Zum Inhalt

Unterschied von Personenzertifikaten mit und ohne Identifizierung

Beim Beantragen von Personenzertifikaten haben Sie die Option, dieses mit oder ohne Identifikation zu tun:

Zertifikate binden Identitäten an kryptografisches Schlüsselmaterial. Identität ist – im Kontext von X.509-Zertifikaten – eine Ansammlung von benannten Werten. Welche Werte dort landen, hängt davon ab, ob eine erweiterte Identitätsprüfung (»Identifizierung«) stattgefunden hat:

C  = DE
ST = Baden-Württemberg

O  = Karlsruher Institut für Technologie
organizationIdentifier = NTRDE-123123123

SN = Beispiel
GN = Beate
CN = Beate Beispiel

emailAddress = beate.beispiel@kit.edu
SAN email = beate.beispiel@kit.edu
SAN email = b.beispiel@kit.edu

emailAddress = beate.beispiel@kit.edu
SAN email = beate.beispiel@kit.edu
SAN email = b.beispiel@kit.edu
Identität/Subject mit Identifizierung
Identität/Subject ohne Identifizierung

Mit Identifizierung enthält das Zertifikat neben den E-Mail-Adressen noch den groben Ort, das KIT als zugehörige Organisation sowie den Namen der natürlichen Person.

Ohne Identifizierung enthält das Zertifikat nur die E-Mail-Adressen.

Welche Variante man wählt, hängt primär davon ab, welche Erwartungen potenzielle Empfänger haben. Die „realen“ Unterschiede bei der Anzeige signierter E-Mails in gängigen E-Mail-Clients sind eher subtil. Wir würden trotzdem empfehlen – wenn möglich – Zertifikate mit Identifizierung zu verwenden.

Microsoft Outlook

Bei Outlook sehen beide Varianten sowohl im Info-Popup als auch in der Detailansicht komplett gleich aus. Erst wenn man noch tiefer die Zertifikatsdetails untersucht (ohne Bild), kommen die Unterschiede zutage. In der gelebten Praxis dürfte niemand einen Unterschied feststellen.

Identität/Subject mit Identifizierung
Identität/Subject ohne Identifizierung

Mozilla Thunderbird

Bei Thunderbird werden die Unterschiede eher sichtbar. Im Popup steht bei Zertifikaten mit Identifizierung der Name. In der Detailansicht werden sämtliche Unterschiede vollständig dargestellt.

Identität/Subject mit Identifizierung
Identität/Subject ohne Identifizierung

Apple Mail auf macOS

Apple Mail zeigt den Unterschied direkt in der E-Mail-Ansicht. Die Detailansicht zeigt ebenfalls sämtliche Unterschiede vollständig.

Identität/Subject mit Identifizierung
Identität/Subject ohne Identifizierung

Adobe Acrobat Reader

Falls sie (entgegen unserer expliziten Empfehlung) PDF-Dateien mit TCS-Zertifikaten signieren wollen: Der Unterschied ist, dass überall bei Zertifikaten mit Identifizierung der Name auftaucht. Zertifikate ohne Identifizierung sind hier also komplett nutzlos.

Zertifikats-Auswahldialog

Identität/Subject mit Identifizierung
Identität/Subject ohne Identifizierung