hero-faq-1

Häufig gestellte Fragen

Warum brauche ich einen CSR?

Sie benötigen eine CSR, um ein SSL-Zertifikat zu beantragen. Wenn Ihnen später Ihr SSL-Zertifikat ausgestellt wird, verwenden Sie den CSR-Code auch für , um die TLS (Transport Layer Security) zu aktivieren.

Link kopieren

Gibt es Wildcard EV SSL-Zertifikate?

Leider gibt es keine Wildcard EV SSL-Zertifikate auf dem Markt. Die Zertifizierungsstellen weigern sich aus Sicherheitsgründen, EV-Wildcard-SSL-Zertifikate auszustellen, da sie die vollständige Kontrolle über die Subdomains haben möchten, für die sie ein EV-SSL ausstellen. Deshalb besteht Ihre einzige Lösung darin, ein Multi-Domain EV SSL-Zertifikat zu kaufen, das mehrere Domains und Subdomains schützt.

Link kopieren

Code Signing-Zertifikate: Schlüssellänge: Grundlegende Anforderungen

Ab dem 1. Juni 2021 und in Übereinstimmung mit den
CA/Browser Forum Code-signing Baseline Requirements
verlangt Sectigo, dass RSA-Schlüssel eine Mindestgröße von 3072 Bit haben müssen.

Wenn Sie Schlüssel und CSRs für Code-Signatur-Zertifikate erzeugen, achten Sie bitte darauf, dass Sie einen RSA-Schlüssel mit einer Schlüsselgröße von 3072 oder 4096 Bit wählen.

Lediglich die Größe der Tasten soll sich ändern, der Rest des Prozesses bleibt gleich. Bestehende RSA-2048-Bit-Zertifikate funktionieren weiterhin, und es sind keine Änderungen an ihnen erforderlich.

Zertifikate, die mit ECC-Schlüsseln (elliptische Kurve) angefordert werden, sind davon nicht betroffen. Sectigo signiert weiterhin Zertifikate mit Schlüsseln, die die NIST-Kurven P-256 und P-384 verwenden.

Quelle: Sectigos Wissensdatenbank

Link kopieren

Sectigo entfernt die WHOIS-basierten E-Mail-Adressen für DCV

Ab dem 16. Juni 2021 akzeptiert Sectigo keine WHOIS-basierten E-Mail-Adressen mehr für die Domain Control Validation (DCV), wenn das WHOIS eine menschliche Suche nach Domaininformationen erfordert. Whois ist ein weit verbreiteter Interneteintrag, der angibt, wem eine Domäne gehört und wie man mit ihm in Kontakt treten kann.

Die Änderung wirkt sich nicht auf E-Mails aus, die im WHOIS über automatische Abfragen gefunden werden können. Diese E-Mails werden Ihnen während der Zertifikatsanforderung oder über die API „GetDCVEmailAddressList“ angezeigt. Die „konstruierten“ E-Mail-Adressen werden weiterhin verfügbar sein.

Wenn die von Ihnen benötigte E-Mail-Adresse während des DCV-Prozesses nicht angezeigt oder angeboten wird, müssen Sie eine der unten aufgeführten alternativen Methoden für die Domain Control Validation verwenden:

  • Eine vorher festgelegte E-Mail-Adresse wie admin@, administrator@, hostmaster@, postmaster@, webmaster@
  • HTTP(s) oder DNS-basierte Domänenkontrollüberprüfung

Quelle: Sectigos Wissensdatenbank

Link kopieren

Wie kann ich ein Sectigo/Comodo Code Signing-Zertifikat neu ausstellen?

Hier sind die Schritte, die Sie durchführen müssen, um Ihr Sectigo/Comodo Code Signing-Zertifikat neu auszustellen:

1) Melden Sie sich unter https://secure.trust-provider.com/products/frontpage?area=ssl mit dem Benutzernamen und dem Passwort an, das Sie bei der ursprünglichen Konfiguration Ihres Sectigo/Comodo Code Signing-Zertifikats verwendet haben;
2) Sobald Sie eingeloggt sind, suchen Sie die Schaltfläche „Ersetzen“ und klicken Sie darauf;
3) Sie starten den Neuausstellungsprozess für Ihr Sectigo/Comodo Code Signing-Zertifikat.
4) Folgen Sie den nächsten Schritten und Anweisungen, bis Sie die Neuausstellung des Sectigo Code Signing-Zertifikats abgeschlossen haben.

Link kopieren

Wie finde ich den privaten Schlüssel für mein Code Signing-Zertifikat?

Ab dem 1. Juni 2023 schreiben die Industriestandards die Speicherung von privaten Schlüsseln für Code Signing-Zertifikate auf FIPS 140 Level 2, Common Criteria EAL 4+ zertifizierter Hardware vor. Diese Änderung erhöht die Sicherheit und entspricht den EV Code Signing Standards. Zertifizierungsstellen können keine browserbasierte Schlüsselgenerierung oder Laptop/Server-Installationen mehr unterstützen. Private Schlüssel müssen auf FIPS 140-2 Level 2 oder Common Criteria EAL 4+ zertifizierten Token/HSMs sein. Um den Code zu signieren, greifen Sie auf das Token/HSM zu und verwenden Sie die gespeicherten Zertifikatsnachweise.

In Übereinstimmung mit den neuen Richtlinien sollte sich Ihr privater Schlüssel auf dem von der Zertifizierungsstelle gelieferten Token oder auf Ihrem Hardware-Sicherheitsmodul befinden.

Link kopieren

Wie besteht man die Business und Extended Validation für DigiCert?

Für alle DigiCert SSL-Zertifikate müssen die Kunden den Business Validation- oder Extended Validation-Prozess durchlaufen. Bei DigiCert SSL-Zertifikaten sind diese beiden Validierungsprozesse identisch. Im Rahmen der Unternehmensvalidierung oder der erweiterten Validierung müssen Sie Informationen über Ihr Unternehmen und die Telefonnummer Ihres Unternehmens angeben.

DUNS-Nummer

Sie müssen DigiCert Ihre DUNS-Nummer mitteilen, und Ihr DUNS-Profil muss Ihre Telefonnummer enthalten. Sie können die DUNS-Nummer/das Profil Ihres Unternehmens auf dieser Website überprüfen: https://www.dandb.com/. Wenn Sie feststellen, dass Ihr DUNS-Eintrag keine Telefonnummer enthält, müssen Sie sich an Dun & Bradstreet (unter https://www.dandb.com/) und bitten Sie sie, Ihre Telefonnummer in ihr „Branchenverzeichnis und in den Bericht“ aufzunehmen.

Bitte beachten Sie, dass es einige Tage dauert, bis DNB (Dun & Bradstreet) Ihre Telefonnummer zu Ihrem DUNS-Eintrag hinzugefügt hat. Sie sollten erwarten, dass Sie unter eine E-Mail-Nachricht von der DNB erhalten, die besagt, dass Ihr DUNS-Profil erfolgreich aktualisiert wurde. Ihre Telefonnummer wird erst dann in Ihrem DUNS-Profil auf der Website https://www.dandb.com/ erscheinen, wenn Sie die Bestätigungsnachricht von der DNB erhalten haben.

partner-order-idDann sollten Sie DigiCert unter +1 (877) 438-8776 kontaktieren und Ihre DigiCert Order ID und Ihre DUNS-Nummer angeben. Sie finden Ihre DigiCert Order ID auf der Detailseite Ihres SSL-Zertifikats in Ihrem SSL Dragon-Konto. Siehe den Screenshot auf der rechten Seite.

DigiCert fährt mit dem Rückrufverfahren fort, um Ihre Telefonnummer zu verifizieren. Sobald dies abgeschlossen ist, wird Ihr DigiCert SSL-Zertifikat für Sie ausgestellt.

Juristischer Brief

Wenn das Hinzufügen Ihrer Telefonnummer zu Ihrem DUNS-Eintrag zu lange dauert, können Sie DigiCert bitten, Ihnen mitzuteilen, welche Alternativen Sie haben, um die Business Validation oder Extended Validation zu bestehen. DigiCert kann Ihnen eine E-Mail-Nachricht mit Informationen zu einem juristischen Schreiben schicken, das Sie verfassen, bei einem Notar unterschreiben lassen und dann einscannen und per E-Mail an DigiCert zurücksenden können. Das Schreiben enthält den Namen Ihres Unternehmens, Ihre Adresse und Ihre Telefonnummer. Sobald DigiCert den Antrag erhalten hat, erfolgt ein Rückruf unter der von Ihnen angegebenen Nummer und kurz darauf wird Ihr DigiCert SSL-Zertifikat ausgestellt. Auch andere Zertifizierungsstellen wenden diese Praxis an, so dass die Vorlage eines rechtsgültigen Schreibens eine gängige Methode ist, um die Business Validation und die Extended Validation zu bestehen.

Link kopieren

Was sind die Vorteile der einzelnen Validierungsarten (DV vs. BV vs. EV)?

Wenn Sie sich immer noch fragen, was die Hauptvorteile der einzelnen Validierungstypen (Domain Validation (DV), Business Validation (BV) und Extended Validation (EV)) sind und warum Sie sich für den einen oder den anderen entscheiden sollten, dann ist dies die richtige FAQ für Sie. Jeder dieser SSL-Zertifikatstypen wurde mit Blick auf ein bestimmtes Vertrauensniveau der Kunden erstellt:

  • BasicDomain Validation SSL-Zertifikate – für Kunden, die nicht daran interessiert sind, ihren Firmennamen und ihre Adresse im SSL-Zertifikat anzugeben – entweder weil sie das nicht brauchen/will oder weil sie einfach kein Unternehmen haben. Sie müssen nur schnell ein SSL-Zertifikat beantragen, um ihren Domänennamen mit HTTPS zu sichern und zu erreichen, dass alle Web- und Mobilbrowser ihre Website als „sicher“ anzeigen.
  • MediumBusiness Validation SSL Certificates – für Kunden, die den Namen ihres Unternehmens in den Details ihres SSL-Zertifikats anzeigen möchten, um ihren Kunden zu versichern, dass ihr Unternehmen real und vertrauenswürdig ist. Mit BV SSL-Zertifikaten können Sie auf Ihrer Website auch ein von der Zertifizierungsstelle eines Dritten bereitgestelltes Site Seal anzeigen, das beweist, dass Ihr SSL-Zertifikat auf den Namen und die Adresse Ihres Unternehmens ausgestellt wurde.
  • Startseite Extended Validation SSL-Zertifikate – für Kunden entwickelt, für die das Vertrauen der Nutzer sehr wichtig ist. EV SSL-Zertifikate bieten auch das Site Seal, das beweist, dass Ihr SSL-Zertifikat für Ihre Website, Ihren Firmennamen und Ihre Adresse ausgestellt wurde. Diese Zertifikate haben jedoch die höchste Vertrauensstufe, da sie Ihren Kunden, Interessenten und Besuchern zeigen, dass Ihre Website hochgradig sicher ist und dass ihre Daten stets geschützt sind.

Da Sie nun die Hauptunterschiede zwischen Domain Validation (DV), Business Validation (BV) und Extended Validation (EV) SSL-Zertifikaten kennen, sollte es für Sie viel einfacher sein, das für Sie am besten geeignete Zertifikat auszuwählen.

Link kopieren

Warum brauche ich ein neues SSL, wenn ich mein bestehendes erneuere?

Die SSL-Erneuerung erfordert den Kauf eines brandneuen Zertifikats für Ihre Domain und Ihr Unternehmen. Um die strengen Industriestandards zu erfüllen, müssen die Zertifizierungsstellen das Ablaufdatum in das Zertifikat kodieren. Wenn ein SSL-Zertifikat abläuft, ist es daher nicht mehr gültig und muss ersetzt werden. Es ist nicht möglich, die Lebensdauer eines SSL-Zertifikats über den vom CA/Browser Forum festgelegten Zeitrahmen hinaus zu verlängern.

Der Erneuerungszyklus beschleunigt sich. Die Höchstgrenze für Zertifikate liegt jetzt bei 200 Tagen (ab 15. März 2026), und diese Grenze wird 2027 auf 100 Tage und dann bis März 2029 auf 47 Tage sinken. Die manuelle Verwaltung der Zertifikate lässt sich nicht skalieren, vor allem nicht bei mehreren Domains.

Die Lösung ist die ACME-basierte Automatisierung. Sie nimmt Ihnen den gesamten Lebenszyklus von Zertifikaten ab. Anstatt das Ablaufdatum zu verfolgen, CSRs zu erstellen und Zertifikate alle paar Monate neu zu installieren, läuft alles automatisch im Hintergrund.

Link kopieren

Wie exportiere ich S/MIME SSL-Zertifikate aus dem Internet Explorer?

Gehen Sie wie folgt vor, um Ihr Zertifikat aus dem Internet Explorer zu exportieren:

  1. Öffnen Sie den Internet Explorer und navigieren Sie dann zu Werkzeuge > Internetoptionen.
  2. Wählen Sie im Fenster Internetoptionen die Option Inhalt und dann Zertifikate.Stecknadelkopf
  3. Wählen Sie im Fenster Zertifikate die Option Persönliche Registerkarte.
  4. Wählen Sie das Zertifikat, das Sie exportieren möchten, und klicken Sie dann auf Exportieren…
    exportieren
  5. Wählen Sie im Assistenten für den Zertifikatexport je nach Bedarf eine der folgenden Optionen:
    1. Ja, exportieren Sie den privaten Schlüssel. Wählen Sie diese Option, wenn Sie das Zertifikat in einen anderen Browser/E-Mail-Client oder ein mobiles Gerät importieren möchten.
    2. Nein, den privaten Schlüssel nicht exportieren. Wählen Sie diese Option, wenn Sie das Zertifikat für andere Zwecke exportieren müssen, z. B. für die Archivierung Ihres öffentlichen Schlüssels.
      Zertifikatsexport-Assistent
  6. Für diese Demonstration wählen wir die erste Option – Ja, den privaten Schlüssel exportieren.
  7. Nachdem Sie auf Weiter geklickt haben, klicken Sie unter den angezeigten Formaten auf die Option Persönlicher Informationsaustausch und wählen Sie Möglichst alle Zertifikate in den Zertifizierungspfad einbeziehen und Zertifikatsdatenschutz aktivieren. Klicken Sie auf Weiter zum Fortfahren.

    Exportassistent

  8. Erstellen Sie nun ein Passwort für Ihr Zertifikat. Sie benötigen es, um das Zertifikat in einen anderen Browser/E-Mail-Client zu importieren.

    Passwort

  9. Klicken Sie auf Durchsuchen und gehen Sie zu dem Ort, an dem das Zertifikat gespeichert wurde. Klicken Sie auf Weiter.

    Datei zu exportieren

  10. Überprüfen Sie die ausgewählten Einstellungen, und klicken Sie auf Beenden um den Zertifikatexportvorgang abzuschließen.

    Zertifizierungsassistent

Quelle: Sectigos Wissensdatenbank

Link kopieren