Hauptbereich
Details
Produktdetails
- Überprüfung der Identität über Domain, Antragsteller und Organisation
- Ausstellung innert 1 bis 2 Arbeitstagen nach Beantragung
- Laufzeit: 1 Jahr
- Einsatz auf unlimitierte Anzahl von Servern
- Haftungsgarantie 100‘000 CHF
- Eintrag der Organisation (z.B. Firma) im Zertifikat
- Kostenloses Rückgaberecht innert 30 Tagen nach Ausstellung
- Domänen mit Umlauten (IDN) möglich
- Geeignet für Einsatz in Microsoft Exchange UCC (siehe FAQ)
- Das Zertifikat kann auch via Managed PKI bezogen werden
- Telefon- und E-Mail-Support in Deutsch, Englisch und Französisch
- Nach dem Kauf des Zertifikates steht das SwissSign Seal im Kundencenter zur Verfügung
Mehrjährige Zertifikate
Bei mehrjährigen Zertifikaten profitieren Sie von attraktiven Rabatten. Die Validierung sowie Anforderung des Zertifikates haben aber trotz mehrjähriger Laufzeit jährlich zu erfolgen.
Hinweise
- Mit Wildcard schützen Sie neben der Hauptdomäne domain.com auch sämtliche Subdomänen wie info1.domain.com, info2.domain.com und admin.domain.com. Bitte beachten Sie jedoch, dass Sub-Sub-Domänen (beispielsweise sub.*.domain.com) mit diesem Zertifikat nicht abgedeckt werden. Für die Sicherung von mehreren Sub-Sub-Domänen empfehlen wir das SSL Gold Multi-Domain Zertifikat.
- Das Wildcard Zertifikat wird auf Basis eines Certificate Service Request (CSR) oder einer Attribut-Eingabe und eines privaten Schlüssels ausgestellt. Bei unterschiedlichen privaten Schlüsseln pro System sind weitere Zertifikate anzufordern.
- Sofern beim Wildcard Zertifikat ein privater Schlüssel kompromittiert wurde, ist dieses Wildcard Zertifikat auf allen Servern zu ersetzen. In kritischen Umgebungen empfehlen wir daher Einzelzertifikate pro Server, um dieses Problem zu vermeiden.
Technische Details
- Anerkannte Root-CA
- Signatur-Algorithmus: sha256WithRSA
- Public Key gemäss RSA (Rivest, Shamir, Adleman) im Zertifikat erlaubt Spielraum:
- RSA-Schlüssellänge von 2048, 3072 oder 4098 Bit
- Asymmetrischer Schlüsselaustausch mit moderner «Perfect Forward Secrecy» anwendbar (z.B. mit elliptischen Kurven)
- Legacy-RSA-Verschlüsselung ebenfalls möglich - Kompatibel mit allen gängigen symmetrischen Verschlüsselungs-Algorithmen für SSL/TLS mit Schlüssellängen bis zu 256 Bit
- Schlüsselverwendung: Digital Signature, Key Encipherment, Client Authentication, Server Authentication
- Verbreitung auf allen gängigen Browser und Plattformen, vgl. Kompatibilität
- DNS CAA Einstellungen werden bei der Genehmigung des Antrages beachtet
- Gültigkeitsprüfung mit OCSP und CRL
- OCSP Stapling sollte auf dem Webserver eingeschaltet sein.
- Benutzerkonto für die Zertifikatsverwaltung
- Revokationsdienst für den Rückruf von Zertifikaten
- Notifikation 30 Tage und 10 Tage vor Ablauf der Gültigkeit
- Antragstellerspezifische Einträge im Zertifikat:
- CN=Common Name: Domänenname FQDN (Muss)
- O=Organisation (Muss)
- C=Land (Muss)
- L=Ort (Muss, wenn kein ST-Attribut eingetragen werden kann)
- ST=Kanton, Bundesland (Muss, falls vorhanden)
- SAN (SubjectAlternativeName) Einträge mit Hauptdomäne und Wildcard-Eintrag für Subdomänen
- Weitere antragstellerspezifische Einträge sind nicht zugelassen und werden aus einem CSR entfernt.
Policy
- Alle geltenden Richtlinien für öffentliche SwissSign-Zertifikate werden auf der «Support \Repository»-Seite veröffentlicht. Die für diesen Zertifikatstyp spezifischen Richtlinien werden auf der entsprechenden Unterseite aufgeführt.
Hinweise
- Im Laufe des Bestellprozesses im Portal auf swisssign.com können Sie das Antragsformular direkt herunterladen. Darin finden Sie weitere Informationen dazu, welche zusätzlichen Dokumente (zum Beispiel Kopien eines Ausweisdokuments) Sie mit dem unterschriebenen Antragsformular online einreichen müssen
- Sprache: Bitte reichen Sie Ihre Unterlagen in den Sprachen Deutsch, Englisch oder Französisch ein. Unterlagen in anderen Sprachen oder in nicht lateinischen Zeichen müssen in eine der drei Zielsprachen übersetzt und die Übersetzung notariell beglaubigt werden. Länder ausserhalb der EU und Liechtensteins benötigen hierfür dann nochmals eine Beglaubigung nach Haager Apostille.
- Falls Sie mehrere Zertifikate auf Stufe Gold beantragen möchten, nutzen Sie doch die Vollmachten Ihrer Organisation oder Ihres Domäneneigentümers: Vollmachten (PDF, 168 KB)
- SwissSign sollte im DNS Eintrag für die Ausstellung von Zertifikaten zugelassen sein (CAA Eintrag)