• OrganisationAssurance
• OA
• Germany

Organisations-Assurance in Deutschland

Das CAcert Organisations-Assurance Programm (COAP) ermöglicht es Organisationen, Ihren Namen in Zertifikate aufzunehmen, die von CAcert ausgestellt werden.

Ansprechpartner für die Organisations-Assurance in Deutschland

Die oben genannten Regionen sind nicht als Begrenzung der Tätigkeit zu verstehen, sondern als Hinweis wo ggfs. vor Ort Unterstützung geleistet werden.

Zur Kontaktaufnahme verwenden Sie bitte <support AT SPAMFREEFOREVER cacert DOT org>. Ein Mitglied des Organisation Assurer Teams wird dann mit Ihnen Kontakt aufnehmen.

Formulare/Informationen

COAP Deutsch (zur Zeit nicht verfügbar)

Handbuch für Organisationsadministratoren

Überprüfung des Inhabers einer DE-Domäne

Als Antwort auf die Anforderungen der neuen DSGVO hat das DE-NIC seine bisherige Praxis geändert und veröffentlich nur noch sehr eingeschränkte Informationen über Domain-Inhaber.

Als Ersatz dafür kann sich ein Domain-Inhaber eine signierte Nachricht ausstellen lassen, in der das DE-NIC die Inhaberschaft der Domain bestätigt. Voraussetzung dafür ist dass für den Domain-Inhaber eine E-Mail-Adresse hinterlegt ist. Achtung: Das ist nicht der bisherige Admin-C¹. Für "ältere" Domänen, die vor dem Inkrafttreten der DSGVO registriert wurden war es nicht zwingend dass für den Inhaber eine E-Mail-Adresse hinterlegt wurde! Unter Umständen muss das über den Provider geändert werden².

Abfrage der signierten Nachrift

• "Domainabfrage" der Domäne auf https://www.nic.de

• Unter "Informationen zum Domaininhaber"
  • "Signierte Inhaberdaten anfordern" auswählen
  • Postleitzahl oder E-Mail-Adresse des Inhabers eintragen
  • Absenden
• Der Domain-Inhaber bekommt eine Mail mit einem Link:

Sehr geehrte Damen und Herren,

Sie haben am 17.04.2019 um 22:20 Uhr über die Domainabfrage der DENIC eG
(https://www.denic.de/webwhois/) die Domaininhaberdaten der Domain "xxxxx.de" angefordert.

Sie können diese Daten für 48 Stunden (siehe oben aufgeführten Zeitstempel/Datum Zeit) unter dem folgenden Link einsehen:

https://www.denic.de/webwhois-web20/holder-info/signed?domain=xxxxx.de&key=Aa3McSyrnwY1y5APGPE4zK6cpm6sacT0uvuHWrfGMz&lang=de

Bitte beachten Sie, dass wir diese E-Mail an alle für den Domaininhaber hinterlegten E-Mail-Adressen senden.

Haben Sie die Daten nicht angefordert, so müssen Sie nichts unternehmen, da ausschließlich über den genannten Link die Domaininhaberdaten zeitlich
begrenzt einsehbar sind.

Bei Fragen wenden Sie sich bitte an info@denic.de.

Mit freundlichem Gruß
DENIC eG

-- 
 
(Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben,
da die Adresse nur zur Versendung von E-Mails eingerichtet ist.
Benutzen Sie bitte zur Kontaktaufnahme die E-Mail Adresse in der Signatur )
-- 
Direct Services
DENIC eG, Kaiserstraße 75 - 77, 60329 Frankfurt am Main, GERMANY
E-Mail: info@denic.de, Fon: +49 69 27235-275, Fax: +49 69 27235-238
https://www.denic.de
Servicezeiten: Montag bis Freitag; 08:00-18:00 Uhr
Angaben nach § 25a Absatz 1 GenG: DENIC eG (Sitz: Frankfurt am Main)
Vorstand: Martin Küchenthal, Andreas Musielak, Sebastian Röthler, Dr. Jörg Schweiger
Vorsitzender des Aufsichtsrats: Thomas Keller
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht Frankfurt am Main

• Der Link in der Mail verweist auf eine Seite mit der signierten Nachricht:

MIME-Version: 1.0
Content-Type: multipart/signed; protocol="application/pkcs7-signature"; micalg=sha1; 
        boundary="----=_Part_14_1292132412.1555532435750"

------=_Part_14_1292132412.1555532435750
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Dies ist eine signierte Ausgabe der Inhaberdaten einer Domain. Diese wurde =
erstellt =C3=BCber den whois der DENIC eG, Frankfurt am Main.

Domain: xxxxx.de
Letzte Aktualisierung: 2019-04-17T11:19:29+02:00

Domaininhaber

Domaininhaber: xxxxx yyyyy zzzzz GmbH
Adresse: aaaaastr. 68
PLZ: 12345
Ort: Muenchen
Land: DE

Diese Informationen wurden signiert am 2019-04-17T22:20:35+02:00.


------=_Part_14_1292132412.1555532435750
Content-Type: application/pkcs7-signature; name=smime.p7s; smime-type=signed-data
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"
Content-Description: S/MIME Cryptographic Signature

MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGCSqGSIb3DQEHAQAAoIAwggdoMIIG
...
AAA=
------=_Part_14_1292132412.1555532435750--

Die Nachricht sollte aus dem Browser heraus in eine Datei abgespeichert werden und diese Datei dann an den Org-Assurer geschickt werden. Achtung: Ein Screenshot hilft nicht weiter! Darauf sollte man den Inhaber hinweisen, sonst wird das sicher irgendwann mal passieren.

Alternativ kann auch der Link an den Org-Assurer geschickt werden, dann sollte aber sichergestellt sein dass der Org-Assurer auch während der Gültigkeit des Links die Nachricht abholen kann!

Verifizierung der Nachricht

Siehe dazu auch die Seite des DENIC: https://www.denic.de/service/whois-service/signierte-whois-auskuenfte/

Die Nachricht war beim obigen Test im April 2019 von einem Zertifikat signiert das für folgenden Inhaber ausgestellt war:

E = dbs@denic.de
CN = PN: whois DENIC e.G.
OU = hr.ca.denic.de
OU = denic.de
O = DENIC eG
C = DE

Dieses Zertifikat war signiert vom Herausgeber

C = DE
O = T-Systems International GmbH
OU = T-Systems Trust Center
CN = TeleSec Business CA 1

das wiederum von der Root-CA

CN = T-TeleSec GlobalRoot Class 2
OU = T-Systems Trust Center
O = T-Systems Enterprise Services GmbH
C = DE

ausgestellt war. Dieses Root-CA ist in der Standard-CA-Liste von Firefox enthalten, es kann auch von https://www.telesec.de/de/public-key-infrastruktur/support/root-zertifikate/category/59-t-telesec-globalroot-class-2 heruntergeladen werden.

Das Zertifikat der Intermediate-CA ist unter https://www.telesec.de/de/sbca/support/ca-zertifikate/category/97-telesec-business-ca-1 veröffentlicht.

Variante 1: OpenSSL

• Herunterladen der CA-Zertifikate und erstellen einer CA-Datei die beide enthält, im Folgenden "TeleSec.pem"

• Speichern der Nachricht als "SignedData.eml"

•  openssl smime -verify -in SignedData.eml -CAfile TeleSec.pem -verify_email dbs@denic.de 

• Als Ergebnis wird der Text der Nachricht ausgegeben und "Verification successful" am Schluss angehängt.

• Hinweis: Die Mail-Adresse dbs@denic.de habe ich bisher nicht beim DENIC finden können³, es ist also denkbar dass auch andere Adressen verwendet werden! Sollte das der Fall sein dann bitte in dieser Seite eine Liste der tatsächlich verwendeten Adressen pflegen! Und evtl. auch selbst ein bischen recherchieren...

Variante 2: mit Mail-Client

Diese Vorgehensweise wurde mit Thunderbird getestet, sollte aber im Wesentlichen auch mit anderen Mailern funktionieren.

• Importieren der Intermediate-CA in den Mailer, evtl. auch der Root-CA falls sie noch nicht vorhanden ist.
• Speichern der Nachricht in einer Datei

• Öffnen der Nachricht mit dem Mailer (File -> File Open -> ...)

Die Nachricht sollte mit einem "Fragezeichen" als signiert angezeigt werden. Durch Klick auf das Icon kann man die "unterschreibende" Mail-Adresse dbs@denic.de und ggf. weitere Details der Zertifikate verifizieren.

Policies

Organisations-Assurance Policy (englisch)
Organisations-Assurance Sub-Policy für Deutschland

Details zu den einzelnen Rechtsformen werden unter /Rechtsformen aufgelistet. Bei Rückfragen stehen die o.g. Organisations-Assurer zur Verfügung, ebenso der Support über die Webseite als auch die deutsche Mailingliste <cacert DASH de AT SPAMFREEFOREVER lists DOT cacert DOT org>.

Fußnoten

• CategoryOrganisationAssurance

• CategoryOrganisationAssuranceGermany