User Tools

Site Tools


public:certification-vault

Certification Vault

KAaS (CA as a Service)

Wir erstellen einen qualifizierten Vertrauensdiensteanbieter (VDA).

Mitglieder

Lithilion (Lead)

Fortschritt

Das Projekt wurde frühzeitig beendet. Nach einem Gespräch mit Leuten vom Fach wurde uns abgeraten, etwas derartiges in der jetzigen Konstellation aufzubauen. Unter anderem wurden als Gründe die hohen organisatorischen (u.a. ISO 27001, ISO 27005, evtl. ISO 21188), personellen, physikalischen (Serverfarm mit Zugangskontrolle, Vier-Augen-Prinzip) und finanziellen (6-7 stellige Haftpflichtversicherung) Herausforderungen genannt.

Möglicherweise könnte das Projekt als qualifizierter Zeitstempeldienst wieder aufgenommen werden.

Aufbau

Wir erstellen eine Zwei-Stufen-Hierarchie. Dabei wird die Root-CA offline bleiben und zwei Intermediates Zertifikate verteilen. Eine davon wird Userzertifikate erstellen, während die andere Serverzertifikate ausgibt. Die Root-CA wird sehr wahrscheinlich mit openssl/XCA erstellt werden, weil es relativ wenig Aufwand und Lizenzgebühren erfordert. Die Intermediate(s) könnten auf einem Windows Server mit der intergrierten CA realisiert werden. (In der Azure Cloud) Dafür könnte das Non-profit Programm von Microsoft die Kosten senken und auch gleichzeitig eine Hilfe sein um in deren Cert-Store zu kommen. Weiters könnten unsere Intermediates von Identrust und/oder Let's Encrypt cross-signed werden, um vorübergehend und schnell in den jeweiligen Truststores zu landen.

UPDATE: Microsofts CA kann nicht verwendet werden (kein Vier-Augen-Prinzip), daher EJBCA

Was wird benötigt | Anforderungen

Allgemeine Anforderungen

  • Geld
  • 2-3 Server
    • 1 Server offline (Root-CA, vllt auf einem Raspi?) (Linux, XCA)
    • 1-2 Server online (Intermediate) (Windows Server, Non-profit)
  • Safe für die Root-CA
  • 1-2 IP Adressen (Kapsch?, oder nur IP, kein legacy IP mehr)
  • Haftungsabsicherung → (gemeinnützige) GmbH oder KöR?

eIDAS

  • alle 24 Monate ein Konformitätsbericht auf eigene Kosten (Akkreditierung Austria, a-sit Liste der Stellen)
  • zuverlässiges, qualifiziertes Fachpersonal
  • Identitätsprüfung bei Ausstellung eines Zertifikats
    • Lichtbildausweis oder qualifiziertes Zertifikat
  • Meldung innerhalb von 24 Stunden an RTR bei Vorfall
  • Finanzielle Mittel oder Haftplichtversicherung für Schäden durch vorsätzliches oder fahrlässiges Handeln
  • “vertrauenswürdige Systeme und Produkte, die vor Veränderungen geschützt sind und die technische Sicherheit und Zuverlässigkeit der von ihnen unterstützten Prozesse sicherstellen”
  • Maßnahmen gegen Fälschung und Diebstahl von Daten
  • fortlaufend aktualisierten Beendigungsplan
  • Zertifikatsdatenbank

Microsoft

Mozilla

Apple

Adobe

Warum

Um das Thema digitale Sicherheit populär und verständlich zu gestalten, möchten wir auf diesem Weg Vereinen mit dem Ziel zur Förderung der Wissenschaft in der Gesellschaft es einfacher gestalten eine sichere, digitale Kommunikation zu betreiben und zu verbreiten. Dabei wird das System stark an Beerware oder Postcardware angelegt. Das Zertifikat wird grundsätzlich kostenlos ausgestellt, gegen eine Kiste Mate, Bier und/oder eine Postkarte würden wir uns aber auch nicht wehren.

Trusted Root CA Store Programme

public/certification-vault.txt · Last modified: 2018/11/24 13:34 by lithilion