EUID: Mehr Sicherheit für digitale Zertifikate | SwissSign Blog

Navigieren auf SwissID

Eine Datensicherheitsspezialistin der Schweizerischen Post
Adrian Mueller • 28.04.2025

EUID: Wie Ihre digitalen Zertifikate noch vertrauenswürdiger werden – die neue international eindeutige Organisationskennung

Digitale Zertifikate sind nicht einfach technische Datenpakete, sie bescheinigen die Identität des Zertifikatshalters. SwissSign bietet deshalb innerhalb ihres Zertifikats-Produktportfolios die Möglichkeit, eine Organisation als Teil der Identität einzutragen.

Wenn es sich um eine Firma handelt, gilt gemäss dem Standard für E-Mail-Zertifikate die Pflicht, eine Registernummer einzutragen. Deutsche Handelsregister-Nummern stellen in dieser Hinsicht eine Herausforderung dar, da jedes Handelsregister lokal agiert und seinen eigenen Nummernkreis pflegt. Dieses Problem kann mit dem "European Unique Identifier" (EUID) der Europäischen Union gelöst werden. SwissSign engagiert sich in der Community zu diesem Thema und nimmt dabei eine führende Rolle ein.

Was ist PKI?

In unserem Blog erläutern wir, wie eine Public Key Infrastructure aufgebaut ist und welche Rolle die CAs darin spielen.

Weiterlesen

Nutzen Sie SwissSign-Zertifikate für die Signatur und Verschlüsselung von E-Mails? Dann interessiert Sie vielleicht dieser Hintergrund-Bericht zum Thema Registernummern und wie diese sinnvoll in Zertifikaten eingetragen werden. E-Mail-Zertifikate (auch "S/MIME-Zertifikate" genannt) werden ebenso im Internet verwendet wie SSL/TLS-Zertifikate.

Erstmalige Regulierung von S/MIME-Zertifikaten im September 2023 

Das Gremium, das S/MIME-Zertifikate reguliert, nennt sich "CA/Browser Forum" (CABF). Hier kommen Zertifizierungsstellen (Certificate Authorities) und Browser-Hersteller zusammen. Anders als für SSL/TLS-Zertifikate, mit denen sich das CA/B bereits seit Langem beschäftigt, trat der Standard für E-Mail-Zertifikate, die "S/MIME Baseline Requirements" (S/MIME BR), erst im Herbst 2023 in Kraft. 

Dies war ein Meilenstein für die international einheitliche Regulierung von S/MIME-Zertifikaten – SwissSign hat im Vorfeld über Monate und Jahre hinweg die Einführung dieses Standards mit-vorbereitet. In dieser neuen Regulierung wurden u.a. die S/MIME-Zertifikatstypen genau definiert: Es gibt Zertifikate mit und ohne Person als Zertifikatshalter sowie solche mit und ohne Organisations-Eintrag (sowie die entsprechenden Kombinationen).

Identität, Namen und Eindeutigkeit

Ein digitales Zertifikat ist nicht einfach ein technisches Datenpaket, es enthält den Namen des Zertifikatshalters (auch "Subject" genannt) und bescheinigt dessen Identität. Je nach Identität bestehen unterschiedliche Anforderungen an den im Zertifikat eingetragenen Namen und den Umfang der enthaltenen Namens-Attribute, also der Teile, aus dem der Namen zusammengesetzt ist. Bei Zertifikaten für sichere E-Mail-Signatur und -Verschlüsselung sieht dies wie folgt aus: 

Das SwissSign-Produkt "Personal E-Mail ID Silver" wird nur auf eine E-Mail-Adresse ausgestellt. Es wird deshalb nur diese E-Mail-Adresse im Namensfeld des Zertifikats eingetragen, zum Beispiel "CommonName = [email protected]" ("Common Name", was in etwa mit "Normalname" übersetzt werden kann, wird oft mit 'CN' abgekürzt). 

Das SwissSign-Produkt "Pro E-Mail ID Gold" hat denselben Verwendungszweck, es wird aber auf eine Person ausgestellt, welche Teil (typischerweise Angestellte) einer Organisation ist. Der Name ist deshalb umfangreicher ausgestaltet. Beispiel: 

CommonName = John Doe 

givenName = John

surname = Doe

Email = [email protected]

Organization = SwissSign AG

OrganizationIdentifier (2.5.4.97) = NTRCH-CHE-109.357.012

StateOrProvince = ZH

Country = CH

Angaben zur Person John Doe als auch zu seiner Organisation SwissSign AG sind also im Namen enthalten.

Bei den erwähnten Namens-Attributen ist es übrigens essentiell, dass jedes dieser Attribute überprüft wurde.

Des Weiteren ist es zwingend, dass der gesamte Name, also die Kombination der Namens-Attribute nur für einen Zertifikatshalter steht und somit eindeutig zuordenbar ist.

Eine neue international einheitliche Organisationskennung für mehr Kompatibilität

Insbesondere die Zertifikate mit Organisations-Eintrag stellten eine besondere Herausforderung dar. Es handelt sich um die Zertifikatstypen

  • "Sponsor Validated" (SV), die neben der E-Mail-Adresse auf eine Person als Mitarbeiterin einer Organisation ausgestellt werden (als Produkt "Pro S/MIME E-Mail ID Gold" erhältlich) und um 

  • "Organization Validated" (OV), die auf die Organisation selbst ausgestellt werden (dieses Produkt können Sie bei SwissSign voraussichtlich bis Ende des Jahres auch beziehen).

Hier ist ein neues Attribut im Namen des Halters ("Subject") Pflicht. Es handelt sich um "OrganizationIdentifier", welcher eine Kennung der Organisation enthält. Es wird übrigens nicht nur in E-Mail-Zertifikaten verwendet, sondern auch in Zertifikaten, welche zu der EU-Verordnung eIDAS oder zu dem Schweizer Signaturgesetz ZertES konform sind, also für Signaturen oder Organisationssiegel oder Zeitstempel.

Dieses Attribut wird mit Präfix inklusive Country Code konstruiert. Als anschauliches Beispiel soll hier der Eintrag für die SwissSign AG dienen. Dieser lautet NTRCH-CHE-109.357.012

  • Die ersten drei Buchstaben geben das verwendete nachfolgende Unterschema an. 'NTR' bedeutet dabei "National Trade Register", was in vielen Ländern mit der Handelsregister gleichzusetzen ist.

  • 'CH' ist ein normierter Länder-Code und steht für die Schweiz ('Confoederatio Helvetica') und

  • abgetrennt durch den Bindestrich '-' folgt die erwähnte Handelsregister-Nummer.

Durch die Struktur mit Präfix ist dieser OrganizationIdentifier also weltweit eindeutig. Je nachdem, ob es sich bei der identifizierten Organisation um

  • eine Firma oder sonstige private Organisationen,

  • eine staatliche Stelle oder

  • eine internationale Organisation

handelt, kann der Aufbau der Kennung in OrganizationIdentifier unterschiedlich aussehen. Was ist der Vorteil einer solchen eindeutigen Nummer? Zwar werden Zertifikate immer so ausgestellt, dass diese dem Halter – zum Beispiel der Organisation – eindeutig zuordenbar sind. Dabei werden verschiedene Namens-Attribute verwendet, neben dem Namen der Firma etwa das Land, in dem sie ansässig ist. Die Kombination verschiedener technischer Attribute ist aber unhandlich, auch können solche Eigenschaften ändern, zum Beispiel bei einer Neufirmierung, also bei einer Namensänderung der Firma. Solche eindeutigen Identifikatoren reduzieren also die in der digitalen Welt die Komplexität. Sie finden deshalb auch in der automatisierten Transaktions-Verarbeitung Verwendung.

Das Problem: Keine Eindeutigkeit in Deutschland

Für staatliche Stellen und internationale Organisationen stellen sich eigene Herausforderungen hinsichtlich OrganisationIdentifier, in diesem Artikel konzentrieren wir uns aber auf Firmen und private Organisationen im Allgemeinen.

Für private Organisationen gibt es mehrere Möglichkeiten an verwendbaren Unterschemen. Diese sind aber entweder wenig verbreitet (z.B. der in der Finanz-Branche verwendete "Legal Entity Identifier" - LEI) oder stellen Herausforderungen hinsichtlich Überprüfbarkeit und Persistenz dar. So werden zwar Umsatzsteuer- bzw. Mehrwertsteuer-Nummern (Englisch "Value Added Tax" - VAT) in praktisch jedem Land vergeben, die Register sind aber nicht öffentlich einsehbar, auch haben nicht alle privaten Organisationen eine solche Nummer. Dazu kommt noch, dass eine Firma aus der Umsatzsteuer-Pflicht entlassen werden kann.

Das oben erwähnte Schema mit NTR (National Trade Register Number) ist deshalb das einzige umfassende und praktikable für Firmen.

Die dabei verwendeten Handelsregister sind oft auf regionaler Ebene angesiedelt, die vergebene Nummer ist dabei aber trotzdem fast immer landesweit eindeutig. Beispiel Schweiz: Das Führen der Handelsregister obliegt den Kantonen. Im obigen Beispiel ist die SwissSign AG im Handelsregister des Kantons Zürich mit der Registernummer CHE-109.357.012 eingetragen. Bei dieser Nummer handelt es sich um eine "Unternehmens-Identifikations-Nummer" (UID) genutzt. Diese wird vom schweizerischen Bundesamt für Statistik vergeben und dient nicht nur als Handelsregister-Nummer, sondern dient auch als Kennung in anderen staatlichen Registern, z.B. wird sie auch als Mehrwertsteuer-Nummer verwendet. Sie ist demzufolge schweizweit für alle Handelsregister (und andere staatliche Unternehmensregister) harmonisiert und eindeutig. Auch bei einem etwaigen Kantonswechsel ändert diese Nummer nicht und bezeichnet danach die Firma im Handelsregister des Kantons, wo die Firma neu ihren Sitz hat.

Dasselbe gilt für die grosse Mehrheit der Staaten dieser Welt. Zu diesem Prinzip der landesweit eindeutigen Handelsregister-Nummern gibt es aber wenige Ausnahmen: in den USA und Kanada werden die Nummern nicht landesweit vergeben, sondern auf Ebene der Bundesstaaten.

Dieses Problem wird beim OrganizationIdentifier so gelöst, dass nicht nur der Standard-Code (ISO 3166-1) für den Staat USA oder Kanada im OrganizationIdentifier enthalten sein muss, sondern dass auch der Code für den Bundesstaat (ISO 3166-2) mit aufgenommen wird. Beispiele:

  • NTRUS+NY-123456 (Das Unternehmen hat Sitz in den USA ('US') im Bundesstaat New York 'NY')

  • NTRCA+QC-123456 (Das Unternehmen hat Sitz in Kanada ('CA') im Bundesstaat Quebec 'QC')

Eine weitere Ausnahme bei den landesweit eindeutigen Handelsregister-Nummer stellt Deutschland dar. Das Bundesland bzw. dessen standardisierten Code analog zu den oben beschriebenen nordamerikanischen Bundesstaaten zu inkludieren, löst das Problem hier aber nicht. Grund: Die Handelsregister werden durch Amtsgerichte geführt, pro Bundesland gibt es üblicherweise mehrere solcher Register. Die deutsche Handelsregister-Nummer wird also auf rein regionaler Ebene vergeben und ist auch nur innerhalb des Nummernkreises des Amtsgerichts eindeutig.

So kommt etwa in Nordrhein-Westfahlen aufgrund der Vielzahl von Amtsgerichten eine HR-Nummer mehrfach vor. Darum wäre die Nummer NTRDE -123456 in einem Zertifikat verwirrend, da die Firma damit immer noch nicht eindeutig zugeordnet werden kann. Auch der obige Ansatz für US-amerikanische und kanadische Firmen mit Einfügen des Bundeslandes im OrganizationIdentifier, also, löst das Problem nicht (z.B. NTRDE+NW123456 mit 'NW' für Nordrhein-Westfahlen).

Trotzdem wurden regionale Registernummern in Zertifikate eingefügt, als ob es sich um nationale Identifikatoren handelte. Dies hat zu Verwirrung geführt (interessierte Leser finden unter https://bugzilla.mozilla.org/show_bug.cgi?id=1917405 ein Beispiel). Um weitere Unstimmigkeiten zu vermeiden, blieb dem CA/Browser Forum nichts anderes übrig, als die SMIME BR dahingehend zu ändern, dass die Eindeutigkeit der (Firmen-) Einträge in OrganizationIdentifier nicht mehr gefordert wird.

Die Lösung: "European Unique Identifier" (EUID)

Bereits vor dem Inkrafttreten der S/MIME BR hatten sich unter Federführung von SwissSign CAs aus dem deutschsprachigen Raum des Problems angenommen. Zusammen mit D-Trust (Bundesdruckerei) und Deutsche Telekom Security GmbH (T-Systems) hat SwissSign eine Lösung erarbeitet; auch die Konformitätsbewertungsstelle der SwissSign, TÜV Trust IT, hat entscheidende Anstösse geliefert.

Als saubere Lösung wurde der "European Unique Identifier", abgekürzt EUID, identifiziert. Dieser ist nicht zu verwechseln mit der EUDI, die für "European Digital Identity" steht (und bei welcher SwissSign auch eine aktive Rolle spielt).

Die EUID wird durch eine EU-Durchführungsverordnung festgelegt und geregelt, Sie finden diese bei Interesse hier (siehe Abschnitt 9 des Anhangs).

Das System beruht darauf, dass der HR-Nummer ein Präfix hinzugefügt wird, welcher das Handelsregister bezeichnet. Erst diese Nummer wird in das NTR-Schema des OrganizationIdentifier eingefügt.

Beispiel: "DER3306.HRB66812". 'DE' steht natürlich für Deutschland, 'R3306' ist der EUID-normierte Code für das Amtsgericht Köln und "HRB66812" die von diesem vergebene Nummer für die eingetragene juristische Person. Diese Nummer ist somit Deutschland-weit eindeutig, der OrganizationIdentifier "NTRDE-DER3306.HRB66812" weltweit.

Die Liste solcher der Präfixe wird von offizieller Stelle gepflegt. Dadurch ist neben der besagten Eindeutigkeit auch die Verlässlichkeit und Konstanz des Systems sichergestellt. Aufgrund dieser Vorteile findet die EUID in der Welt der Zertifikate zunehmend Beachtung.

So wurde die S/MIME BR von SwissSign zusammen mit der US-amerikanischen CA DigiCert sowie der italienischen CA Actalis dahingehend aktualisiert, dass die EUID explizit empfohlen und erläutert wird. Bei Interesse finden Sie die angeregte Diskussion zum Thema hier: https://github.com/cabforum/smime/issues/263.

Auch das Europäische Institut für Telekommunikationsnormen (European Telecommunications Standards Institute – ETSI) hat die Bedeutung der EUID erkannt. ETSI erstellt diverse Normen für die elektronische Welt, z.B. die Vorgaben für digitale Zertifikate und elektronische Signaturen. Auch die Arbeitsgruppe zu "Electronic Signatures and Trust Infrastructures (ESI)" hat die Vorteile der EUID entdeckt. Die neue (Draft) Version des Standards (ETSI EN 319 412-1), in der OrganizationIdentifier definiert wird, führt nun auch die EUID explizit auf.

SwissSign hat hier also auf das richtige Pferd gesetzt und frühzeitig die Weichen richtig gestellt.

Fazit: Mehr Vertrauenswürdigkeit durch Engagement in der CA Community

Die Handelsregister-Nummer wird zunehmend in Public-Key-Zertifikaten eingetragen. Die speziellen Herausforderungen in Deutschland diesbezüglich können mit "European Unique Identifier" (EUID) elegant gelöst werden. Dieser von SwissSign beworbene Ansatz findet vermehrt Verwendung in der Zertifikatswelt.

Es zeigt sich, dass sich die Nähe der SwissSign zum deutschen Markt und die Kenntnis von dessen Besonderheiten auszahlt. Während die Eigenheiten des deutschen Handelsregister-Systems von vielen Anbietern bisher ignoriert wurden, haben CAs aus dem deutschsprachigen Raum diese frühzeitig adressiert. Gerne beraten wir Sie bei Fragen diesbezüglich auf Deutsch – bei Bedarf auch gerne in einer anderen Sprache wie Französisch oder Englisch.

Was Sie jetzt tun sollten

 

1. Wählen Sie Ihr Zertifikat und sichern Sie Ihre Online- oder E-Mail-Kommunikation sofort: Kaufen Sie das Zertifikat jetzt in unserem Webshop. Eine einfache Installationsanleitung ist enthalten.

Jetzt Zertifikate bestellen

2. Vereinfachen Sie Ihr Zertifikate-Management für TLS und E-Mail: Mit unserer Managed PKI (MPKI) können Sie Zertifikate für Ihre Mitarbeitenden, Kunden und Partner eigenständig und individuell für Ihre Bedürfnisse verwalten und sparen im Vergleich zum Kauf einzelner Zertifikate.

Jetzt MPKI bestellen

3. Lassen Sie sich beraten, wie Sie Ihren PKI-Set Up optimieren können - fahren Sie mit einer MPKI günstiger? Sollten Sie in ein Certificate Lifecycle Management investieren?

Jetzt Beratung anfragen

4. Haben Sie etwas lernen können aus unserem Beitrag, senden Sie ihn doch anderen Personen in Ihrer Organisation, speichern sich den Link für später oder teilen Sie ihn auf LinkedIn 👇

Zur Übersicht

Das könnte Sie auch interessieren

Adrian Mueller • 07.04.2025

Was ist eine Certificate Authority – und warum sie im digitalen Alltag unverzichtbar ist

Ob sichere Webseiten, verschlüsselte E-Mails oder digitale Signaturen – hinter jeder vertrauenswürdigen digitalen Identität steht eine Certificate Authority. Sie überprüft, bestätigt und sichert Identitäten im Internet und ist damit ein zentraler Baustein für Vertrauen in der digitalen Kommunikation, in Unternehmen, im öffentlichen Sektor und im Alltag.
Cybersecurity PKI & Zertifikate
Adrian Mueller • 21.11.2024

PKI – Was ist Public Key Infrastructure?

Was ist eine Public Key Infrastructure (PKI)? Die Basis für SSL-Zertifikate, digitale Signaturen und mehr – für digitale Sicherheit und Effizienz in Unternehmen
Cybersecurity PKI & Zertifikate
Adrian Mueller • 14.04.2025

Was ist TLS 1.3 – und was sind die Vorteile gegenüber der Version TLS 1.2?

Das Sicherheits-Protokoll "Transport Layer Security" (TLS) zur Verschlüsselung und zur Authentisierung von Kommunikation mit Web-Servern und seine Vorgänger wurde im Laufe der letzten dreissig Jahre wiederholt überarbeitet. Aktuell ist die Version 1.3 – wir erläutern, warum es lohnt, dieses zu unterstützen.
Cybersecurity PKI & Zertifikate

SwissSign

Ressourcen

Wissen

Support

Eine Datensicherheitsspezialistin der Schweizerischen Post

Logo von «Die Post», Sie gelangen zur Website von «Die Post».