Organisations-Assurance in Deutschland

Das CAcert Organisations-Assurance Programm (COAP) ermöglicht es Organisationen, Ihren Namen in Zertifikate aufzunehmen, die von CAcert ausgestellt werden.

Contents

  1. Organisations-Assurance in Deutschland
  2. Ansprechpartner für die Organisations-Assurance in Deutschland
  3. Formulare/Informationen
  4. Überprüfung des Inhabers einer DE-Domäne
    1. Abfrage der signierten Nachrift
    2. Verifizierung der Nachricht
      1. Variante 1: OpenSSL
      2. Variante 2: mit Mail-Client
  5. Policies
  6. Fußnoten

Ansprechpartner für die Organisations-Assurance in Deutschland

Name

Region

Alexander Bahlo

NRW

Andreas Albrecht

Raum Stuttgart, Raum Darmstadt

Andreas Bäß

Hessen

Björn Abheiden

Stuttgart

Mario Lipinski

Salzgitter, Braunschweig

Sebastian Küppers

Oldenburg, Bremen

Die oben genannten Regionen sind nicht als Begrenzung der Tätigkeit zu verstehen, sondern als Hinweis wo ggfs. vor Ort Unterstützung geleistet werden.

Zur Kontaktaufnahme verwenden Sie bitte <support AT SPAMFREEFOREVER cacert DOT org>. Ein Mitglied des Organisation Assurer Teams wird dann mit Ihnen Kontakt aufnehmen.

Formulare/Informationen

COAP Deutsch (zur Zeit nicht verfügbar)

Handbuch für Organisationsadministratoren

Überprüfung des Inhabers einer DE-Domäne

Als Antwort auf die Anforderungen der neuen DSGVO hat das DE-NIC seine bisherige Praxis geändert und veröffentlich nur noch sehr eingeschränkte Informationen über Domain-Inhaber.

Als Ersatz dafür kann sich ein Domain-Inhaber eine signierte Nachricht ausstellen lassen, in der das DE-NIC die Inhaberschaft der Domain bestätigt. Voraussetzung dafür ist dass für den Domain-Inhaber eine E-Mail-Adresse hinterlegt ist. /!\ Achtung: Das ist nicht der bisherige Admin-C1. Für "ältere" Domänen, die vor dem Inkrafttreten der DSGVO registriert wurden war es nicht zwingend dass für den Inhaber eine E-Mail-Adresse hinterlegt wurde! Unter Umständen muss das über den Provider geändert werden2.

Abfrage der signierten Nachrift

Sehr geehrte Damen und Herren,

Sie haben am 17.04.2019 um 22:20 Uhr über die Domainabfrage der DENIC eG
(https://www.denic.de/webwhois/) die Domaininhaberdaten der Domain "xxxxx.de" angefordert.

Sie können diese Daten für 48 Stunden (siehe oben aufgeführten Zeitstempel/Datum Zeit) unter dem folgenden Link einsehen:

https://www.denic.de/webwhois-web20/holder-info/signed?domain=xxxxx.de&key=Aa3McSyrnwY1y5APGPE4zK6cpm6sacT0uvuHWrfGMz&lang=de

Bitte beachten Sie, dass wir diese E-Mail an alle für den Domaininhaber hinterlegten E-Mail-Adressen senden.

Haben Sie die Daten nicht angefordert, so müssen Sie nichts unternehmen, da ausschließlich über den genannten Link die Domaininhaberdaten zeitlich
begrenzt einsehbar sind.

Bei Fragen wenden Sie sich bitte an info@denic.de.

Mit freundlichem Gruß
DENIC eG

-- 
 
(Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben,
da die Adresse nur zur Versendung von E-Mails eingerichtet ist.
Benutzen Sie bitte zur Kontaktaufnahme die E-Mail Adresse in der Signatur )
-- 
Direct Services
DENIC eG, Kaiserstraße 75 - 77, 60329 Frankfurt am Main, GERMANY
E-Mail: info@denic.de, Fon: +49 69 27235-275, Fax: +49 69 27235-238
https://www.denic.de
Servicezeiten: Montag bis Freitag; 08:00-18:00 Uhr
Angaben nach § 25a Absatz 1 GenG: DENIC eG (Sitz: Frankfurt am Main)
Vorstand: Martin Küchenthal, Andreas Musielak, Sebastian Röthler, Dr. Jörg Schweiger
Vorsitzender des Aufsichtsrats: Thomas Keller
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht Frankfurt am Main

MIME-Version: 1.0
Content-Type: multipart/signed; protocol="application/pkcs7-signature"; micalg=sha1; 
        boundary="----=_Part_14_1292132412.1555532435750"

------=_Part_14_1292132412.1555532435750
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Dies ist eine signierte Ausgabe der Inhaberdaten einer Domain. Diese wurde =
erstellt =C3=BCber den whois der DENIC eG, Frankfurt am Main.

Domain: xxxxx.de
Letzte Aktualisierung: 2019-04-17T11:19:29+02:00

Domaininhaber

Domaininhaber: xxxxx yyyyy zzzzz GmbH
Adresse: aaaaastr. 68
PLZ: 12345
Ort: Muenchen
Land: DE

Diese Informationen wurden signiert am 2019-04-17T22:20:35+02:00.


------=_Part_14_1292132412.1555532435750
Content-Type: application/pkcs7-signature; name=smime.p7s; smime-type=signed-data
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"
Content-Description: S/MIME Cryptographic Signature

MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGCSqGSIb3DQEHAQAAoIAwggdoMIIG
...
AAA=
------=_Part_14_1292132412.1555532435750--

Die Nachricht sollte aus dem Browser heraus in eine Datei abgespeichert werden und diese Datei dann an den Org-Assurer geschickt werden. /!\ Achtung: Ein Screenshot hilft nicht weiter! Darauf sollte man den Inhaber hinweisen, sonst wird das sicher irgendwann mal passieren. :-(

Alternativ kann auch der Link an den Org-Assurer geschickt werden, dann sollte aber sichergestellt sein dass der Org-Assurer auch während der Gültigkeit des Links die Nachricht abholen kann!

Verifizierung der Nachricht

Siehe dazu auch die Seite des DENIC: https://www.denic.de/service/whois-service/signierte-whois-auskuenfte/

Die Nachricht war beim obigen Test im April 2019 von einem Zertifikat signiert das für folgenden Inhaber ausgestellt war: 

E = dbs@denic.de
CN = PN: whois DENIC e.G.
OU = hr.ca.denic.de
OU = denic.de
O = DENIC eG
C = DE

Dieses Zertifikat war signiert vom Herausgeber 

C = DE
O = T-Systems International GmbH
OU = T-Systems Trust Center
CN = TeleSec Business CA 1

das wiederum von der Root-CA 

CN = T-TeleSec GlobalRoot Class 2
OU = T-Systems Trust Center
O = T-Systems Enterprise Services GmbH
C = DE

ausgestellt war. Dieses Root-CA ist in der Standard-CA-Liste von Firefox enthalten, es kann auch von https://www.telesec.de/de/public-key-infrastruktur/support/root-zertifikate/category/59-t-telesec-globalroot-class-2 heruntergeladen werden.

Das Zertifikat der Intermediate-CA ist unter https://www.telesec.de/de/sbca/support/ca-zertifikate/category/97-telesec-business-ca-1 veröffentlicht.

Variante 1: OpenSSL

Variante 2: mit Mail-Client

Diese Vorgehensweise wurde mit Thunderbird getestet, sollte aber im Wesentlichen auch mit anderen Mailern funktionieren.

Die Nachricht sollte mit einem "Fragezeichen" als signiert angezeigt werden. Durch Klick auf das Icon kann man die "unterschreibende" Mail-Adresse dbs@denic.de und ggf. weitere Details der Zertifikate verifizieren.

Policies

Organisations-Assurance Policy (englisch)
Organisations-Assurance Sub-Policy für Deutschland

Details zu den einzelnen Rechtsformen werden unter /Rechtsformen aufgelistet. Bei Rückfragen stehen die o.g. Organisations-Assurer zur Verfügung, ebenso der Support über die Webseite als auch die deutsche Mailingliste <cacert DASH de AT SPAMFREEFOREVER lists DOT cacert DOT org>.

Fußnoten

  1. Ein Admin-C wird vom DENIC aus Gründen der Datensparsamkeit seit Mai 2018 nicht mehr erfasst. (1)

  2. Laut FAQ des DENIC ist eine Hinterlegung der E-Mail-Adresse auch generell sinnvoll, da ansonsten Domains unter Umständen verloren gehen können, siehe https://www.denic.de/fragen-antworten/allgemeine-faqs/?tx_denicfaq_denicfaq[faq]#faq-1069 (2)

  3. Die Adresse wurde in einem Dokument von 2015 als Kontaktadresse angegeben: https://www.denic.de/fileadmin/public/documentation/DENIC-30_EN.pdf (3)

OrganisationAssurance/OA/Germany (last edited 2019-04-20 21:33:53 by BernhardFröhlich)