Navigation und Service

Springe direkt zu:

Elektronische Vertrauensdienste

Hinweise

Auf dieser Seite finden Sie Hinweise zu aktuellen Entwicklungen im Bereich elektronischer Vertrauensdienste.

Veröffentlichung der Änderung der Erstverfügung i.S.d. § 11 Abs. 1 VDG / Nationale Anerkennung alternativer Identifizierungsmethoden

Die Bundesnetzagentur hat nach Anhörung der betroffenen Kreise und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine Änderung der Verfügung i.S.d. § 11 Absatz 1 VDG im Amtsblatt 15/2020 vom 19.08.2020 (Verfügung Nr. 93) veröffentlicht.

Amtsblatt 15/2020 Verfügung Nr. 93 (pdf / 107 KB)

Amtsblatt 11/2018 Mitteilung Nr. 208 (Erstverfügung) (pdf / 452 KB)

Bitte beachten Sie den folgenden Auslegungshinweis zum Punkt 10. b) Satz 1 der Verfügung:

Auslegungshinweis Punkt 10 b) Satz 1 der Verfügung (pdf / 176 KB)

Open-Source-Transformator für ETSI TS 119512 des BSI

Das BSI hat ein Open-Source-Tool für das Schnittstellenformat ETSI TS 119 512 (V1.1.1) zur Verfügung gestellt. Das Tool trägt den Namen "ETSI TS 119512 TR-ESOR Transformator" und ermöglicht Bewahrungsdiensten gemäß eIDAS hereinkommende Nachrichten im Schnittstellenformat ETSI TS 119 512 (V1.1.1) auf das TRESOR S4 - Nachrichtenformat zu transformieren, die dann in ein angeschlossenes TR-ESOR-System weitergeleitet werden, ohne dass vorher Änderungen an diesem TR-ESOR-System vorgenommen werden müssen. Weitere Informationen können Sie der Pressemitteilung des BSI entnehmen.

Einstellung der LDAP-Auskunft und Statusänderung der Wurzelinstanz der BNetzA in der Vertrauensliste (TL)

Aktualisierung des Hinweises (20.04.2020)
Seit dem 20. April 2020 ist die auf LDAP basierende Zertifikatsauskunft eingestellt und die Eintragungen der ehemaligen Wurzelinstanz der BNetzA in der deutschen Vertrauensliste (TL) sind auf „deprecatedatnationallevel“ gesetzt."

Es ist geplant, die auf LDAP basierende Zertifikatsauskunft zum 20. April 2020 einzustellen. In diesem Zusammenhang wird der Status sämtlicher Eintragungen der ehemaligen Wurzelinstanz der BNetzA in der deutschen Vertrauensliste (TL) auf „deprecatedatnationallevel“ gesetzt.

Es wird darauf hingewiesen, dass die unter der Wurzelinstanz ausgestellten und im DA:VE-Verfahren verwendeten OCSP-Auskünfte hiervon nicht beeinträchtig werden (dürfen).

Abschaltung der Website www.nrca-ds.de

Seit dem 30. März 2020 ist unsere bisherige Website www.nrca-ds.de eingestellt. Alle relevanten Informationen finden Sie unter www.elektronische-Vertrauensdienste.de.

Änderung des Zugriffspfades für die Trusted List (TL)

Nach Inbetriebnahme des dauerhaften Verzeichnisses DA:VE im November 2019 wird die Bundesnetzagentur den ehemaligen Auskunftsdienst nach dem Signaturgesetz (deutsche Root, Wurzelinstanz) in Kürze endgültig abschalten. Hiermit verbunden ist eine Einstellung der auf dem Lightweight Directory Access Protocol (LDAP) basierenden Zertifikatauskunft. 

Mit der Umstellung der technischen Systeme ist ein Umzug des Bereitstellungspfades der deutschen Vertrauensliste verbunden. Für eine kurze Übergangszeit wird die Vertrauensliste gleichzeitig unter dem alten und dem neuen Verteilpunkt angeboten werden. Nach endgültiger Eintragung des neuen Verteilpunktes in der EU List of the Lists (LOTL) wird die deutsche Vertrauensliste nur noch unter https://tl.bundesnetzagentur.de/TL-DE.XML und das zugehörige SHA-Companion-file entsprechend unter https://tl.bundesnetzagentur.de/TL-DE.sha2 angeboten.

DA:VE ist online

Die Bundesnetzagentur hat das dauerhafte Verzeichnis DA:VE in Betrieb genommen. Es ermöglich die dauerhafte Prüfung von qualifizierten elektronischen Signaturen, Siegeln und Zeitstempeln. Weitere Informationen finden Sie in der Pressemitteilung sowie hier.

Testbetrieb des Dauerhaften Verzeichnisses (DA:VE)

Der Hinweis wurde am 27.08.2019 unten stehend aktualisiert.

Die Bundesnetzagentur hat gemäß § 16 Abs. 5 VDG eine Vertrauensinfrastruktur zur dauerhaften Prüfbarkeit qualifizierter elektronischer Zertifikate und qualifizierter elektronischer Zeitstempel einzurichten und zu unterhalten. Die derzeitige Infrastruktur wird in Kürze erneuert.

In Vorbereitung auf die Inbetriebnahme der neuen Infrastruktur, dem „Dauerhaften Verzeichnis (DA:VE)“, wird die Bundesnetzagentur einen öffentlichen Testbetrieb des Verfahrens durchführen, der es Anwendern wie z.B. Produktentwicklern ermöglichen soll, das Verfahren zu erproben und die Kompatibilität der technischen Schnittstellen von DA:VE mit eigenen Anwendungen zu prüfen.

DA:VE erteilt Auskunft zum Widerruf von Zertifikaten der Bundesnetzagentur und von Zertifikaten von Vertrauensdiensteanbietern, die ihren Betrieb gemäß § 16 Abs. 1 VDG bzw. § 13 Abs. 2 SigG eingestellt haben. Die technische Umsetzung basiert auf dem OCSP-Protokoll (RFC 6960).

Aufgrund der fachlichen Gegebenheiten sind bei der Nutzung von DA:VE einige technische Besonderheiten zu beachten:

  • Die OCSP-Antworten werden nicht für jede OCSP-Anfrage neu erzeugt, sondern liegen vorgefertigt und signiert vor.
  • Sofern vorhanden, verwendet das System die ursprünglichen OCSP-Antworten der Anbieter, die den Betrieb eingestellt haben. Anderenfalls nutzt das System OCSP-Antworten, die von der Bundesnetzagentur signiert sind.
  • Der Vertrauensstatus der zur Signatur der OCSP-Antworten gehörigen Zertifikate ist über die deutsche Vertrauensliste prüfbar. Dies gilt auch für die Zertifikate der Bundesnetzagentur.
  • Bei OCSP-Anfragen zu Zertifikaten, die der Bundesnetzagentur nicht vorliegen, erfolgt anstelle der OCSP-Antwort „unknown“ eine Fehlermeldung.

Aktualisierung des Hinweises (27.08.2019):

Der Testbetrieb von DA:VE ist nun gestartet und für eine Dauer von voraussichtlich vier Wochen freigeschaltet.

Die Nutzung des Dienstes erfolgt über die OCSP-Schnittstelle wahlweise unter der Adresse ocsp.bundesnetzagentur.de oder direkt unter der IP-Adresse 194.156.220.107. Der Zugriff ist über http (Port 80 oder 8080) möglich, unter ocsp.bundesnetzagentur.de ist der Zugriff auch gesichert über https (Port 443) möglich.

Der Dienst gibt Auskunft zu den Zertifikaten der ehemaligen Wurzelinstanz der Bundesnetzagentur sowie zu den Zertifikaten der bereits durch die Bundesnetzagentur übernommenen Anbieter, die unter folgendem Link einsehbar sind: https://www.nrca-ds.de/repository.htm
(Ausnahme: DATEV Zertifikate werden derzeit nicht elektronisch per OCSP beauskunftet). Der Datenbestand kann sich während des Testzeitraums ändern.

Für Fragen oder Rückmeldungen zum Testbetrieb wenden Sie sich bitte an das Email-Postfach dave@bnetza.de.

Sperrung gemäß § 21 Satz 4 VDG

Die von der Bundesnetzagentur für ehemals nach dem Signaturgesetz akkreditierte Zertifizierungsdiensteanbieter ausgestellten qualifizierten Zertifikate wurden mit Ablauf des 14. November 2018 gemäß § 21 Satz 4 des Vertrauensdienstegesetzes (VDG) gesperrt.

Bundesnetzagentur veröffentlicht Empfehlungen für die Nutzung von Algorithmen.

Die Bundesnetzagentur gibt seit dem Außerkrafttreten des Signaturgesetzes (SigG) keine eigene Übersicht über geeignete Algorithmen zur Erfüllung der Anforderungen nach § 17 Abs. 1 bis 3 SigG ("Algorithmenkatalog") mehr heraus.

Nach einer Übereinkunft der eIDAS-Expertengruppe der EU-Kommission sollen für elektronische Vertrauensdienste die einschlägigen Empfehlungen des SOG-IS-Kryptokataloges herangezogen werden.

Die Bundesnetzagentur verweist in Ausführung der Hinweispflichten aus § 13 Abs. 1 Nr. 1 des Vertrauensdienstegesetzes über Maßnahmen, die erforderlich sind, um zur Sicherheit der angebotenen qualifizierten Vertrauensdienste und deren zuverlässiger Nutzung beizutragen, in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik auf die gemeinsamen Empfehlungen zur technischen Umsetzung von Signaturdiensten (pdf / 132 KB) .

Qualifizierte Vertrauensdiensteanbieter, für die anlässlich ihrer Qualifikation die Nutzung der von der Bundesnetzagentur empfohlenen Algorithmen durch eine Konformitätsbewertungsstelle bestätigt wurde, können diese bis zum prognostizierten Zeitpunkt des Auslaufens ihrer Eignung für qualifizierte Endnutzerzertifikate verwenden. Auch die im SOG-IS-Katalog aufgeführten „Legacy-Mechanismen“ sind vollumfänglich als geeignet zu betrachten. Einer elektronischen Signatur darf nicht allein wegen der Verwendung von Legacy-Mechanismen des verwendeten Zertifikats oder der verwendeten Signatur- oder Siegelerstellungseinheit (z.B. Signaturkarte) die Qualität einer qualifizierten elektronischen Signatur abgesprochen werden.

Die qualifizierten Vertrauensdiensteanbieter müssen frühzeitig Vorkehrungen treffen, um spätestens zum Zeitpunkt des Auslaufens der Eignung der Algorithmen zum Ausstellen qualifizierter Zertifikate ihren Betrieb auf die Verwendung weiterhin geeigneter Algorithmen umzustellen.

Herstellern von qualifizierten Signaturerstellungseinheiten sowie Herstellern von Signaturanwendungskomponenten wird empfohlen, dies zu berücksichtigen.