A-SIT Secure Information Technology Center – Austria

Statusabfrage und Details von Zertifikaten

Der Status eines Zertifikates wird automatisch durch einen Doppelklick auf das Zertifikat im Suchergebnis (siehe Suche) geprüft. Alternativ kann ein Zertifiakt über Datei → Zertifikat öffnen… aus einer Datei geladen und überrüft werden. Das Ergebnis bezieht sich dabei auf jenen Zeitpunkt, der als Prüfzeitpunkt angegeben wurde. Zusätzlich werden CRL– und OCSP-Informationen abgefragt sowie eine Verifikation basierend der EU Trusted Lists of Certification Service Providers (TSL) (siehe TSL) durchgeführt. Bitte beachten Sie, dass es nicht sinnvoll ist, Prüfungen für zukünftige Zeitpunkte durchzuführen, da insbesondere CRL– und/oder OSCP-Informationen nicht verfübar sein könnten.

Ob ein Zertifikat als gültig angesehen wird, hängt von mehreren Faktoren ab. Tatsächlich werden zwei voneinander getrennte Verifikationsprozesse ausgeführt: Zum einen werden die manuell konfigurierbaren Trust Anchor (siehe Konfiguration) herangezogen; nachdem diese immer manuell konfiguriert werden können, ist es auch möglich bereits abgelaufene Ausstellerzertifikate für eine Verifikation heranzuziehen.
Zusätzlich wird unabhängig davon eine Verifikation auf Basis der EU Trusted Lists of Certification Service Providers durchgeführt. Daher kann es zu widersprüchlichen Resultaten kommen.

Wie in der obigen Abbildung ersichtlich, werden Zertifikatsdetails in Form einer interaktiven Tabelle dargestellt. Durch einen Klick auf eine Zeile, kann der Wert eines Attributs im Detail eingesehen werden. Unterhalb dieser Tabelle wird der Gültigkeitsstatus des Zertifikats angezeigt.

CRL Informationen

Sofern CRL Informationen verfügbar sind werden diese im Detail angezeigt:

Status: Gibt Aufschluss über den Widerrufsstatus des Zertifikats.
Widerrufszeitpunkt: Falls das Zertifikat Widerrufen wurde, wird der Widerrufszeitpunkt hier angezeigt.
nextUpdate: Gibt den spätestmöglichen Zeitpunkt an, zu dem vom Zertifizierungsdiensteanbieter eine neue Widerrufsliste herausgegeben wird. Gleichzeitig endet damit auch die Gültigkeit der aktuellen Widerrufsliste.

Weiters kann die verwendete Widerrufsliste durch einen Klick auf den Button Widerrufsliste speichern lokal gespeichert werden. Zusätzlich kann auch manuell eine URL angegeben werden, über die eine Widerrufsliste bezogen werden soll.

OCSP Informationen

Status: Gibt Aufschluss über den Widerrufsstatus des Zertifikats.
Widerrufszeitpunkt: Falls das Zertifikat widerrufen wurde, scheint hier der Widerrufszeitpunkt auf.
nextUpdate: Gibt den spätestmöglichen Zeitpunkt an, ab dem neue Statusinformationen verfügbar sein werden.
thisUpdate: Gibt den Zeitpunkt an, für den die erhaltene Statusinformation gültig ist.
archiveCutOff: Gibt den frühestmöglichen Zeitpunkt an, für den Widerrufsinformationen verfügbar sind.

Die zur Prüfung verwendete CRL– und OCSP-URL wird aus dem zu prüfenden Zertifikat ausgelesen. Sollten im Zertifikat keine URLs gegeben sein, werden die URLS (falls vorhanden) aus der Konfiguration entnommen. Zusätzlich ist es auch hier möglich, manuell eine OCSP-URL einzugeben.

TSL-basierte Verifikation

Parallel zur Verifikation auf Basis manuell konfigurierter Trust-Anchor, wird auch TSL-basierte Verifikation unterstützt. Um die Gültigkeit eines Zertifikats basierend auf TSL-Informationen zu ermitteln, werden folgende Schritte druchgeführt:

Der Status der EU Toplevel-TSL wird auf Basis festgelegter EU-Trust-Anchor ermittelt.
der Vertrauensstatus des Landes, für welches das zu Prüfende Zertifikat ausgestellt wurde, wird auf Basis der Toplevel-TSL ermittelt.
Die Gültigkeitsperiode des zu prüfenden Zertifikats wird (ohne CRL– und OCSP-Status) ermittelt.
Die Ausstellerinformation wird aus dem Zertifikat ausgelesen.
Die Gültigkeitsperiode des Ausstellerzertifikat wird ermittelt (inklusive CRL– and OCSP-Status).
Der Vertrauensstatus des Ausstellerzertifikats wird auf Basis der EU Trusted Lists of Certification Service Providers und der darin deklarierten vertrauenswürdigen Services geprüft.
Ein Service wird als gültig bzw. vertrauenswürdig angesehen, wenn zumindest eines der zugehörigen Zertifikaten gültig bzw. vertrauenswürdig ist.
Ein Serviceprovider wird als gültig bzw. vertrauenswürdig anerkannt, wenn zumindest einer der zugehörigen Services gültig bzw. vertrauenswürdig ist.

Aus dieser Prüfstrategie ergibt sich eine Vertrauenskette ausgehend von der EU Toplevel-TSL bis hin zum zu prüfenden Zertifikat. Ein grüner Indikator signalisiert, dass ein Glied der Kette vertrauenswürdig/gültig ist, wohingegen rot Ungültigkeit bzw. nicht gegebener Vertrauenswürdigkeit entspricht. Knoten, welche Zertifikaten entsprechen, können mittels Doppelklick im Detail betrachtet werden. Die entsprechenden Zertifikatsdetails werden in einem separaten Fenster angezeigt. Dort besteht die Möglichkeit das angezeigte Zertifikat zu speichern.

Automatische Zertifikatsprüfung

Durch einen Klick auf Konfiguration → Einstellungen kann ausgewählt werden, ob eine automatische Prüfung der ersten 3/10/20 Suchergebnisse erfolgen soll. Dabei wird zu den Suchergebnissen der Prüfstatus des Zertifikates angezeigt, sobald dieser ermittelt wurde. Standardmäßig ist die automatische Prüfung nicht aktiviert.

Hinweise: Bitte beachten Sie, dass die automatische Prüfung der Zertifikate einige Zeit in Anspruch nehmen kann. Besonders, wenn im Hintergrund aktuelle TSL-Informationen abgerufen werden (siehe TSL), kann es einige Zeit dauern, bis Ergebnisse angezeigt werden.

Hinweise zu ausgewählten Zertifikatseigenschaften

Einige Zertifikatseigenschaften von besonderem Interesse werden im Folgenden erläutert:

Aussteller: Entspricht dem Namen des Zertifikatsausstellers (Issuer DN).
E-Government OID: In diesem Feld werden ggf. im Zertifikat vorhandene österreichische E-Government Object Identifier (vgl. [OID]) angezeigt. Diese Object Identifier sind nur für Organisationskategorien der öffentlichen Verwaltung oder Kategorien von Verwaltungshandelnden definiert.
Art des Zertifikats: Hier wird zwischen einfachen und qualifizierten Zertifikaten unterschieden. Zertifikate werden als qualifiziert angesehen, wenn zumindest einer der in der Konfiguration angegebene "OIDs zur Identifizierung qualifizierter Zertifikate" im Zertifikat gefunden wurde. Gegebenenfalls werden hier zusätzlich Informationen angezeigt, die zu dem betreffenden Dienst in der Konfiguration hinterlegt sind, wie z.B. E-Card Verwaltungssignatur-Zertifikat.
Schlüsselverwendung: In diesem Feld wird angezeigt, für welche Zwecke das Zertifikat (in Einklang mit der Zertifikatsrichtline des ZDA) verwendet werden darf. Es wird der Inhalt der Zertifikatserweiterung "keyUsage" nach RFC 3280 angezeigt.
Begrenzung des Transaktionswertes: Ein qualifiziertes Zertifikat darf lt. [SigG] einen bestimmten Transaktionswert enthalten, bis zu dem das Zertifikat verwendet werden darf. Der ZDA haftet dann nicht für Schäden, die sich aus der Überschreitung des Transaktionswertes ergeben. Es werden der Betrag sowie die Währung (entweder als dreistelliger Buchstabencode oder als Zifferncode (gemäß ISO 4217) angezeigt. Berücksichtigt wird in diesem Feld der Inhalt der Zertifikatserweiterung mit dem OID 0.4.0.1862.1.2 lt. ETSI TS 101 862 [ETSI].

Bitte beachten Sie weiters, dass widerrufene Zertifikate nach Ablauf des regulären Gültigkeitszeitraums in der Regel wieder aus der Widerrufsliste entfernt werden. Bei solchen Diensten ist es im Nachhinein, nach Ablauf der regulären Gültigkeit des Zertifikates, nicht möglich festzustellen, ob und ggf. wann ein bestimmtes Zertifikat widerrufen wurde. Ob ein Zertifikat bereits abgelaufen ist, kann dem Prüfstatus entnommen werden.

Besondere Bestimmungen gelten für qualifizierte Zertifikate gemäß der österreichischen Rechtslage ([SigG], [SigV]): "Jedenfalls müssen Widerrufsdienste die Feststellung zulassen, ob eine Signatur zu einem bestimmten Zeitpunkt der Erstellung gültig oder das Zertifikat widerrufen war." (SigV, §13(1)).

Behandlung kritischer Zertifikatserweiterungen

Einige der wichtigsten Eigenschaften von Zertifikaten werden über sogenannte Erweiterungen definiert. Erweiterungen, welchen eine besondere Bedeutung zukommt, können als kritisch markiert werden, und sollten besonders behandelt werden.

Da die Aussteller grundsätzlich frei in der Wahl von Zertifikatserweiterungen sind, können bei der Verarbeitung von Zertifikaten nicht alle existierenden Zertifikatserweiterungen bekannt sein. Folgende Regeln für den Umgang mit unbekannten / nicht unterstützten Zertifikatserweiterungen werden laut RFC 3280 empfohlen:
Ein Programm, welches Zertifikate verarbeitet, muss ein Zertifikat zurückweisen, wenn es auf eine nicht unterstützte kritische Zertifikatserweiterung stößt. Das Zertifikatsstatustool zeigt eine entsprechende Fehlermeldung an und verweigert die weitere Verarbeitung. In diesem Fall wird keine Prüfung u.ä. durchgeführt!
Ein Programm, welches Zertifikate verarbeitet, darf eine nicht unterstützte, nicht als kritisch markierte Zertifikatserweiterung ignorieren. Das Zertifikatsstatustool zeigt einen entsprechenden Hinweis an. Das Zertifikat wird danach normal weiterverarbeitet.
Dieselben Regeln gelten auch für (kritische) Erweiterungen, welche in den Widerrufslisten kodiert sind.