Letzte Änderung: 10.03.1997
Dies ist die verabschiedete Policy der Individual Network e.V. Zertifikationshierarchie (kurz IN-CH). Sie wurde am 09. März 1997 von der Mitgliederversammlung des Individual Network e.V. in Ilsenburg beschlossen.
Dieses Dokument basiert auf der Arbeit der DFN-PCA-Arbeitsgruppe.
Vor Rückfragen an die Arbeitsgruppe des IN-CH des Individual Network e.V. unter in-ak-ca@individual.net bitte erst die FAQ lesen. Danke.
Dieses Dokument enthält die Zertifizierungsrichtlinien (die sog. "Policy") der obersten Zertifizierungsinstanz des Individual Network e.V..
Der Sinn dieses Dokumentes ist es, Benutzern im Netzwerk eine Einschätzung der durch IN-CAs ausgestellten Zertifikate zu ermöglichen sowie die Mindestanforderungen an den Betrieb der regionalen Zertifizierungsinstanzen (IN-CAs) zu geben, die durch die IN-Root-CA zertifiziert werden.
Die in diesem Dokument getroffenen Aussagen sind für die Arbeit der IN-Root-CA und der durch die IN-Root-CA zertifizierten IN-CAs bindend, soweit sie nicht gesetzlichen Regelungen widersprechen. Jede IN-CA zertifiziert ausschließlich nach den Richtlinien dieser Policy. Um die internationale Zusammenarbeit mit anderen CAs zu ermöglichen, wird ferner eine englische Übersetzung dieses Dokumentes veröffentlicht werden; maßgeblich ist diese deutsche Fassung der Policy.
Die Benennung der regionalen CAs gemäß dieser Policy als IN-CAs soll Einschränkungen ähnlicher Entwicklungen regionaler Domains vermeiden. Die trifft gleichermaßen auf die Benennung der IN-RAs zu.
Der Zuständigkeitsbereich der IN-CH (IN-Zertifikationshierararchie) umfaßt alle Mitgliedseinrichtungen des Individual Network e.V., in erster Linie also die Regionaldomains und deren Teilnehmer. Weitere Organisationen oder Personen können auf Anfrage zertifiziert werden, jedoch ist die Fremdzertifizierung im kommerziellen Bereich auf die gegenseitige Anerkennung von Zertifizierungsinstanzen beschränkt.
Das vorrangige Ziel der IN-CH besteht in dem Aufbau einer IN-weiten Public-Key-Zertifizierungs-Infrastruktur mit regionalen IN-CAs in den einzelnen Regionaldomains, welche von der IN-Root-CA zertifiziert werden. Die regionalen IN-CAs operieren ihrerseits im Namen der jeweiligen Regionaldomain. Eine solche Infrastruktur ist die Voraussetzung für die vertrauenswürdige Kommunikation zwischen Teilnehmern des Individual Network e.V..
Ferner wird für die Zwecke der über die Vereinsgrenzen hinausgehenden Kommunikation eine Anbindung der IN-CH an andere Zertifizierunginfrastrukturen nach Maßgabe der Möglichkeiten bereitgestellt.
Die IN-Root-CA wird ausschließlich Zertifikate für Zertifizierungsinstanzen, nicht aber für Benutzer erteilen. Darüber hinaus betreibt sie eine überregionale IN-CA. die Zertifikate für die überregionalen Gremien des Individual Network e.V., beispielsweise für die Geschäftsstelle, den Vorstand und die Arbeitsgruppen erteilt. Diese überregionale IN-CA wird übergangsweise die Dienste einer Regionalen IN-CA anbieten, um Zertifikate für Benutzer ausstellen zu können, deren Regionaldomain noch keine eigene Regionale IN-CA betreibt.
Eine Erzeugung privater Schlüssel darf nur dann durch eine IN-CA erfolgen, wenn dies zur Erzeugung des Zertifikates protokollbedingt unvermeidlich ist. Die CA behält nach der Aushändigung eines Schlüsselpaares an den Benutzer keine Kopie des entsprechenden privaten Schlüssels oder der zur Konstruktion notwendigen Zwischenwerte.
Unterstützt werden im Rahmen der technischen Möglichkeiten:
Insbesondere ist die allgemeine rechtliche Relevanz digitaler Signaturen derzeit unklar. Der Sinn einer IN-weiten Public-Key-Infrastruktur liegt in der Schaffung der technischen Voraussetzungen für eine gesicherte elektronische Kommunikation. Insbesondere der IN-Verein, die beauftragten Personen und Firmen sowie die regionalen Mitarbeiter der IN-CAs übernehmen keine Form der Gewährleistung. Alle Aufgaben werden von den Projektmitarbeitern nach bestem Wissen und Gewissen durchgeführt.
Die vereinsexterne Anbindung der kompletten IN-CH an andere Hierarchien kann durch eine wechselseitige Zertifizierung (Cross-Zertifizierung) der IN-CAs mit anderen CAs erfolgen. Die Eingliederung der IN-CH in eine Internet-weite Infrastruktur kann erfolgen, sobald eine entsprechende Instanz verfügbar ist. In jedem Fall werden die Teilnehmer der IN-CH über internationale Anbindungen und Cross-Zertifizierungen informiert.
Pro Regionaldomain kann es eine Regionale IN-CA geben, welche direkt von der IN-Root-CA zertifiziert wird. Diese Regionalen IN-CAs haben die Möglichkeit, ihrerseits Zertifikate für Benutzer und ihnen untergeordnete Regionale IN-RAs zu erzeugen. Weitere, den Regionalen IN-CAs untergeordnete CAs sind zu vermeiden.
Unterhalb der IN-Root-CA operierende regionale IN-CAs haben weiterhin die Möglichkeit, durch den Vorgang der Cross-Zertifizierung mit anderen CAs eigene Verbindungen zu Zertifizierungsinstanzen bzw. -infrastrukturen von Einrichtungen herzustellen, welche nicht dem IN e.V. angehören.
Der öffentliche Schlüssel der IN-Root-CA ist in einem selbst-signierten Zertifikat (Wurzel-Zertifikat), ausgestellt durch die IN-Root-CA, enthalten. Alle Teilnehmer der Infrastruktur erhalten dieses Wurzel-Zertifikat im Zuge der eigenen Zertifizierung und können somit die Authentizität und Gültigkeit aller unterhalb der IN-Root-CA erteilten Zertifikate überprüfen. Die IN-Root-CA ist verpflichtet, direkte Abrufmöglichkeiten des Wurzel-Zertifikates über verschiedene Medien und Internet-Dienste bereitzustellen.
Anonyme und pseudonyme Zertifikate können von allen Zertifizierungsinstanzen innerhalb der IN-CH erteilt werden. Dies muß jedoch in dem betreffenden protokollspezifischen Teil der Policy explizit erwähnt sein.
Bei einer Registrierungsinstanz handelt es sich um einen in der üblichen Weise durch eine IN-CA zertifizierten Teilnehmer, der im Auftrag seiner IN-CA die Identitätsprüfung anderer Benutzer vor deren Zertifizierung durch die IN-CA übernimmt. Benutzer, die zertifiziert werden möchten, übermitteln ihren selbst-signierten Public Key und den entsprechenden Zertifizierungswunsch an die entsprechende IN-RA, welche sich anschließend in geeigneter Weise von der Identität des Benutzers überzeugen muß, um unzulässige Zertifizierungswünsche auszuschließen.
Eine IN-RA darf weder einen Schlüssel für Benutzer erzeugen, noch darf sie Benutzer-Zertifikate erteilen. Die IN-RA leitet lediglich einen vom Benutzer selbst-signierten Public Key in einer durch die IN-RA signierten Nachricht an die IN-CA weiter, wenn die Identität des Benutzers in geeigneter Weise durch die IN-RA überprüft wurde. Empfängt eine IN-CA den Zertifizierungswunsch eines Benutzers von einer vertrauenswürdigen IN-RA, wird nach Überprüfung der Gültigkeit der IN-RA-Signatur das von der IN-CA neu ausgestellte Zertifikat sowohl an die IN-RA als auch an den Benutzer übermittelt.
Jede IN-CA kann beliebig viele Benutzer zu IN-Registrierungsinstanzen ernennen. Eine IN-RA wird sich üblicherweise an bestimmte Prozeduren, festgelegt durch die IN-CA, halten müssen. Diese Prozeduren umfassen mindestend die in dieser Policy aufgeführten Handlungsweisen. Jede IN-CA veröffentlicht diese Prozeduren, zusammen mit einer Liste aller von ihr betrauten IN-RAs.
Sowohl Zertifizierungsinstanzen als auch Benutzer werden mit eindeutigen Namen bezeichnet. Die Wahl dieser Namen wird später beschrieben.
Vor jeder Zertifizierung hat sich die IN-CA in geeigneter Weise durch technische und organisatorische Maßnahmen von der Identität desjenigen Schlüsselinhabers zu überzeugen, welcher eine Zertifizierung wünscht, um unerlaubte Zertifizierungswünsche zu erkennen. Dieser Vorgang kann nur durch persönlichen Kontakt oder telefonischen Rückruf zu persönlich bereits länger und gut Bekannten vor der Zertifizierung erfolgen.
Setzt eine IN-CA Registrierungsinstanzen ein, kann die Verantwortung der Identitätsprüfung an die IN-RAs delegiert werden. Diese Delegierung ist mit der Einrichtung der IN-RA ausgesprochen und bedarf keiner Einzelfallzustimmung. Zur Identitätsprüfung sollte die IN-CA oder IN-RA benutzt werden, die der Aufgabe am geeignetsten nachkommen kann.
Das selbst-signierte Zertifikat eines Zertifikatnehmers im Sinne dieser Policy muß mindestens den Namen des Teilnehmers sowie dessen Public Key enthalten. Wahlweise kann dieses Zertifikat auch eine Gültigkeitsdauer enthalten. Nur derartige selbst-signierte Zertifikate sind im Rahmen dieser Policy zertifizierbar.
Zertifikate werden ausschließlich dann erteilt, wenn der zu zertifizierende Public Key über die festgelegten Mindestlängen verfügt und sich die zertifizierende Instanz in geeigneter Weise von der Identität des Schlüsselinhabers und dem Besitz des korrekten Schlüsselpaares überzeugt hat. In jedem Fall ist die Personalausweisnummer oder Reisepaßnummer des Schlüsselinhabers als Nachweis für den erfolgten Identitätsnachweis zu notieren. Diese Angaben sind vertraulich zu behandeln.
Bietet ein Protokoll keine Möglichkeit, ein Zertifikat zu widerrufen, so ist zusätzlich bei der Zertifizierung ein "Key Revocation Certificate" zu erzeugen und dieses bei der Zertifizierung mit zu Übergeben. Die IN-CA wird dieses "Key Revocation Certificate" ausschließlich im Falle des Zertifikatwiderrufs verwenden.
Für anonyme, pseudonyme oder andere experimentelle Zertifikate sind die Nachweise gemäß des zugehörigen protokollspezifischen Anhangs durchzuführen.
Die jeweilige IN-CA hat der IN-Root-CA ein schriftliches Konzept vorzulegen, aus dem die Soft- und Hardware, die eingesetzt werden sollen, ebenso hervorgehen wie die technischen und organisatorischen Maßnahmen, die die Betreiber der zukünftigen CA zur Gewährleistung der Sicherheitsanforderungen zu treffen gedenken.
Die IN-Root-CA behält sich vor, IN-CAs auf deren Eignung sowie das Vorhandensein der technischen Voraussetzungen vor Ort zu überprüfen.
Die Zertifizierung von IN-CAs erfordert den persönlichen Kontakt zwischen dem Administrator der IN-CA und der IN-Root-CA. Hierfür bieten sich die Mitgliederversammlungen des IN e.V. an. Auf ihnen sollte ein Vertreter der IN-Root-CA anwesend sein, und die Zertifizierung von IN-CAs sollte fester Bestandteil der Tagesordnung jeder IN-Mitgliederversammlung sein.
Zertifikate für CAs haben eine Gültigkeitsdauer von maximal 2 Jahren.
Die Einrichtung organisationsweiter Sub-Hierarchien obliegt der Verantwortung der regionalen IN-CA. Lediglich eine IN-CA einer Regionaldomain wird durch die IN-Root-CA zertifiziert; über diese Policy hinausgehende Richtlinien können bei Bedarf von dieser IN-CA in einer eigenen Policy festgelegt werden.
Ein RA-Zertifikat unterscheidet sich nicht von einem üblichen Benutzer-Zertifikat. Für die Zertifizierung von RAs siehe daher den nächsten Abschnitt.
Vor der Zertifizierung vergewissert sich die IN-CA von der Identität des Benutzers und der korrekten Zuordnung der E-Mailadresse zu diesem Benutzer. Erfolgt die Verifikation durch eine RA, leitet diese das vom Benutzer vorgelegte selbst-unterschriebene Zertifikat oder die vorgelegte Zertifikatsaufforderung in einer signierten und verschlüsselten (wegen der Ausweisnummer) Nachricht an die zuständige IN-CA weiter.
Sollen Gruppenschlüssel zertifiziert werden, hat ein Mitglied der Gruppe den Public Key an die zertifizierende Instanz zu übermitteln. Diese hat vor der Zertifizierung in geeigneter Weise die Existenz der entsprechenden Gruppe sowie die Zugehörigkeit des Benutzers zu der Gruppe zu verifizieren. Die Nachweise sind festzuhalten.
Es findet keine Zertifizierung statt, wenn nicht eindeutig auf die Gruppenzugehörigkeit des Benutzers geschlossen werden kann. Gruppenschlüssel dürfen nur von IN-CAs (nicht von IN-RAs) angenommen werden.
Zertifikate für Benutzer haben eine Gültigkeitsdauer von maximal anderthalb Jahren. Eine Nachzertifizierung ist möglich.
Vor einer Cross-Zertifizierung haben sich die verantwortlichen CA-Administratoren mit den Zertifizierungsrichtlinien der jeweils anderen CA vertraut zu machen. Der Vorgang der Cross-Zertifizierung besagt, daß die Policy der anderen CA bei der Zertifizierung bekannt war und deren aktuelle Richtlinien akzeptiert werden, nicht jedoch, daß diese Richtlinien mit der eigenen Policy übereinstimmen müssen.
Die Cross-Zertifizierung einer CA unterscheidet sich grundsätzlich nicht von der Zertifizierung eines Benutzers gemäß der jeweiligen Policy der Zertifikaterstellers. Die Verfahren können also durchaus verschieden sein. Der Public Key einer CA wird in einem selbst-signierten Zertifikat per E-Mail oder durch den Austausch eines Datenträgers an die andere CA übermittelt. Daran anschließend hat eine gegenseitige Verifikation der Identitäten zu erfolgen, um unerlaubte Zertifizierungswünsche auszuschließen.
Ein Cross-Zertifikat sollte keine längere Gültigkeitsdauer als das reguläre Zertifikat der cross-zertifizierten CA besitzen.
Es sei darauf hingewiesen, daß der Prozeß der Cross-Zertifizierung nicht notwendigerweise die gegenseitige Zertifizierung zweier Instanzen bedeuten muß. Denkbar ist eine Zertifizierung in lediglich eine Richtung beispielsweise dann, wenn eine IN-CA ihren Benutzern die Zertifikate einer kommerziellen CA verfügbar machen möchte, diese CA jedoch aus Policy-Gründen kein Zertifikat für die IN-CA erteilen kann. Diese Policy erlaubt explizit den IN-CAs die Zertifizierung kommerzieller CAs im Rahmen einer Crosszertifizierung.
Alle Zertifikate der IN-CH sollen veröffentlicht werden. Die IN-Root-CA wird hierfür die von ihr erteilten Zertifikate an einen entsprechenden Server zur Verteilung weiterleiten. Auch alle untergeordneten IN-CAs sind aufgefordert, Zertifikate in diesem Verzeichnis zur Verfügung zu stellen. Nur in solchen Fällen, in denen eine IN-CA keine Möglichkeit hat, Zertifikate im Verzeichnis abzulegen, muß sie sämtliche ausgestellten Zertifikate per E-Mail an die IN-Root-CA senden, welche die entsprechenden Einträge vornehmen wird. Zu diesem Zweck wird von der IN-Root-CA eine E-Mail-Adresse eingerichtet.
Als alternative, zusätzliche Verteilungsformen werden von der IN-Root-CA diverse Informationsdienste eingerichtet, deren Aufgabe die Verteilung von Zertifikaten und CRLs ist. Zu diesen Diensten gehören vorrangig ein E-Mail-basierter Server, FTP- und WWW-Server sowie bei Bedarf die Einrichtung von Mailinglisten oder UNIX-basierten ``finger''-Servern. Diese Dienste können auch von den einzelnen IN-CAs angeboten werden, um ihren Benutzern das Auffinden von Zertifikaten zu erleichtern.
Existieren bereits für das entsprechende Kryptosystem internationale Suchverzeichnisse (z.B. PGP-Keyserver), so sind diese in Anspruch zu nehmen. Nach Möglichkeit kann auch ein eigener Suchserver eingerichtet werden. Einträge in derartige Verzeichnisse können selbstverständlich auch von den einzelnen Benutzern vorgenommen werden.
Details zu den Informationsdiensten, die die IN-Root-CA zur Verteilung von Zertifikaten und CRLs anbietet, werden in einem separaten Dokument veröffentlicht. Diese Hinweise finden sich außerdem auf dem Informationsserver der IN-Root-CA.
Alle Teilnehmer der IN-CH erklären sich grundsätzlich mit der Veröffentlichung ihres Zertifikates einverstanden. Es besteht jedoch die Möglichkeit, bei der Beantragung eines Zertifikates einer Veröffentlichung zu widersprechen.
Jede IN-CA kann von ihr erteilte Zertifikate für CAs oder Benutzer jederzeit vor Ablauf der Gültigkeitsdauer ohne Angabe expliziter Gründe widerrufen.
Jeder Teilnehmer der IN-CH kann von der Instanz, die seinen Schlüssel zertifiziert hat, ohne Angabe von Gründen verlangen, daß diese das entsprechende Zertifikat widerruft. Die betreffende IN-CA hat diesem Verlangen nachzukommen, sobald sie sich durch geeignete Schritte davon überzeugt hat, daß der Antrag vom Zertifikatnehmer selbst stammt bzw. von ihm autorisiert ist.
Zertifikate können nur von der ausstellenden Instanz widerrufen werden. Alle widerrufenen Zertifikate werden von der zuständigen IN-CA auf einer sog. Certificate Revocation List (CRL) veröffentlicht, welche allen Teilnehmern zur Verfügung gestellt werden muß, damit widerrufene Zertifikate nicht aus Unwissenheit weiter benutzt werden. Widerrufene Zertifikate bleiben solange auf der CRL, bis die ursprüngliche Gültigkeitsdauer überschritten wurde.
Einmal widerrufene Zertifikate können nicht erneuert werden. Jedoch hat jeder Teilnehmer der IN-CH die Möglichkeit, ein neues Zertifikat zu beantragen.
Unmittelbar nach der Zertifizierung durch eine übergeordnete Instanz hat jede IN-CA eine CRL herauszugeben. Daran anschließend müssen in höchstens wöchentlichen Abständen CRLs herausgeben werden, auch wenn in der Zwischenzeit keine weiteren Zertifikate durch die IN-CA widerrufen wurden.
Für die Veröffentlichung der CRLs gelten die Absätze zur Veröffentlichung von Zertifikaten in gleicher Weise. Werden Zertifikate veröffentlicht, so sind die CRLs in jedem Fall an gleicher oder benachbarter Stelle zu veröffentlichen. Die Veröffentlichung der CRLs hat Vorrang vor der Zertifikatveröffentlichung.
Jeder zertifizierenden Instanz steht es frei, die CRLs von cross-zertifizierten Instanzen zu veröffentlichen.
Um die Bindung eines Public Keys an einen Benutzer zu erreichen, gibt es bestimmte Richtlinien für die Wahl der Benutzer-ID, welche bei der Zertifizierung zu beachten sind.
in-ca@[Regionaldomain] [SIGN/ENCR]
EXPIRE:1997-12-31 Regionale CA des Individual Network e.V.
".
Werden andere Adressierungsarten verwendet, so ist der Name mit der
IN-Root-CA abzustimmen.
Die angegebene E-Mailadresse der IN-CA muß erreichbar sein und dort
auflaufende E-Mail von den Mitarbeitern der IN-CA gelesen werden.
Automatische Mailroboter sind unter dieser Adresse nur zulässig, wenn
mindestens ein Verantwortlicher mitliest. Für die IN-Root-CA ist die
zugehörige 'Regionaldomain' "individual.net
".
Das 2.Feld des Namenseintrages enthält entweder die Zeichenfolge
"SIGN
" für den Verifikationsschlüssel oder
"ENCR
" für den Verschlüsselungsschlüssel. Der
zugehörige Signier- und Entschlüsselungsschlüssel sind stets unter Verschluß
zu halten.
Das 3.Feld gibt das Ende der Gültigkeit des Schlüssels klarschriftlich
an. Dies gilt immer, auch dann, wenn die zugehörige Schlüsselsoftware keine
zeitlichen Begrenzungen für Schlüssel oder Zertifikate kennt. Es gilt
insbesondere, wenn diese zeitlichen Begrenzungen auch an anderer Stelle im
Zertifikat vermerkt werden können. In diesem Fall müssen die Angaben im
Namen und in den entsprechenden Komponenten des Zertifikates zeitlich
identisch sein. (Unterschiedliche Datums-Repräsentationen, wie sie
z.B. für das Zertifikat durch den jeweiligen Zertifikat-Standard vorgegeben
sein können, sind davon unberührt.) Das Datumsformat ist
"YYYY-MM-DD
" und inklusive dieses Tages.
Der String "Regionale CA des Individual Network
e.V.
" ist fest.
Die Wahl des Benutzernamens wird in erster Linie durch die Richtlinien der IN-CAs bestimmt, es gilt jedoch auch für Benutzer die Regel der Namensunterordnung. Aus dem Namen muß unmittelbar auf dessen zertifizierende Instanz geschlossen werden können.
Der Name eines Benutzers soll folgendem Schema folgen:
"Realname <[name]@[host].[regionaldomain]>
".
Ausführlichere Formen haben die prinzipielle Gestalt:
"Realname (Kommentar) <[name]@[host].[regionaldomain]>
(Optionen)
". Alle Klammern müssen in diesem Fall paarweise
auftreten und können geschachtelt sein. Der Eintrag muß mit und ohne
Optionen nach RfC 822 (oder Nachfolger) direkt als E-Mailadresse
verwendet werden können.
Die angegebene E-Mailadresse sollte die bestmögliche Erreichbarkeit des
Nutzers sicherstellen. Die Felder "SIGN/ENCR
und
"EXPIRE:YYYY-MM-DD
" sind optional, aber wenn
vorhanden, dann müssen sie direkt nach der E-Mail Adresse folgen und
in einfachen runden Klammern stehen.
Ergibt die bestmöglich erreichbare E-Mailadresse nicht kanonisch die
Adresse der zuständigen IN-CA, so ist zusätzlich das Optionsfeld
"IN-CA:[regionaldomain]
" einzufügen.
Die Reihenfolge der Optionsfelder ist egal.
Der Realname geht dem formalen Eintrag voraus. Er darf keine Klammern oder andere Unregelmäßigkeiten enthalten. Über den US-ASCII Zeichensatz hinausgehende Kodierungungen sind nach RFC 1522 (oder Nachfolger) vorzunehmen.
Zumindest der Rufname ist auszuschreiben und wird von weiteren (ausgeschriebenen oder abgekürzten) Vornamen sowie dem ausgeschriebenen Nachnamen gefolgt. Die über den Rufnamen hinausgehenden Vornamen können ganz entfallen, wenn die Identität des Nutzers dadurch nicht verfälscht werden kann.
Im Anschluß an den Realnamen können in runden Klammern Kommentare eingefügt werden.
Beispiele für gültige Benutzernamen sind:
Rolf Michael Babbel <babel@babilon.babbel.de>
Rolf M. Babbel <babel@babilon.babbel.de> (SIGN)
Rolf M. Babbel <babel@babilon.babbel.de> (EXPIRE:1998-10-13)
Rolf M. Babbel <babel@babilon.babbel.de> (ENCR EXPIRE:1996-10-13)
Rolf Babbel (Bitte < 64kB/d) <babel@babilon.org> (IN-CA:babbel.de)
Rolf Babbel <babel@babilon.org> (EXPIRE:1996-10-13 ENCR IN-CA:babbel.de)
Auf Zertifikate, die andere Namensformate aufweisen, sind die Regeln analog anzuwenden.
Eine IN-CA darf keinesfalls einen Benutzernamen zertifizieren, für den es bereits ein Zertifikat für einen andere Person gibt. Dies vor der Zertifizierung zu prüfen, obliegt der jeweiligen IN-CA.
Die IDs von Gruppenschlüsseln müssen in eindeutiger Weise auf den Namen der Gruppe schließen lassen. Die angegebene E-Mailadresse muß die gesamte Gruppe erreichen (Mailingliste). Der Realname wird durch einen ausführlichen Gruppennamen ersetzt. Ansonsten gelten die Regeln für die Wahl eines Benutzernamen.
Es wird keine Haftung für die Korrektheit, Vollständigkeit oder Anwendbarkeit der enthaltenen Informationen und der vorgeschlagenen Maßnahmen übernommen. Ferner kann keine Haftung für eventuelle Schäden, entstanden durch die Inanspruchnahme der Dienste der IN-Root-CA, IN-CA oder daraus resultierender Dienste übernommen werden. Die Verantwortung für die Verwendung der oben beschriebenen Verfahren und Programme liegt allein bei den die Installation durchführenden Administratoren und Benutzern.
Die IN-Root-CA behält sich vor, Zertifizierungswünschen nicht nachzukommen. Ferner kann keine Garantie für die Verfügbarkeit der IN-Root-CA-Dienste übernommen werden. Eine Erreichbarkeit der IN-Root-CA auf den nächsten Arbeitstag wird angestrebt.
Sämtliche Arbeiten der IN-Root-CA, der regionalen IN-CAs und von deren RAs sind zu protokollieren.
Die IN-Root-CA stellt mindestens eine stets aktuelle Version der einsetzbaren Software zum Abruf bereit. Zu jeder Software legt die IN-Root-CA eine Datei zu den lizenzrechtlichen Bestimmungen bei. Diese sind zu beachten. Das gesamte Projekt ist nicht gewinnorientiert und experimenteller Natur.
Neue Protokolle bzw. Standards zur sicheren Kommunikation sowie weitere Algorithmen und Neuerungen im Bereich der Kryptographie werden durch den Verbund der IN-CAs öffentlich kommentiert werden und sollten unterstützt werden, sobald entsprechende Applikationen zur Verfügung stehen. Die IN-CAs vereinbaren Arbeitsteilung je nach den individuellen Möglichkeiten.
Anwendungsabhängige Richtlinien, die bestimmte Eigenheiten bei der Arbeit mit bestimmten Protokollen und Implementationen nutzen, werden in seperaten Dokumenten veröffentlicht.
Sämtliche erarbeiteten Dokumente und Softwareentwicklungen im Rahmen dieses Projektes unterliegen der GNU Public License der Free Software Foundation.