Der BDEW gibt Hinweise und beantwortet häufig gestellte Fragen.
Aufgrund der Festlegung der Bundesnetzagentur zum Interimsmodell vom 20.Dezember 2016 sind seit 1. Juni 2017 alle Übertragungen von EDIFACT Dateien zur elektronischen Marktkommunikation per S/MIME zu verschlüsseln und zu signieren. Die dafür einzuhaltenden Regeln sind in den EDI@Energy „Regelungen zum Übertragungsweg“ festgehalten. Zum 1. Januar 2018 liefen einige von der BNetzA und dem BSI auf dringende Empfehlung des BDEW gewährte Übergangsregelungen für die dabei einzusetzende S/MIME Software aus (vgl. BDEW Artikel vom 15.Dezember 2017).
Aktuell können die zur Verschlüsselung und Signierung benötigten elektronischen Zertifikate bis Jahresende 2018 wahlweise mit den weitverbreiteten Verfahren sha256-RSA oder sha512-RSA (entspricht PKCS1-v1_5) sowie mit dem neueren Verfahren RSASSA-PSS signiert werden. Der Einsatz der neueren RSASSA-PSS signierten Zertifikate ist jedoch zunächst nur im beidseitigen Einverständnis möglich (vgl. Punkt 2 der BNetzA Mitteilung Nr. 7/2017).
Am 13. April 2018 hat die BNetzA eine neue Mitteilung Nr. 8 veröffentlicht, nach der ab 13. Juli 2018 die vorgenannte Zustimmungspflicht beim Einsatz RSASSA-PSS signierter Zertifikate entfällt. Aktuell gültige und im Einsatz befindliche Zertifikate können unverändert weiterverwendet werden, sofern sie die Anforderungen der EDI@Energy „Regelungen zum Übertragungsweg“ einhalten. Ebenso können neue elektronische Zertifikate, die bis zum 31.Dezember 2018 ausgestellt werden, weiterhin wahlweise mit den weitverbreiteten Verfahren sha256-RSA oder sha512-RSA (entspricht PKCS1-v1_5) sowie mit dem neueren Verfahren RSASSA-PSS signiert werden.
Antworten auf häufig gestellte Fragen
Frage: Was genau ändert sich am 13. Juli 2018 aufgrund der BNetzA Mitteilung Nr. 8 im Hinblick auf elektronische Zertifikate?
Antwort: Aktuell müssen beim Einsatz von RSASSA-PSS signierten Zertifikaten die beteiligten Marktpartner zustimmen. Diese Zustimmungspflicht entfällt ab dem 13.07.2018.
Frage: Was ändert sich am 1. Januar 2019 im Hinblick auf neue Zertifikate?
Antwort: Ab 1. Januar 2019 neu ausgestellte Zertifikate müssen mit dem neuen Verfahren RSASSA-PSS signiert werden. Die bisherigen Verfahren sha256-RSA und sha512-RSA sind für ab diesem Datum neu ausgestellte Zertifikate nicht mehr für den Einsatz in der elektronischen Marktkommunikation zugelassen. Bestehende Zertifikate, die bis zum 31. Dezember 2018 ausgestellt wurden, und die übrigen Anforderungen der EDI@Energy „Regelungen zum Übertragungsweg“ erfüllen, müssen jedoch nicht ausgetauscht werden.
Frage: Unser aktuelles Zertifikat läuft im Laufe des Jahres 2018 aus. Was ist bei der Beschaffung eines neuen Zertifikats zu beachten?
Antwort: Das neue Zertifikat kann wahlweise mit dem bisherigen Verfahren sha256-RSA bzw. sha512-RSA oder mit dem neuen Verfahren RSASSA-PSS signiert werden, solange es bis spätestens zum 31. Dezember 2018 ausgestellt wurde. Bei Verwendung des neuen Verfahrens RSASSA-PSS wird zunächst eine Zustimmung der beteiligten Marktpartner benötigt, diese Zustimmungspflicht entfällt jedoch ab dem 13. Juli 2018. Im Übrigen sind die technischen Anforderungen der EDI@Energy „Regelungen zum Übertragungsweg“ einzuhalten, insbesondere darf die Gültigkeit maximal 3 Jahre betragen.
Frage: Unser aktuelles Zertifikat läuft im Jahr 2019 oder später aus. Was ist bei der Beschaffung eines neuen Zertifikats zu beachten.
Antwort: Alle ab dem 1. Januar 2019 neu ausgestellten Zertifikate sind mit dem neuen Signaturverfahren RSASSA-PSS zu signieren. Die bisherigen Verfahren sha256-RSA und sha512-RSA sind für neue Zertifikate ab dem 1. Januar 2019 nicht mehr zulässig. Im Übrigen sind die technischen Anforderungen der EDI@Energy „Regelungen zum Übertragungsweg“ einzuhalten, insbesondere darf die Gültigkeit maximal drei Jahre betragen.
Frage: Können wir unser bestehendes sha256-RSA oder sha512-RSA Zertifikat weiter einsetzen? Wenn ja, wie lange?
Antwort: Zertifikate, die zum Zeitpunkt ihrer Ausstellung gemäß der EDI@Energy „Regelungen zum Übertragungsweg“ gültig waren, können im Rahmen ihrer maximal dreijährigen Gültigkeit weiter eingesetzt werden. Insbesondere können mit sha256-RSA oder sha512-RSA signierte Zertifikate auch über das Jahr 2019 hinaus weiter eingesetzt werden, sofern diese vor dem 31. Dezember 2018 ausgestellt wurden, und sie die übrigen Anforderungen der EDI@Energy „Regelungen zum Übertragungsweg“ einhalten. Diesem Bestandsschutz haben BNetzA und BSI auf dringende Empfehlung des BDEW zugestimmt.
