektronischen Signierens (Signaturerzeugung) gültig und nicht gesperrt waren. Die Gültigkeit der Zertifikate und Attribut-Zertifikate können Sie über den Verzeichnisdienst der Deutschen Post Com, Geschäftsfeld Signtrust überprüfen. Die Zertifizierungsstelle der Deutschen Post Com, ist verpflichtet, ausschließlich mit ungesperrten Zertifikaten zu unterzeichnen. Sollten Sie dennoch Zweifel haben, so können Sie diese Zertifikate bei der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) überprüfen lassen. Die Regulierungsbehörde bietet diesen Dienst über das Internet an. Hier können Sie auch überprüfen, ob das BNetzA-Zertifikat noch gültig ist. Weiterhin ist von Ihnen darauf zu achten, ob das Zertifikat Beschränkungen enthält. Wenn dieses der Fall ist, sollten Sie darauf achten, dass das entsprechende Signaturschlüssel-Zertifikat oder die relevanten Attribut-Zertifikate den Daten beigefügt sind und in die elektronische Signatur eingeschlossen wurden. Ebenfalls sollten Sie darauf achten, ob bei Daten, für die dieses wichtig ist, ein Zeitstempel angebracht wurde. 

Welchen Anforderungen müssen die technischen Komponenten zum elektronischen Signieren nach dem Signaturgesetz genügen?

Die Sicherheit der elektronischen Signatur wird im Falle der freiwillig akkreditierten Zertifizierungsdiensteanbieter (§§ 15 ff SigG) durch eine sehr strenge Prüfung aller technischen Gerätschaften, eingesetzter Programme und sogar der Beschäftigten eines Trustcenters sichergestellt. Daher müssen auch durch den Inhaber einer Signaturkarte zum Erstellen von elektronischen Signaturen, die den Anforderungen des deutschen Signaturgesetzes entsprechen sollen, sichere Geräte und Programme verwendet werden. Sicher sind Geräte und Programme, wenn sie von einer anerkannten Prüf- und Bestätigungsstelle evaluiert und nach dem Signaturgesetz bestätigt wurden (vergleiche: Die Infrastruktur für die digitale Signatur). Alle Produkte, die derartig geprüft und als sicher eingestuft wurden, werden im Bundesanzeiger veröffentlicht. Die Bundesnetzagentur (BNetzA) hält auf ihrer WWW-Seite www.bundesnetzagentur.de eine Liste mit allen bestätigten technischen Komponenten vor. Bitte schauen Sie dort nach, ob die von Ihnen verwendeten Die Sicherheit der elektronischen Signatur wird im Falle der freiwillig akkreditierten Zertifizierungsdiensteanbieter (§§ 15 ff SigG) durch eine sehr strenge Prüfung aller technischen Gerätschaften, eingesetzter Programme und sogar der Beschäftigten eines Trustcenters sichergestellt. Daher müssen auch durch den Inhaber einer Signaturkarte zum Erstellen von elektronischen Signaturen, die den Anforderungen des deutschen Signaturgesetzes entsprechen sollen, sichere Geräte und Programme verwendet werden. Sicher sind Geräte und Programme, wenn sie von einer anerkannten Prüf- und Bestätigungsstelle evaluiert und nach dem Signaturgesetz bestätigt wurden (vergleiche: Die Infrastruktur für die digitale Signatur). Alle Produkte, die derartig geprüft und als sicher eingestuft wurden, werden im Bundesanzeiger veröffentlicht. Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BnetzA) hält auf ihrer Internetseite www.bundesnetzagentur.de eine Liste mit allen bestätigten technischen Komponenten vor. Bitte schauen Sie dort nach, ob die von Ihnen verwendeten Geräte und Ihre Programme diesen Anforderungen entsprechen. Die Produkte und Programme (Signaturanwendungskomponenten), die Sie für die Erzeugung elektronischer Signaturen verweden, sind daher vor unbefugtem Zugriff zu schützen und nur innerhalb einer vertrauenswürdigen Umgebung einzusetzen. Achten Sie inbesondere darauf, dass sich auf dem Computer, mit dem Sie Ihre elektronische Signaturen erzeugen, keine Viren oder andere schädliche Programme wie trojanische Pferde oder Würmer befinden, die unter Umständen zu einer Beeinträchtigung der Sicherheits-Funktionen der elektronischen Signatur führen können. Auf den Internetseiten der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) können Sie nachsehen, für welche Anwendungen und Betriebssysteme die jeweiligen Signtrust Geräte und Programme evaluiert sind.

Wozu benötigt man elektronische Signaturen?

Die elektronischen Medien werden für unser Geschäfts- und auch Privatleben immer wichtiger. Dabei nimmt der Datenaustausch über Netzwerke inzwischen eine zentrale Stellung ein. Bei diesem Datenaustausch tritt die Situation auf, dass wir mit Personen kommunizieren und geschäftlich verkehren, die wir nicht kennen. Wir können nicht sicher sein, dass unser Kommunikationspartner wirklich derjenige ist, für den er sich ausgibt. Auch, dass die Daten so ankommen, wie sie abgesendet wurden, ist nicht sichergestellt. Solange wir jedoch kein Vertrauen in unsere Kommunikationspartner und in die Kommunikationsinhalte haben, ist ein wirklich rechtsverbindliches elektronisches Handeln nicht möglich. Auf die zwei wichtigen Fragen nach der Identität des Gegenübers und die Integrität der Inhalte bietet die Technik der elektronischen Signatur Antworten an. Sie ermöglicht, zweifelsfrei festzustellen, wer der tatsächliche Absender einer elektronischen Nachricht ist und ob die übermittelten Daten unversehrt angekommen sind oder unterwegs verändert wurden. Die Technik der elektronischen Signatur macht somit ein elektronisches Handeln mit voller Rechtskraft möglich: Der Absender einer Nachricht ist rechtskräftig feststellbar und der Inhalt der Nachricht kann im Streitfall bewiesen werden.

Signtrust SSL-Zertifikate

Welche Schlüssellänge soll Certificate Signing Request (CSR) beinhalten?

Bei der Beantragung von Signtrust SSL-Zertifikaten werden nur CSRs mit RSA-Schlüsseln und einer Schlüssellänge von 2048 Bit akzeptiert. Deshalb ist schon bei der Erstellung eines CSRs darauf zu achten, die Schlüssellänge von 2048 Bit zu wählen.

Warum wird eine telefonische Verifizierung (sog. Callback) des Domain-Inhabers vorgenommen?

Die Authentisierung von Domain und Domain-Inhaber bei Anträgen auf Herausgabe eines Signtrust SSL Premium- oder Signtrust SSL Wildcard-Zertifikats erfolgen nach den vom Certificate Authority and Browser Forum (CA/B-Forum) verabschiedeten Prüfungskriterien http://www.cabforum.org/Baseline_Requirements_V1.pdf. Nach diesen wird auch eine zusätzliche telefonische Verifizierung des Domain-Inhabers seitens des Zertifikatherausgebers Comodo CA Limited vorgenommen. Die Authentisierung von Domain und Domain-Inhaber bei Anträgen auf Herausgabe eines Signtrust SSL EV- oder Signtrust SSL EV SGC-Zertifikats erfolgen nach den vom Certificate Authority and Browser Forum (CA/B-Forum) verabschiedeten Extended Validation (EV) Prüfungskriterien http://www.cabforum.org/Guidelines_v1_3.pdf. Nach diesen wird auch eine zusätzliche telefonische Verifizierung des Domain-Inhabers seitens des Zertifikatherausgebers Comodo CA Limited vorgenommen.  Über die oben genannten Prüfungsstandards und deren Erweiterung um die zusätzliche telefonische Verifizierung wird für den Domain-Inhaber und -Besucher noch mehr Sicherheit in der Webkommunikation gewährleistet.

Wie wird der Callback bei Signtrust SSL EV-Zertifikaten vorgenommen?

Die Authentisierung von Domain und Domain-Inhaber bei Anträgen auf Herausgabe eines Signtrust SSL EV- oder Signtrust SSL EV SGC-Zertifikats erfolgen nach den vom Certificate Authority and Browser Forum (CA/B-Forum) verabschiedeten Extended Validation (EV) Prüfungskriterien http://www.cabforum.org/Guidelines_v1_3.pdf . Nach diesen wird auch eine zusätzliche telefonische Verifizierung (sog. Callback) des Domain-Inhabers seitens des Zertifikatherausgebers Comodo CA Limited vorgenommen. Der Callback erfolgt in folgenden Schritten:   

  • Der Antragssteller sowie die bestätigende Person des Domain-Inhabers werden auf die im SSL Online-Antrag angegebenen Telefonnummern angerufen. Gegebenfalls wird auch der zuständige Personalverantwortliche des  Domain-Inhabers telefonisch kontaktiert, um den Antragssteller bzw. die bestätigende Person als die im Auftrag des Domain-Inhabers handelnde Personen zu bestätigen. Die Telefonnummer muss beim Domain-Inhaber registriert und über eines der öffentlich zugänglichen Verzeichnisse (dastelefonbuch.de, gelbeseiten.de, dasoertliche.de, upik.de, dnb.com oder hoovers.com) nachweisbar sein. Sollte der Nachweis über öffentlich zugängliche Verzeichnisse nicht möglich sein, kann dieser über die Kopie der Telefonrechnung des Domain-Inhabers erbracht werden.
  • Die telefonische Verifizierung wird für jeden SSL EV-Antrag vorgenommen.  
Über den oben genannten Prüfungsstandard und seine Erweiterung um den Callback wird für den Domain-Inhaber und -Besucher noch mehr Sicherheit in der Webkommunikation gewährleistet. 

Wie wird der Callback bei Signtrust SSL Premium- und Wildcard-Zertifikaten vorgenommen?

Die Authentisierung von Domain und Domain-Inhaber bei Anträgen auf Herausgabe eines Signtrust SSL Premium- oder Signtrust SSL Wildcard-Zertifikats erfolgen nach den vom Certificate Authority and Browser Forum (CA/B-Forum) verabschiedeten Prüfungskriterien http://www.cabforum.org/Baseline_Requirements_V1.pdf. Nach diesen wird auch eine zusätzliche telefonische Verifizierung (sog. Callback) des Antragsstellers seitens des Zertifikatherausgebers Comodo CA Limited vorgenommen. Der Callback erfolgt in folgenden Schritten: 

  •  Für den Callback wird die im SSL Online-Antrag eingegebene Telefonnummer (diese ist im Feldblock „technischer Ansprechpartner“ einzugeben) verwendet.
  • Die eingegebene Telefonnummer muss beim Domain-Inhaber registriert und über eines der folgenden öffentlich zugänglichen Verzeichnisse (dastelefonbuch.de, gelbeseiten.de, dasoertliche.de, upik.de, dnb.com oder hoovers.com) nachweisbar sein. Üblicherweise ist die zentrale Telefonnummer des Domain-Inhabers in einem Verzeichnis registriert. Dieselbe Telefonnummer ist auch im Online-Antrag einzugeben, damit sie erfolgreich verifiziert werden kann. Sollte der Nachweis über öffentlich zugängliche Verzeichnisse nicht möglich sein, kann dieser über die Kopie der Telefonrechnung des Domain-Inhabers erbracht werden.
  • Zertifizierungsherausgeber Comodo verifiziert, ob die angegebene Telefonnummer des Domain-Inhabers in einem der oben genannten Verzeichnisse registriert ist. Sofern sie erfolgreich verifiziert werden konnte, wird eine Callback E-Mail an die im SSL Online-Antrag eingegebene E-Mail-Adresse des technischen Ansprechpartners versendet.
  • In der Callback E-Mail ist das weitere Verfahren beschrieben. Die bereitgestellten Links führen zur Comodo Seite, auf der der Callback mit der Wahl zwischen einem automatischen (automatische Ansage des 6-stelligen Callback Codes) oder einem manuellen Anruf (Anruf eines Comodo Mitarbeiters) initiiert werden kann. Des Weiteren gibt es die Möglichkeit, die Nebenstelle vor Initiierung des Anrufs einzugeben sowie den Zeitpunkt des Anrufs festlegen. Falls die verifizierte Telefonnummer nicht korrekt sein sollte, gibt es die Möglichkeit eine neue einzugeben. Diese muss allerdings über eines der oben aufgeführten Verzeichnisse nachweisbar sein.
  • Nach dem Erhalt des 6-stelligen Callback Codes ist dieser auf der oben genannten Comodo Seite einzugeben, womit der SSL-Antrag telefonisch verifiziert und das Callback Verfahren abgeschlossen wird. 
Über den oben genannten Prüfungsstandard und seine Erweiterung um die zusätzliche telefonische Verifizierung wird für den Domain-Inhaber und -Besucher noch mehr Sicherheit in der Webkommunikation gewährleistet.

Was ist ein Signtrust SSL Wildcard-Zertifikat?

Mit einem Signtrust SSL Wildcard-Zertifikat können Sie beliebig viele Subdomains einer Domain mit nur einem Wildcard-Zertifikat absichern (z. B. mail.beispieldomain.de, ftp.beispieldomain.de, support.beispieldomain.de etc.) Da hierfür nur ein einzelnes Wildcard-Zertifikat benötigt wird, stellt dies für viele Unternehmen und Organisationen eine kosteneffiziente Lösung dar. Ein Wildcard-Zertifikat enthält immer eine Wildcard (*) (deutsch: Platzhalter) im Common Name des Zertifikats (z. B. *.beispieldomain.de). Diese Wildcard repräsentiert eine beliebige Anzahl an Subdomains und führt gleichzeitig zur Namensgebung bei diesem Zertifikatstyp. Bei Erstellung des Certificate Signing Requests (CSR) für ein Wildcard-Zertifikat ist deshalb darauf zu achten, dass der Common Name eine Wildcard (*) enthalten muss. Mit einem Wildcard-Zertifikat können Sie auch Domains, die auf unterschiedlichen Servern (physikalischen oder virtuellen Servern) verwaltet werden, mit dem gleichen Wildcard-Zertifikat absichern. Für jeden weiteren Server, auf dem das Wildcard-Zertifikat eingesetzt werden soll, haben Sie die Möglichkeit, eine zusätzliche Serverlizenz zu erwerben. Dies können Sie komfortabel bei der Beantragung in unserem SSL Online-Antrag angeben. Über die Exportfunktion der im Einsatz befindlichen Webserver-Software lassen sich der Privatschlüssel sowie das Wildcard-Zertifikat mit dem öffentlichen Schlüssel einfach exportieren und auf den zusätzlichen Servern über die Importfunktion der dort im Einsatz befindlichen Webserver-Software einbinden. 

Was ist ein Trustlogo und wie erhalte ich dieses?

Ein Trustlogo ist eine spezielle Grafik, die es Ihnen ermöglicht, die Sicherheit und Vertrauenswürdigkeit Ihrer Website zu untermauern. Diese Grafik wird einfach auf Ihrer Webseite integriert und erlaubt Ihren Webseiten-Besucher, die Authentizität Ihrer Webseite zu überprüfen. Beim Anklicken der Grafik oder deren Berühren mit der Maus werden die Details zu der Webseite (URL) und dem Webseiteninhaber (Name und Adresse sowie Kontaktinformationen) angezeigt. Das Trustlogo sorgt somit für Transparenz und den Abbau von Sicherheitsbedenken und Hemmschwellen bei Ihren Webseiten-Besuchern bzw. Kunden. Mit jedem erworbenen SSL-Zertifikat erhalten Sie ein kostenfreies Trustlogo zum Einbinden auf Ihrer Webseite. Dabei stehen Ihnen unterschiedliche Trustlogos zur Auswahl. Die E-Mail, mit der Ihnen das ausgestellte SSL-Zertifikat zugestellt wird, enthält Informationen zur Installation des Trustlogos.

Was ist ein Extended Validation (EV) SSL-Zertifikat?

Ein Extended Validation (EV) SSL-Zertifikat (deutsch: "Zertifikat mit erweiterter Überprüfung") ist ein SSL-Zertifikat, dessen Ausstellung an die erweiterten Prüfungskriterien der EV SSL-Richtlinien des CA/Browser Forums geknüpft sind.

Das CA/Browser Forum ist ein Zusammenschluss führender Zertifizierungsstellen (CAs) und Browser-Anbieter, das im Jahr 2006 mit den EV SSL-Richtlinien hohe Prüfungsstandards für die Zertifikatsausstellung verabschiedet hat. Gemäß dieser Prüfungsstandards wird zum Beispiel jeder SSL-Antrag im Anschluss auch telefonisch bestätigt.

Die URL-Adressleiste der mit einem EV SSL-Zertifikat abgesicherten Webseite ist grün unterlegt, zeigt zudem den Namen des Domain-Inhabers sowie der herausgebenden Zertifizierungsstelle und untermauert dadurch die Vertrauenswürdigkeit der Webseite für die Webseiten-Besucher.

Wie lange dauert die Ausstellung eines Signtrust SSL-Zertifikats?

Die Ausstellung von Signtrust SSL-Zertifikaten dauert in der Regel 1-2 Werktage, sofern die folgenden Voraussetzungen erfüllt sind: 

  • Antragsdaten wurden über den SSL Online-Antrag korrekt übermittelt und der Nachweis zur Authentisierung des Domain-Inhabers Signtrust vorgelegt.
  • Die Zertifizierungsstelle konnte die Authentisierung der Domain und des Domain-Inhabers auf Basis der übermittelten Antragsdaten und des Nachweises erfolgreich durchführen.
Die Ausstellung von Signtrust SSL EV-Zertifikaten kann aufgrund der in den Extended Validation SSL Richtlinien festgelegten zusätzlichen Prüfungsanforderungen (z. B. telefonische Bestätigung des SSL-Antrags) mehr Zeit erfordern. In der Regel erhalten Sie ein Signtrust SSL EV-Zertifikat innerhalb einer Woche, sofern die folgenden Voraussetzungen erfüllt sind:
  • Antragsdaten wurden über den SSL Online-Antrag korrekt übermittelt und das unterzeichnete EV-Antragsformular zur Authentisierung des Domain-Inhabers Signtrust vorgelegt.
  • Die Zertifizierungsstelle konnte die Authentisierung der Domain und des Domain-Inhabers auf Basis der übermittelten Antragsdaten und des EV-Antragsformulars erfolgreich durchführen.

Habe ich die Möglichkeit, ein Signtrust SSL-Zertifikat zu ersetzen?

Sie haben die Möglichkeit, ein bezogenes Signtrust SSL-Zertifikat unter bestimmten Bedingungen gegen eine einmalige Gebühr von 25,00 EUR (zzgl. gesetzlicher Umsatzsteuer) zu ersetzen. Hierfür gelten die folgenden Bedingungen:

  • Der Privatschlüssel ist beschädigt oder verloren,
  • der Name der Domain hat sich geändert oder
  • eine andere Webserver-Software wird genutzt.
Die Laufzeit des Ersatzzertifikats bleibt dabei unverändert und entspricht der Laufzeit des ersetzten Ursprungzertifikats. Das Ersatzzertifikat sowie das Trustlogo werden Ihnen per E-Mail zugesandt. Für die Beantragung eines Ersatzzertifikats nutzen Sie bitte unseren SSL Ersatz-Online-Antrag. Im Falle der Änderung des Domain-Inhabers (sein Name und/oder seine Adresse hat sich geändert) ist eine Neubestellung des SSL-Zertifikats erforderlich. 

Wie wird ein Certificate Signing Request (CSR) erstellt?

Ein CSR erstellen Sie mit Ihrer Webserver-Software. Je nach der im Einsatz befindlichen Webserver-Software kann die Vorgehensweise zu Erstellung eines CSR unterschiedlich sein. Ausführliche Anleitungen zur Erstellung eines CSR für die gängige Webserver-Software finden Sie im Support-Bereich unseres Partners Comodo.
In unserem SSL Online-Antrag finden Sie auch den Link zum CSR Decoder-Tool von Comodo, mit dessen Hilfe Sie den erstellten CSR vor der Übermittlung noch überprüfen können. Über folgenden Link können Sie auch auf das Comodo CSR Decoder-Tool zugreifen.

Was ist ein Certificate Signing Request (CSR)?

Certificate Signing Request (CSR) (deutsch: Zertifikatsanforderung des Servers) ist eine Textzeichenfolge, die mit der Webserver-Software erstellt wird, mit der die abzusichernde Domain verwaltet wird. Der CSR ist für die Ausstellung eines SSL-Zertifikats unabdingbar und wird typischerweise von einem IT-Administrator erstellt. Neben dem öffentlichen Schlüssel enthält ein CSR weitere strukturierte Daten wie den Namen der abzusichernden Domain, den Domain-Inhaber sowie seine Adresse. Mit dem SSL-Zertifikat werden diese Daten mit dem öffentlichen Schlüssel verbunden und der Inhaber des öffentlichen Schlüssels somit eindeutig bestätigt. Vor dem Antrag auf ein SSL-Zertifikat müssen Sie sicherstellen, dass der CSR mit Ihrer Webserver-Software erzeugt wird. Erst danach können Sie ein SSL-Zertifikat über unseren SSL Online-Antrag beantragen. Dabei wird die Textzeichenfolge in einem entsprechenden Feld eingegeben. WICHTIG: Es werden nur CSRs mit RSA-Schlüsseln und einer Schlüssellänge von 2048 Bit akzeptiert. 

Wie erhalte ich einen technischen Support?

Zu jedem erworbenen Signtrust SSL-Zertifikat steht Ihnen ein kostenloser technischer Support unseres Partners und Zertifikatsherausgebers Comodo zur Verfügung. Diesen erhalten Sie auf telefonischem Wege oder über den Support-Bereich mit dem umfangreichen Supportangebot wie Support-Ticket, Knowledgebase, Live Chat etc. Wir empfehlen die Einstellung eines Service-Tickets, bei dem Sie beispielsweise auch einen Screenshot zur besseren Veranschaulichung des technischen Problems hochladen können. Halten Sie bitte dabei zwecks Antragszuordnung die Ihnen per E-Mail übermittelte Antragsnummer oder den Namen der abzusichernden Domain bereit. Die Kontaktinformationen zum technischen Support von Comodo entnehmen Sie bitte unserem Support/Infocenter.

Was sind die Bedingungen für die Ausstellung eines Signtrust SSL-Zertifikats?

Bei Signtrust SSL-Zertifikaten handelt es sich um domain- und organisationsgeprüfte SSL-Zertifikate, die hohen Sicherheitsanforderungen genügen. Die Bedingung für die Ausstellung eines SSL-Zertifikats ist eine erfolgreiche Authentisierung der Domain und des Domain-Inhabers (Unternehmen, staatliche oder sonstige Organisation, Privatpersonen). Die Überprüfung der Domain und des Domain-Inhabers wird durch die Zertifizierungsstelle unseres Kooperationspartner Comodo CA Limited vorgenommen. Erst nach einer erfolgreichen Authentisierung der Domain und des Domain-Inhabers wird ein SSL-Zertifikat durch die Zertifizierungsstelle ausgestellt. Beachten Sie bitte folgende wichtige Hinweise für eine erfolgreiche Authentisierung der Domain und des Domain-Inhabers: Authentisierung der Domain
Damit die Authentisierung der Domain erfolgreich durchgeführt werden kann, müssen die im SSL Online-Antrag eingegebenen Daten zu Ihrer Domain mit den aktuellen korrespondierenden WHOIS-Daten der Registrierungsstelle (z. B. DENIC oder ICANN) übereinstimmen. Folgende Daten müssen übereinstimmen:

  • Name der Domain/Webseite
  • Name und Adresse des Domain-Inhabers
  • E-Mail-Adresse des technischen Ansprechpartners der Domain.
WICHTIG: Es ist zwingend erforderlich, dass die WHOIS-Daten aktuell sind; d.h. dass der dort eingetragene Name, die Adresse und der technische Ansprechpartner des Domains-Inhabers korrekt und mit einem offiziellen Dokument nachweisbar sind. Hinweise zum korrekten Ausfüllen des Antrags finden Sie auch auf den entsprechenden Seiten des SSL Online-Antrags. Authentisierung des Domain-Inhabers
Durch einen entsprechenden Nachweis wird die Identität des Domain-Inhabers (Unternehmen, staatliche oder sonstige Organisation oder Privatperson) belegt. Damit die Authentisierung des Domain-Inhabers erfolgreich durchgeführt werden kann, müssen der Name und die Adresse des Domain-Inhabers aus dem Nachweis mit dem Namen und der Adresse des Domain-Inhabers aus dem SSL Online-Antrag sowie der Registrierungsstelle (WHOIS-Daten aus DENIC oder ICANN etc.) übereinstimmen. 

Auf welchem Wege und in welchen Formaten können Nachweise zur Authentisierung vorgelegt werden?

Sie können uns Nachweise bzw. das unterzeichnete EV-Antragsformular (bei Bestellung von Signtrust EV SSL-Zertifikaten) per E-Mail oder Fax zusenden. Bei Zusendung per E-Mail können nur Dokumente im PDF- oder TIFF-Format akzeptiert werden. Bitte verwenden Sie folgende E-Mail-Adresse für die Zusendung von Dokumenten: ssl@support.signtrust.de. Um die Zuordnung zugesandter Dokumente zu Ihrem Antrag zu ermöglichen, ist die Angabe der Antragsnummer im E-Mail-Betreff erforderlich. Bei Zusendung per Fax verwenden Sie bitte folgende Faxnummer: 06151 908-8530. Um die Zuordnung zugesandter Dokumente zu Ihrem Antrag zu ermöglichen, ist das Beifügen des Deckblattes, das nach Beantragung im SSL Online-Antrag ausgegebenen wird und eine aufgedruckte Antragsnummer enthält, erforderlich. Die Beschreibung der Vorgehensweise bezüglich der Zusendung von Dokumenten finden Sie auch in der Schritt-für-Schritt-Anleitung, die ebenfalls nach Beantragung im SSL Online-Antrag ausgegebenen wird. 

Werden gesonderte Nachweise zur Authentisierung des Domaininhabers bei Regierungsorganisationen, öffentlichen oder gemeinnützigen Einrichtungen gefordert?

Ein Großteil der hier veröffentlichten zulässigen Nachweise sind auch zur Authentisierung der Regierungsorganisationen, öffentlichen oder gemeinnützigen Einrichtungen zulässig. Alternativ kann uns auch ein entsprechendes Autorisierungsschreiben der Organisation vorgelegt werden. Die Informationen zu den erforderlichen Angaben des Autorisierungsschreibens können Sie ebenfalls dem obenstehenden Link entnehmen.

Werden gesonderte Nachweise zur Authentisierung des Domaininhabers bei Privatpersonen gefordert?

Zur Authentisierung von Privatpersonen sind mindestens zwei Nachweise erforderlich. Neben der Personalausweis- oder Reisepasskopie ist ein weiterer Nachweis (z. B. Kopie des Gewerbescheins, Kopie der Strom-, Gas- oder Wasserrechnung) erforderlich. Sollte die Adresse im Personalausweis oder Reisepass nicht mit der im SSL Online-Antrag übermittelten sowie in der Domain-Registrierungsstelle (WHOIS-Daten) registrierten Adresse übereinstimmen, dann ist die Vorlage eines weiteren Nachweises erforderlich. WICHTIG: Es ist zwingend erforderlich, dass die WHOIS-Daten aktuell sind; d.h. der dort eingetragene Name und die Adresse des Domains-Inhabers korrekt und mit einem offiziellen Dokument nachweisbar sind. Hier erfahren Sie Einzelheiten zu den Voraussetzungen für eine erfolgreiche Authentisierung sowie die zulässigen Nachweise.

Welche Nachweise sind zur Authentisierung des Domaininhabers bei Beantragung eines Signtrust SSL EV-Zertifikats zulässig?

Bei Beantragung eines SSL EV-Zertifikats ist zur Authentisierung des Domaininhabers die Vorlage des EV-Antragsformulars erforderlich, das nach dem Ausfüllen des SSL Online-Antrags als PDF-Ausdruck ausgegeben wird. Dieses ist ggf. handschriftlich zu vervollständigen, vom Antragsteller zu unterzeichnen und an die im PDF-Ausdruck angegebene E-Mail-Adresse oder Faxnummer zu senden. Ein zusätzlicher Nachweis kann in seltenen Fällen angefordert werden. Die Identitätsüberprüfung des Domain-Inhabers wird gemäß der vom CA/Browser Forum verabschiedeten Extended Validation SSL Richtlinien durchgeführt, die zusätzlich einen telefonischen Anruf beim Domain-Inhaber vorsehen, mit dem der Antrag auf Herausgabe des SSL EV-Zertifikats abschließend bestätigt wird. 

Welche Nachweise sind zur Authentisierung des Domain-Inhabers zulässig?

Bei Beantragung der Zertifikatsprodukte Signtrust SSL Premium oder Signtrust SSL Wildcard belegen Sie mit einem entsprechenden Nachweis, dass es sich bei dem Antragssteller um den Domain-Inhaber handelt. Domain-Inhaber können Unternehmen, staatliche oder sonstige Organisationen oder auch Privatpersonen sein. Hier finden Sie die zur Authentisierung des Domain-Inhabers zulässigen Nachweise.
Es reicht die Vorlage eines Nachweises aus, um die Identität des Domaininhabers belegen zu können. In seltenen Fällen kann gegebenenfalls ein zweiter Nachweis angefordert werden. Zur Authentisierung von Privatpersonen sind mindestens zwei Nachweise erforderlich. Bei Beantragung eines SSL EV-Zertifikats ist die Vorlage eines unterzeichneten EV-Antragsformulars, das nach dem Ausfüllen des SSL Online-Antrags ausgegeben wird, ausreichend. Ein zusätzlicher Nachweis kann in seltenen Fällen angefordert werden. 

Wie ist die Vorgehensweise für die Ausstellung eines Signtrust SSL-Zertifikats?

Für die Ausstellung Ihres SSL-Zertifikats sind folgende 3 Schritte erforderlich:

  • Zertifikatsanforderung des Servers (CSR) erzeugen
  • SSL Online-Antrag ausfüllen
  • Domaininhaber nachweisen
Die jeweiligen Schritte sind ausführlich in unseren 3 Schritten zum SSL-Zertifikat beschrieben. Darüber hinaus sind diese Informationen auch auf der ersten Seite unseres SSL Online-Antrags bereitgestellt. 

Was ist der Nutzen von SSL-Zertifikaten?

Noch immer existieren bei vielen Internetnutzern Bedenken, ihre vertrauliche Daten über das Internet auszutauschen - und das, obwohl Online-Einkauf oder Online-Banking alltäglich geworden sind. Zu groß sind die Ängste, dass vertrauliche Informationen in die falschen Hände geraten könnten. SSL-Zertifikate schaffen hier Vertrauen. SSL-Zertifikate beruhen auf der Secure Sockets Layer-Technologie (SSL), einer hybriden Verschlüsselungstechnologie, die eine sichere Verbindung zwischen einer Webseite und einem Browser ermöglicht und auf diese Weise die Vertraulichkeit, Authentizität und Integrität der ausgetauschten Daten sicherstellt. SSL-Zertifikaten sorgen damit für die sichere Webkommunikation und mehr Vertrauen bei Besuchern und Kunden, das zugleich ein wichtiges Kaufkriterium im E-Commerce darstellt. Anhand des dargestellten Schloss-Symbols in der URL-Adresszeile des Browsers (bzw. Statuszeile) ist direkt erkennbar, dass auf einer Website ein SSL-Zertifikat eingesetzt wird. Beim Einsatz der Extended Validation (EV) SSL-Zertifikate ist die URL-Adressleiste zusätzlich grün unterlegt und somit für den Besucher als sichere Webseite noch leichter zu erkennen. Seit der Version 3.1 wird die SSL-Technologie unter dem neuen Namen TLS (Transport Layer Security) weiterentwickelt und standardisiert. Die Bezeichnung SSL wird im Markt im Zusammenhang mit Zertifikaten jedoch häufiger verwendet, weshalb auch bei uns SSL als Synonym für TLS seine Verwendung findet.

Support-Bereich

Qualifizierte Signatur mit dem Neuen Personalausweis nPA


Signtrust wird weder kurz- noch mittelfristig herunter ladbare Zertifikate für die Unterschriftsfunktion (qualifizierte Signatur nach dem SigG) des nPA anbieten. Es ist uns auch kein Trustcenter bekannt, dass zeitnah vor hat dieses anzubieten. Zum qualifizierten Signieren empfehlen wir die bewährte Signtrust Card.

Weitere Informationen finden Sie auf folgenden Seiten:
Der nPA und seine Funktionen: http://www.personalausweisportal.de/
eID-Service und Berechtigungszertifikate bei Signtrust: http://www.deutschepost.de/dpag?tab=1&skin=hi&check=yes&lang=de_DE&xmlFile=link1022943_1022939
Signaturkarten für qualifizierte Signaturen: http://www.signtrust.de/

Zeitstempeldienst in OpenLimit Sign Cubes und Intarsys Sign Live einbinden

 OpenLimit Sign Cubes Sie können die Datei durch einen externen Zeitstempeldienst (z.B. unseren: http://tsp.signtrust.de/tsp/dpcom) per Rechtsklick -> Openlimit Sign Cubes -> Zeitstempel erzeugen mit einem Zeitstempel versehen. Openlimit sollte unseren Zeitstempeldienst kennen und zur Auswahl anbieten. 
Wenn Sie immer mit Zeitstempel signieren möchten, können Sie per Rechtsklick auf das Openlimit-Symbol in der Taskbar neben der Uhr unter Einstellungen -> Reiter Allgemein -> "Signaturen automatisch mit Zeitstempel versehen" aktivieren. Sign Live! CC
Unter "Extras" -> "Einstellungen" fügen Sie bei "Zeitstempeldienste" zunächst unseren Server "http://tsp.signtrust.de/tsp/dpcom" hinzu. 
Dann können Sie bei "Extras" -> "Einstellungen" unter "Signaturen" -> "Signaturerstellung" bei den Varianten PDF und PKCS#7 "Zeitstempel einfügen" aktivieren und der vorher angelegte Server sollte automatisch angeboten werden.
Nun sollten Sie mit intarsys Sign Live! CC automatisch mit Zeitstempeln der DPCom signieren, anstatt mit lokaler Systemzeit. 

ELSTER Online mit Signtrust Signaturkarten

ELSTER Online benötigt einen Schnittstellentreiber (pkcs#11), um auf Signaturkarten von Signtrust zugreifen zu können. Bitte laden Sie den OPENLiMiT® Reader 2.5 und installieren Sie ihn. Nach einem möglicherweise nötigen Neustart sollten alle nötigen Dateien vorliegen und ELSTER Online ihre Signatur-Karte nutzen können.  Bitte bachten Sie, das Openlimit diese Funktion nur für ELSTER Online kostenlos zur Verfügeung stellt. Für andere Anwendungen benötigen Sie in der Regel eine Vollversion.

Signieren von Emails mittels Signtrust-Karten

Uns sind keine von der Bundesnetzagentur zugelassenen Softwarekomponenten bekannt, die E-Mails qualifiziert signieren können. Nach unserem Wissen, können nur Dateien entsprechend signiert werden. Wir bieten auch nur Support für den gesetzlich geregelten qualifizierten Bereich an. Für das Signieren von E-Mails können Sie das fortgeschrittene Authentisierungszertifikat verwenden. OpenLimit bietet hier Lösungen für an. Aber auch dort ist beim Empfänger der einmalige Import der Ausstellerzertifikate notwendig. Bei weiteren Fragen dazu wenden Sie sich bitte an OpenLimit. Wir empfehlen die Verwendung von Softwarezertifikaten durch unseren Partner Allgeier

Signaturvalidierung unter Windows / mit Acrobat

Windows und Acrobat sind keine von der Bundesnetzagentur zertifizierten Signatur-Validierer. Sie können mit von Signtrust ausgestellten Zertifikaten signierte Dateien nicht validieren, da sie nicht die für qualifizierte Signaturen verwendeten Ausstellerzertifikate kennen. Diese können manuell aus dem ZIP ZDA_DP_Com_2048_komplett.zip nachinstalliert werden. Für unsere Zertifikate sind 12R-CA_PN.cer, CA_DP_Com_13_PN.cer und CA_DP_Com_7_PN.cer wichtig. Diese können sie mittels Rechtsklick >> "Zertifikat installieren" in Windows importieren. Dann sollte Acrobat auch die qualifizierten Zertifikate prüfen können. Es ist einfacher und rechtlich sicherer spezielle kostenfreie Signatur-Validierer wie https://signaturpruefung.secunet.com/ (online), Sign Live! CC Validate oder OpenLimit Reader zu verwenden, wenn man keine Vollversion einer entsprechenden Signaturanwendung besitzt.  

Wenn Sie weitere Hilfe benötigen:

Sollte Ihnen diese FAQ nicht weiterhelfen können Sie auch unser Supportteam direkt kontaktieren. Die zuverlässigste Variante ist über unser Kontaktformular.Bitte vergessen Sie nicht - falls vorhanden - Antragsnummer der betroffenen Karte und den Namen des Karteninhabers anzugeben. Alternativ können Sie Montags bis Freitags 09:00 bis 17:00 Uhr unter 0700-744-687878 (12ct/Minute, Mobilfunk kann abweichen) unseren telefonischen Support erreichen.