1. Geltungsbereich und Zweck 

Kurzfassung: Diese Bedingungen gelten ausschließlich für DigiCerts öffentlich vertrauenswürdige TLS/SSL-Zertifikate (DV, OV, EV, einschließlich Wildcard-TLS-Zertifikate). Sie beziehen sich auf die DigiCert Certificate Policy und das Certification Practices Statement (CP/CPS) und spiegeln die für öffentlich vertrauenswürdige TLS-Zertifikate geltenden Branchenstandards wider (z. B. die Leitlinien des CA/Browser Forums und die Richtlinien der Browser-Root-Stores).

Diese Bedingungen („Bedingungen“) gelten für öffentlich vertrauenswürdige TLS/SSL-Zertifikate, die von DigiCert oder seinen verbundenen Unternehmen im Rahmen der DigiCert Web PKI ausgestellt werden. Sie gelten nicht für andere Zertifikate außerhalb der DigiCert Web PKI, einschließlich anderer Zertifikatstypen oder Dienste (z. B. private/interne Zertifikate, S/MIME-E-Mail-Zertifikate, Code-Signing-Zertifikate oder EU-qualifizierte Zertifikate). Die Bedingungen beziehen das DigiCert Public Trust CP/CPS (das „CP/CPS“) ein, das zusammen mit diesen Bedingungen regelt, wie Web-PKI-Zertifikate ausgestellt, verwaltet und widerrufen werden. Das DigiCert Public Trust CP/CPS ist in der jeweils gültigen Fassung im DigiCert Legal Repository unter https://www.digicert.com/legal-repository/ verfügbar. Diese Bedingungen spiegeln die von Brancheninstanzen und Browsern festgelegten Richtlinien und Anforderungen wider, einschließlich der „Baseline Requirements“ des CA/Browser Forums für öffentlich vertrauenswürdige TLS-Zertifikate (abrufbar unter www.cabforum.org/working-groups/server/baseline-requirements/documents/) sowie der „Extended Validation (EV) Guidelines“ (für EV-Zertifikate, abrufbar unter www.cabforum.org/working-groups/server/extended-validation/documents/). Als Zertifizierungsstelle („CA“) ist DigiCert verpflichtet, diese Branchenstandards einzuhalten, einschließlich der unverzüglichen Sperrung (Widerruf) von Zertifikaten, wenn dies nach den einschlägigen Kriterien der Branchenstandards erforderlich ist, ohne Ausnahme.

2. Verwendung von Web-PKI-Zertifikaten

Sie dürfen Ihr DigiCert TLS/SSL-Zertifikat nur zur Absicherung der Domain-Namen verwenden, die Sie besitzen oder für die Sie eine ausdrückliche Berechtigung besitzen. Das Zertifikat darf nur auf Servern oder Geräten installiert werden, die Ihrer Kontrolle unterliegen (z. B. Server in der Infrastruktur Ihrer Organisation). Halten Sie den privaten Schlüssel des Zertifikats vertraulich. Zugriff dürfen nur Sie und Ihre autorisierten Beauftragten haben. Geben Sie Ihren privaten Schlüssel nicht an externe Dritte weiter.

Diese öffentlich vertrauenswürdigen TLS-Zertifikate sind ausschließlich für die TLS/SSL-Sicherheit von Webservern bestimmt. Sie dürfen ein DigiCert TLS/SSL-Zertifikat nicht für andere Zwecke verwenden, etwa für E-Mail-Verschlüsselung, Code-Signierung, Dokumentensignatur, VPN-Authentifizierung oder sonstige, für öffentliche TLS-Zertifikate nicht zugelassene Nutzungen. Selbst wenn die technischen Eigenschaften eines Zertifikats eine bestimmte Nutzung zulassen könnten, ist jede Nutzung außerhalb dieser Bedingungen oder außerhalb des definierten Zertifikatszwecks unzulässig und kann gegen Branchenvorgaben verstoßen. Die Nutzung eines Zertifikats für einen nicht vorgesehenen oder verbotenen Zweck stellt einen Widerrufsgrund dar (siehe Abschnitt „Widerruf“).

3. Beantragung eines Zertifikats

Kurzfassung: Bei der Beantragung eines Zertifikats sichern Sie zu, dass Ihre Angaben wahrheitsgemäß sind und dass Sie zur Beantragung des Zertifikats für die Domain und (falls zutreffend) die Organisation berechtigt sind.

Bei der Beantragung eines Zertifikats müssen Sie korrekte, vollständige und wahrheitsgemäße Informationen einreichen. Dies umfasst Domain-Namen, Unternehmensangaben und alle weiteren für die Ausstellung erforderlichen Daten. Sie dürfen Zertifikate nur für Domain-Namen beantragen, die Sie besitzen oder kontrollieren, oder für die Sie die ausdrückliche Erlaubnis des Inhabers haben. Fügen Sie keine Namen, Marken oder sonstigen Informationen ein, zu deren Nutzung Sie keine Rechte oder Befugnisse haben.

Mit der Zertifikatsbeantragung erklären und gewährleisten Sie: (a) dass Sie die gesetzlichen Rechte oder die Befugnis besitzen, die im Zertifikatsantrag aufgeführten Domain-Namen (sowie ggf. die Unternehmens- oder Personennamen) zu nutzen und zu kontrollieren; und (b) dass Ihr Zertifikatsantrag und die beabsichtigte Nutzung keine Rechte an geistigem Eigentum oder sonstige Rechte Dritter verletzen. Ein Missbrauch des Registrierungsprozesses oder die Angabe falscher, irreführender oder unautorisierter Informationen stellt einen wesentlichen Verstoß gegen diese Bedingungen dar. DigiCert wird jeden Zertifikatsantrag ablehnen, der gegen diese Regeln verstößt; jedes Zertifikat, das auf Grundlage falscher oder irreführender Angaben ausgestellt wurde, kann umgehend widerrufen werden.

4. Überprüfung vor Ausstellung

Kurzfassung: DigiCert überprüft Ihre Kontrolle über die Domain(s) und — bei OV- und EV-Zertifikaten — zusätzlich Ihre Organisation. EV-Zertifikate erfordern zusätzliche Unterlagen und Prüfungen. Wenn die Validierung nicht erfolgreich ist oder Auffälligkeiten bestehen, stellt DigiCert das Zertifikat erst aus, wenn alle Anforderungen erfüllt sind.

Vor der Ausstellung öffentlich vertrauenswürdiger TLS-Zertifikate führt DigiCert die erforderlichen Identitäts- und Berechtigungsprüfungen gemäß CP/CPS durch. Alle Zertifikatsanträge unterliegen der abschließenden Prüfung und Genehmigung durch DigiCert.

• Domain-Validierung (DV, OV, EV): Für alle Zertifikatstypen müssen Sie die Kontrolle über die im Zertifikat enthaltenen Domain(s) nachweisen. Dies kann E-Mail-basierte Challenges, das Anlegen von DNS-Einträgen, Datei-Uploads oder andere zugelassene Kontrollmethoden umfassen.
• Organisations-Validierung (OV, EV): Bei OV- und EV-Zertifikaten muss DigiCert die rechtliche Existenz, den operativen Status und die Berechtigung Ihrer Organisation zur Beantragung des Zertifikats prüfen. Dies kann die Einsicht in amtliche Register, Adressverifikation, telefonische Bestätigung sowie Abgleiche mit autoritativen Drittquellen umfassen.
• Extended Validation (EV): EV-Anträge unterliegen strengeren Kriterien, einschließlich der Benennung bestimmter autorisierter Rollen (z. B. EV-Antragsteller, Genehmiger und Vertragsunterzeichner) und zusätzlicher Unterlagen wie Registerauszüge oder  Gutachten. DigiCert verifiziert diese Rollen, bestätigt exklusive Domain-Rechte und führt erweiterte Betrugsprüfungen durch.

DigiCert kann die Ausstellung eines Zertifikats ablehnen, wenn Sie nicht auf Validierungsanfragen reagieren, erforderliche Unterlagen nicht bereitstellen oder wenn DigiCert ein Risiko von Betrug, Falschdarstellung oder Nicht-Einhaltung der Branchenstandards feststellt. Sämtliche Validierungsschritte müssen zur Zufriedenheit von DigiCert abgeschlossen sein. Kann ein Antrag nicht validiert werden oder erscheint nicht konform, wird DigiCert das Zertifikat nicht ausstellen.

5. Gültigkeitsdauer von Zertifikaten

Kurzfassung: Zertifikate haben kurze Laufzeiten. Sie sind dafür verantwortlich, sie vor Ablauf zu ersetzen. Der Einsatz von Automatisierung zur Erneuerung wird dringend empfohlen.

Öffentliche TLS/SSL-Zertifikate laufen bewusst nach begrenzter Zeit ab. Derzeit beträgt die maximal zulässige Gültigkeit für ein öffentlich vertrauenswürdiges TLS/SSL-Zertifikat 398 Tage (ca. 13 Monate). Branchenrichtlinien entwickeln sich hin zu noch kürzeren Laufzeiten in den kommenden Jahren (z. B. Reduktion auf ca. 200 Tage in 2026, 100 Tage in 2027 und 47 Tage bis 2029). Diese Änderungen folgen Sicherheits-Best Practices und dem Konsens des CA/Browser Forums, die Zertifikatslaufzeiten zu begrenzen — Automatisierung ist daher unerlässlich. DigiCert kann Jahresabonnements oder längere Bündel zur Vereinfachung anbieten; die Zertifikate werden dennoch in den von der Branche vorgegebenen Intervallen neu ausgestellt (d. h., eine erneute Validierung und Installation des aktualisierten Zertifikats kann erforderlich sein).

Sie sind dafür verantwortlich, das Ablaufdatum jedes Zertifikats zu überwachen und rechtzeitig ein Ersatz-Zertifikat zu erhalten und zu installieren. Wenn ein Zertifikat abläuft, zeigen abhängige Systeme Fehler an oder können keine sichere Verbindung herstellen. Abgelaufene Zertifikate dürfen nicht verwendet werden. Die weitere Nutzung eines abgelaufenen Zertifikats ist unsicher und verstößt gegen diese Bedingungen. Planen Sie, Zertifikate bei Ablauf unverzüglich zu entfernen oder zu ersetzen.

DigiCert empfiehlt nachdrücklich den Einsatz von Zertifikats-Management-Automatisierung (z. B. ACME-Protokolle, DigiCert CertCentral® APIs, DigiCert Trust Lifecycle Manager oder andere Automatisierungs-Tools) für Erneuerungen und Ersatz.

6. Ihre Pflichten als Subscriber

Kurzfassung: Durch die Beantragung oder Nutzung eines DigiCert-Zertifikats verpflichten Sie sich zu bestimmten Pflichten. Zusammengefasst: (a) korrekte Angaben, (b) Schutz Ihres privaten Schlüssels, (c) Prüfung und Annahme der Zertifikatsinhalte, (d) Nutzung nur im zulässigen Umfang (für die vorgesehenen Domains und Zwecke und im Einklang mit Recht und Richtlinien), (e) unverzüglicher Widerrufsantrag und Nutzungsstopp bei Schlüsselkompromittierung oder Unrichtigkeit von Angaben, (f) Nutzungsende des Zertifikats (und des Schlüssels) bei Ablauf oder Widerruf, (g) zeitnahe Reaktion auf Anfragen von DigiCert zu Sicherheitsfragen und (h) Anerkennung des Widerrufsrechts von DigiCert bei Bedarf. Diese Pflichten ergeben sich aus branchenweiten Standards.

Als Subscriber (Zertifikatsinhaber) haben Sie wesentliche Pflichten, um eine sichere Nutzung des Zertifikats gemäß diesen Bedingungen, dem CP/CPS und den anwendbaren Standards sicherzustellen. Sie erklären und gewährleisten gegenüber DigiCert und den Zertifikatsbegünstigten, dass Sie Folgendes tun werden:

a. Richtigkeit der Angaben: Sie stellen jederzeit korrekte und vollständige Informationen in Ihrem Zertifikatsantrag und in sämtlicher Kommunikation mit DigiCert im Zusammenhang mit Ihren Zertifikaten bereit. Sie aktualisieren Informationen unverzüglich, wenn sie sich während des Validierungsprozesses ändern. Wenn Informationen, die Sie DigiCert bereitgestellt haben, veralten oder unrichtig werden (z. B. Änderung von Name oder Adresse Ihrer Organisation oder Verlust der Kontrolle über eine im Zertifikat enthaltene Domain), aktualisieren Sie diese Informationen bei DigiCert oder informieren DigiCert unverzüglich.

b. Schutz des privaten Schlüssels: Sie erzeugen den privaten Schlüssel Ihres Zertifikats sicher unter Verwendung vertrauenswürdiger Systeme und starker kryptografischer Standards (mindestens ein 2048-Bit-RSA-Schlüssel oder eine gleichwertige ECC-Stärke, sofern nicht strengere Anforderungen gelten). Sie halten den privaten Schlüssel vertraulich und unter Ihrer alleinigen Kontrolle. Dazu zählen alle notwendigen Maßnahmen, um Verlust, Offenlegung oder unbefugte Nutzung des privaten Schlüssels zu verhindern.

c. Annahme des Zertifikats: Nach Ausstellung des Zertifikats durch DigiCert prüfen Sie die Zertifikatsdetails (z. B. Subject-Name, Domain-Namen, Unternehmensangaben usw.), um die Richtigkeit zu bestätigen. Sie verwenden das Zertifikat erst, nachdem Sie die enthaltenen Daten überprüft und das Zertifikat angenommen haben. Wird eine Unrichtigkeit festgestellt, setzen Sie sich vor Nutzung mit DigiCert in Verbindung, um Widerruf oder Neuausstellung zu veranlassen.

d. Nutzung des Zertifikats: Sie installieren und verwenden das Zertifikat nur auf Servern oder Geräten, die über die im Zertifikat aufgeführten Domain-Namen erreichbar sind (subjectAltName-Einträge). Sie verpflichten sich, das Zertifikat ausschließlich im Einklang mit diesen Bedingungen einschließlich CP/CPS zu verwenden. Das Zertifikat darf nicht auf Systemen genutzt werden, zu deren Betrieb Sie nicht berechtigt sind, und nicht für Zwecke außerhalb seines vorgesehenen Umfangs (siehe Abschnitt „Verwendung von Web-PKI-Zertifikaten“).

e. Meldung und Widerruf: Wenn Sie eine tatsächliche oder mögliche Kompromittierung des privaten Schlüssels oder eine missbräuchliche Nutzung des Zertifikats vermuten oder feststellen, benachrichtigen Sie DigiCert unverzüglich und beantragen Sie den Widerruf. Ebenso stellen Sie die Nutzung sofort ein und beantragen den Widerruf, wenn Angaben im Zertifikat zu irgendeinem Zeitpunkt falsch, ungenau oder irreführend sind.

f. Einstellung der Nutzung: Wenn ein Zertifikat widerrufen wird oder sein Ablaufdatum erreicht, entfernen Sie das Zertifikat unverzüglich von allen Systemen und stellen jede Nutzung des Zertifikats und der zugehörigen privaten Schlüssel ein. Die Nutzung abgelaufener oder widerrufener Zertifikate ist strikt untersagt. Nach Widerruf oder Ablauf verwenden Sie den zugehörigen privaten Schlüssel nicht, um den Widerruf zu umgehen.

g. Reaktionspflicht: Sie reagieren zeitnah auf Anfragen oder Anweisungen von DigiCert in Bezug auf Ihr Zertifikat oder den zugehörigen Schlüssel. Eine zügige Mitwirkung kann entscheidend sein, um Sicherheitsbedrohungen zu mindern oder Branchen-Widerrufsvorgaben einzuhalten. Eine verspätete Reaktion kann als Verstoß gegen diese Bedingungen gewertet werden und zur Sperrung führen.

h. Anerkennung der Widerrufsrechte: Sie erkennen an und akzeptieren, dass DigiCert als Zertifizierungsstelle das Recht hat, Ihr Zertifikat jederzeit zu widerrufen — auch ohne vorherige Benachrichtigung —, wenn Sie gegen diese Bedingungen verstoßen oder wenn der Widerruf zur Einhaltung des DigiCert CPS, geltenden Rechts oder der Branchenstandards erforderlich ist. Branchenstandards können Zertifizierungsstellen verpflichten, Zertifikate kurzfristig zu widerrufen; z. B. innerhalb von 24 Stunden bei kritischen Vorfällen oder innerhalb von 5 Tagen bei anderen Ereignissen. Sie erkennen an, dass DigiCert diese verbindlichen Fristen einhalten muss, und verpflichten sich, in solchen Fällen entsprechend mitzuwirken.

7. Widerruf (Wann und Warum)

Kurzfassung: In bestimmten Fällen muss ein Zertifikat vor Ablauf der Gültigkeitsdauer widerrufen werden. DigiCert muss zum Schutz der Sicherheit und zur Einhaltung der Branchenstandards rasch handeln. Sie sind zur Mitwirkung verpflichtet und dürfen den Widerruf nicht behindern.

In manchen Fällen müssen Sie einen Widerruf beantragen (z. B. wenn Ihr privater Schlüssel kompromittiert wurde oder Sie keine Domäne mehr kontrollieren). In anderen Fällen muss DigiCert ein Zertifikat auch ohne Ihren Antrag widerrufen, oft innerhalb kurzer Zeit. Diese Widerrufsverpflichtungen sind nicht verhandelbar und werden durch Branchenstandards, einschließlich der Baseline Requirements und der Richtlinien für den Browser-Rootstore, vorgeschrieben. Es gelten die folgenden Fristen.

Widerruf innerhalb von 24 Stunden (verpflichtend)

DigiCert widerruft Zertifikate innerhalb von 24 Stunden, wenn eine der folgenden Situationen eintritt:

a. Sie fordern DigiCert schriftlich auf, das Zertifikat zu widerrufen.

b. Sie teilen DigiCert mit, dass der ursprüngliche Zertifikatsantrag unautorisiert war. 

c. DigiCert erhält Hinweise darauf, dass Ihr privater Schlüssel kompromittiert wurde.

d. DigiCert wird über eine nachgewiesene Methode informiert, mit der Ihr privater Schlüssel anhand des öffentlichen Schlüssels im Zertifikat leicht berechnet werden kann.

e. DigiCert erhält Hinweise darauf, dass die Validierung der Domain-Autorisierung oder -Kontrolle für einen im Zertifikat enthaltenen Domain-Namen oder eine IP-Adresse nicht verlässlich ist.

Widerruf innerhalb von 5 Tagen (verpflichtend)

DigiCert widerruft Zertifikate innerhalb von 5 Tagen, wenn eine der folgenden Situationen eintritt:

a. Das Zertifikat entspricht nicht mehr den erforderlichen technischen Standards (z. B. sind Kryptografie oder Schlüssellänge nach den Baseline Requirements oder einer Browser-Root-Store-Policy nicht mehr zulässig).

b. DigiCert erhält Hinweise darauf, dass das Zertifikat missbräuchlich verwendet wurde.

c. DigiCert wird darauf aufmerksam gemacht, dass Sie gegen eine wesentliche Verpflichtung dieser Bedingungen verstoßen haben.

d. DigiCert wird darauf aufmerksam gemacht, dass die Nutzung eines im Zertifikat enthaltenen Domain-Namens oder einer IP-Adresse rechtlich nicht mehr zulässig ist (z. B. wenn ein Gericht oder Schiedsrichter das Nutzungsrecht des Domain-Inhabers entzogen hat).

e. DigiCert bestätigt, dass ein Wildcard-Zertifikat zur Authentifizierung einer betrügerischen oder irreführenden Subdomain verwendet wurde.

f. DigiCert wird auf eine wesentliche Änderung der ursprünglich im Zertifikat enthaltenen Informationen aufmerksam.

g. DigiCert erfährt, dass das Zertifikat nicht in vollständiger Übereinstimmung mit den Baseline Requirements oder dem CP/CPS ausgestellt wurde.

h. DigiCert stellt fest, dass die im Zertifikat enthaltenen Informationen unzutreffend sind.

i. Das Recht von DigiCert, Zertifikate gemäß den Baseline Requirements auszustellen, erlischt, wird widerrufen oder beendet — es sei denn, DigiCert hat Vorkehrungen getroffen, um das CRL/OCSP-Repository weiter zu betreiben.

j. Ein Widerruf ist aus einem anderen, oben nicht genannten Grund gemäß dem CP/CPS von DigiCert erforderlich.

k. DigiCert wird über eine nachgewiesene Methode informiert, die Ihren privaten Schlüssel der Kompromittierung aussetzt, oder es liegt klarer Nachweis vor, dass die konkrete Methode zur Schlüsselgenerierung fehlerhaft war.

Wenn DigiCert feststellt, dass aus einem der vorstehenden Gründe ein Widerruf erforderlich ist, erfolgt der Widerruf so schnell wie praktikabel. Schwerwiegende Bedrohungen erfordern häufig kurzfristige Widerrufe. DigiCert hält die Branchenregel ein, innerhalb von 24 Stunden bei kritischen Vorfällen und innerhalb von 5 Tagen bei anderen aufgezählten Ereignissen zu widerrufen. Im Einklang mit CP/CPS und Branchenanforderungen untersucht DigiCert Problemberichte zügig und verzögert den Widerruf nicht über die zulässige Frist hinaus. Wenn Ihr Zertifikat widerrufen wird oder widerrufen werden soll, sendet DigiCert in der Regel eine Benachrichtigung an die hinterlegte Kontakt-E-Mail mit einer kurzen Begründung, sobald dies zumutbar ist. Nach dem Widerruf wird der Status im Widerrufs-Repository (CRL und/oder OCSP) veröffentlicht; für die Fortsetzung des Dienstes ist ein neues Zertifikat erforderlich. Sie stimmen zu, dass DigiCert zum Widerruf berechtigt ist und akzeptieren die Folgen. DigiCert haftet nicht für Verluste oder Schäden, die Ihnen durch einen Widerruf entstehen, der gemäß diesen Bedingungen, dem CP/CPS oder den Branchenstandards vorgeschrieben ist.

8. Certificate Transparency und öffentliche Offenlegung

Kurzfassung: Wenn DigiCert ein öffentlich vertrauenswürdiges TLS/SSL-Zertifikat ausstellt, können bestimmte Details (einschließlich Ihrer Domain und ggf. Ihres Organisationsnamens) in öffentlich einsehbare Certificate-Transparency-Logs aufgenommen werden. Dies ist eine sicherheitsfördernde Branchenpraxis. Durch die Nutzung von DigiCert-Zertifikaten stimmen Sie dieser Veröffentlichung von Zertifikatsinformationen zu.

DigiCert kann alle ausgestellten TLS/SSL-Zertifikate gemäß Branchenvorgaben und den eigenen Richtlinien in öffentliche Certificate-Transparency (CT)-Logs eintragen. CT-Logs sind öffentliche Datenbanken, die der Überwachung und Prüfung von Zertifikatsausstellungen dienen. Mit der Protokollierung werden für jedermann (über CT-Suchwerkzeuge oder Datenfeeds) sichtbar: die Seriennummer des Zertifikats, die vollqualifizierten Domain-Namen (SANs), Ausstellungs- und Ablaufdatum, die ausstellende CA und — bei OV/EV-Zertifikaten — der im Zertifikat enthaltene Name und Standort Ihrer Organisation. Vertrauliche personenbezogene Informationen (wie Kontakt-E-Mails, Zahlungsdaten oder Konto-IDs) werden nicht in CT-Logs erfasst, sondern ausschließlich die im Zertifikat selbst enthaltenen Daten.

Die CT-Protokollierung kann als Teil des Ausstellungsprozesses erfolgen (vor oder unmittelbar nach der Bereitstellung des Zertifikats). Einmal protokollierte Zertifikatsdaten lassen sich nicht rückwirkend aus öffentlichen Logs entfernen. CT-Daten sind de facto unveränderlich und dauerhaft öffentlich zugänglich. Der Zweck von CT besteht darin, die Sicherheit zu erhöhen, indem Domain-Inhaber und die Community fehl- oder betrügerisch ausgestellte Zertifikate schnell erkennen können. Mit Ihrem Zertifikatsantrag erkennen Sie an, dass Zertifikatsdetails in CT-Logs veröffentlicht werden, und stimmen dem zu. Wenn Sie Bedenken hinsichtlich der Veröffentlichung bestimmter Informationen (z. B. des rechtlichen Namens Ihrer Organisation) haben, beachten Sie: Muss die Information im Zertifikat erscheinen, wird sie durch CT öffentlich. Fordern Sie keine optionalen Angaben an, wenn Sie mit deren öffentlicher Sichtbarkeit nicht einverstanden sind (z. B. würde eine E-Mail-Adresse in subjectAltName öffentlich protokolliert). Im Allgemeinen enthalten DigiCert TLS-Zertifikate nur notwendige, nicht hochsensible Informationen (Domains und Unternehmensnamen).

DigiCert kann außerdem eigene Repositorien und Statusdienste betreiben, in denen Zertifikatsinformationen und Widerrufsstatus verfügbar sind (z. B. OCSP-Responder, CRLs, Status-Websites), wie im CPS und den Baseline Requirements vorgesehen. Auch diese sind öffentlich einsehbar. Durch die Nutzung des Zertifikats erkennen Sie an, dass dessen Status (gültig/widerrufen/abgelaufen) öffentlich über solche Mechanismen offengelegt werden kann.

9. Nicht unterstützte Praktiken (Nutzung auf eigenes Risiko)

Kurzfassung: Bestimmte Vorgehensweisen im Zusammenhang mit Zertifikatsnutzung werden ausdrücklich nicht empfohlen und nicht von DigiCert unterstützt. Wenn Sie solche Praktiken einsetzen, geschieht dies auf Ihr eigenes Risiko; DigiCert kann ggf. keine Sonderwünsche berücksichtigen. Vermeiden Sie insbesondere das Hard-Coden (Pinning) von Zertifikaten/Schlüsseln und die Nutzung eines einzelnen Zertifikats für mehrere inkompatible Zwecke. Solche Praktiken können zu Dienstunterbrechungen oder Non-Compliance führen.

• Zertifikats/Schlüssel-Pinning: DigiCert unterstützt kein Hard-Coden oder „Pinning“ von DigiCert-Zertifikaten oder öffentlichen Schlüsseln in Anwendungen, Firmware oder Geräten. Beim Pinning wird Ihr System so konfiguriert, dass es nur ein spezifisches Zertifikat vertraut. Pinning führt zu Starrheit und kann bei erforderlichem schnellen Ersatz zu Ausfällen oder Sicherheitsrisiken führen. Wenn Sie Pinning mit einem DigiCert-Zertifikat implementieren, tragen Sie die volle Verantwortung für daraus resultierende Störungen. DigiCert wird erforderliche Maßnahmen (einschließlich Widerruf) nicht verzögern, um einer gepinnten Umgebung Rechnung zu tragen.
• Doppelnutzung / Fehlgebrauch von Zertifikaten: Verlassen Sie sich nicht auf ein einzelnes DigiCert-Zertifikat für mehrere, nicht dafür vorgesehene Anwendungsfälle. Beispielsweise ist die Nutzung eines Zertifikats sowohl für TLS/SSL (Web-Sicherheit) als auch für andere Zwecke wie S/MIME-E-Mail-Verschlüsselung, Code-Signierung oder Client-Authentifizierung nicht unterstützt. Jeder Zertifikatstyp ist für einen spezifischen Verwendungszweck vorgesehen, wie sich aus Typ und Erweiterungen ergibt. Eine Nutzung entgegen dieser Vorgaben (auch wenn technisch möglich) ist nicht empfohlen und kann zu Sicherheitslücken oder Non-Compliance führen. Nutzung in unzulässiger Weise erfolgt auf eigenes Risiko; DigiCert übernimmt hierfür keine Verantwortung.
• Irreversibles Einbetten: Vermeiden Sie das Einbetten von Zertifikaten in Kontexte, in denen sie nicht ohne weiteres ersetzt oder widerrufen werden können (z. B. fest in Firmware gebrannte Zertifikate oder weithin verteilte Artefakte ohne Update-Pfad). Wenn ein solches Zertifikat abläuft oder widerrufen werden muss, können betroffene Geräte ausfallen, ohne dass eine Korrektur im Feld möglich ist.

Verwenden Sie DigiCert-Zertifikate nur in Übereinstimmung mit den Richtlinien von DigiCert, dem CP/CPS und anerkannten Best Practices. Jede Nutzung, die den schnellen Widerruf oder Ersatz erschwert (z. B. tief eingebettete Zertifikate in Hardware oder weit verbreitetes Pinning ohne Fallback-Plan), erfolgt auf Ihr eigenes Risiko. Halten Sie stets einen Plan für den raschen Zertifikatsersatz bereit.

10. Verschiedenes

Integration mit anderen Vereinbarungen: Diese Bedingungen regeln zusammen mit dem CP/CPS Ihre Nutzung der von DigiCert bereitgestellten TLS/SSL-Zertifikate. Sie sind Bestandteil des DigiCert Master Services Agreement (https://www.digicert.com/content/dam/digicert/pdfs/legal/master-services-agreement-de.pdf) oder anderer anwendbarer Servicevereinbarungen zwischen Ihnen und DigiCert und ergänzen diese. Bei Widersprüchen zwischen diesen Bedingungen und dem CP/CPS hat das CP/CPS Vorrang. Bei Widersprüchen zwischen diesen Bedingungen und anderen Vereinbarungen, Serviceverträgen oder Bedingungen, die für DigiCert-Angebote gelten, haben diese Bedingungen Vorrang hinsichtlich Angelegenheiten, die sich speziell auf Ihre Nutzung von DigiCert TLS/SSL-Zertifikaten beziehen.

Gewährleistung zugunsten Verlassender Parteien und Drittbegünstigte: Verlassende Parteien („Relying Parties“) und Application Software Vendors (jeweils wie im CP/CPS definiert und jeweils ein „Certificate Beneficiary“) sind ausdrückliche Drittbegünstigte Ihrer Zusicherungen und Pflichten hierin. DigiCert kann eine begrenzte Gewährleistung zugunsten Verlassender Parteien anbieten, die Personen zugutekommt, die gutgläubig auf ein DigiCert-Zertifikat vertrauen (z. B. Website-Besucher oder Nutzer, die Schäden durch eine fehlerhafte Ausstellung erleiden). Eine solche Gewährleistung stellt keine Gewährleistung gegenüber Ihnen als Subscriber dar, sondern gegenüber Dritten, wie im CPS oder in Gewährleistungsdokumenten beschrieben. Abgesehen von den ausdrücklich genannten Regelungen begründen diese Bedingungen keine weiteren Drittbegünstigtenrechte.

Änderungen der Bedingungen: DigiCert kann diese Bedingungen von Zeit zu Zeit aktualisieren oder ändern, um Änderungen bei Leistungen, Technologie, rechtlichen/regulatorischen Anforderungen oder Branchenstandards Rechnung zu tragen. Aktualisierte Fassungen werden auf der DigiCert-Website (und/oder mittels In-Product-Hinweisen, Repository oder Kommunikation) veröffentlicht und durch ein aktualisiertes „Zuletzt aktualisiert“-Datum gekennzeichnet. DigiCert kann Abonnenten über wesentliche Änderungen zusätzlich per E-Mail oder Konto-Benachrichtigung informieren. Durch die fortgesetzte Nutzung von Web-PKI-Zertifikaten oder zugehörigen Diensten nach einer Aktualisierung erklären Sie Ihr Einverständnis mit den überarbeiteten Bedingungen. Wenn Sie den Änderungen nicht zustimmen, beenden Sie die Nutzung von Web-PKI-Zertifikaten und zugehörigen Diensten (vorbehaltlich etwaiger Übergangsregelungen oder Schonfristen, die DigiCert bekannt geben kann). Es liegt in Ihrer Verantwortung, diese Bedingungen regelmäßig auf Aktualisierungen zu prüfen. Diese Bedingungen gelten fort, bis alle hierunter ausgestellten Zertifikate abgelaufen oder widerrufen und außer Betrieb sind oder bis die Bedingungen durch eine neuere Version ersetzt werden.

Hinweis zur vereinfachten Sprache: Zur Erleichterung des Verständnisses enthalten einige Abschnitte dieser Bedingungen „Kurzfassung“-Zusammenfassungen oder vereinfachte Erläuterungen. Diese vereinfachten Zusammenfassungen dienen ausschließlich der Verständnishilfe und stellen keine rechtlich maßgeblichen Bestimmungen dar. Bei Unklarheiten oder Widersprüchen zwischen einer Kurzfassung und dem vollständigen Text gelten stets der ausführliche Text sowie das einbezogene CP/CPS. Die Verwendung vereinfachter Sprache soll die Verständlichkeit erhöhen und schmälert nicht die rechtliche Verbindlichkeit der Bestimmungen. Maßgeblich sind die im vollständigen Text genannten Verpflichtungen von Ihnen und DigiCert.