4
SuSe-Insider hier? Spezialfrage zur CCEAL4-Zertifizierung
Moin Kollegen.
Auflagen, die wir erfüllen müssen, verlangen, ein zertifiziertes Linux einzusetzen. Und zwar common-criteria-Vertrauenswürdigkeitsstufe „cc eal4+“. Wir würden gerne SuSe Enterprise Server nutzen und Version 15 SP2 hat auch diese Zertifizierung erreicht!
Problem: SP2 ist End-of-Life und höhere SP, z.B. SP5, haben lediglich cceal4 ("ohne plus") erreicht.
Frage: hat jemand eine Ahnung oder Insiderwissen, ob SuSe es nicht länger schafft/will, oder ob man in Zukunft noch damit rechnen kann, dass wieder ein OS von denen diese Stufe erreichen wird?
Und warum hat das SP5 nicht 4+ geschafft; legte SuSe da keinen Wert mehr drauf, oder sind sie wirklich "schlechter" geworden?
Auflagen, die wir erfüllen müssen, verlangen, ein zertifiziertes Linux einzusetzen. Und zwar common-criteria-Vertrauenswürdigkeitsstufe „cc eal4+“. Wir würden gerne SuSe Enterprise Server nutzen und Version 15 SP2 hat auch diese Zertifizierung erreicht!
Problem: SP2 ist End-of-Life und höhere SP, z.B. SP5, haben lediglich cceal4 ("ohne plus") erreicht.
Frage: hat jemand eine Ahnung oder Insiderwissen, ob SuSe es nicht länger schafft/will, oder ob man in Zukunft noch damit rechnen kann, dass wieder ein OS von denen diese Stufe erreichen wird?
Und warum hat das SP5 nicht 4+ geschafft; legte SuSe da keinen Wert mehr drauf, oder sind sie wirklich "schlechter" geworden?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671630
Url: https://administrator.de/forum/suse-insider-hier-spezialfrage-zur-cceal4-zertifizierung-671630.html
Ausgedruckt am: 31.03.2025 um 01:03 Uhr
4 Kommentare
Neuester Kommentar
Hast Du schon mal direkt bei SuSe angefragt?
Ich könnte mir vorstellen, dass denen das zuviel Bürokratie für zu wenig Nachfrage ist. Oder sie folgen der Kritik, zu viel Papier, zu wenig Produkt. Verhindern hier nun gar Bürokratie oder gar Lobbyismus den Einsatz der prinzipbedingt sichereren freien Systeme, weil nur noch kommerzielle Produkte das Monster bändigen können?
Das BSI, das sind doch die, die bis 2020 gebraucht haben, um zu erkennen, dass regelmäßige Passwortänderung die Sicherheit beinträchtigt statt fördert... Nachdem sogar MS das mehr als 1 Jahr zuvor begriffen hatte (die NIST-Empfehlung war von 2014, meine ich). Und ja, ich glaube, dass man sich beim BSI viel Mühe gibt. Wie auch in der EU
Ich weiß, der Ansatz hilft Dir nicht, Ihr müsst mit dem Bürokratiemonster BSI leben. Vielleicht hilft die Anfrage bei SuSe. Good Luck!
Viele Grüße, commodity
Ich könnte mir vorstellen, dass denen das zuviel Bürokratie für zu wenig Nachfrage ist. Oder sie folgen der Kritik, zu viel Papier, zu wenig Produkt. Verhindern hier nun gar Bürokratie oder gar Lobbyismus den Einsatz der prinzipbedingt sichereren freien Systeme, weil nur noch kommerzielle Produkte das Monster bändigen können?
Das BSI, das sind doch die, die bis 2020 gebraucht haben, um zu erkennen, dass regelmäßige Passwortänderung die Sicherheit beinträchtigt statt fördert... Nachdem sogar MS das mehr als 1 Jahr zuvor begriffen hatte (die NIST-Empfehlung war von 2014, meine ich). Und ja, ich glaube, dass man sich beim BSI viel Mühe gibt. Wie auch in der EU
Ich weiß, der Ansatz hilft Dir nicht, Ihr müsst mit dem Bürokratiemonster BSI leben. Vielleicht hilft die Anfrage bei SuSe. Good Luck!
Viele Grüße, commodity
Moin.
Ja, die Frage an SuSe steht auch noch aus; mal sehen, ob sich dort jemand im Pre-Sales findet, der tatsächlich Bescheid weiß.
Ja, die Frage an SuSe steht auch noch aus; mal sehen, ob sich dort jemand im Pre-Sales findet, der tatsächlich Bescheid weiß.
Moin DWW!
Laut BSI ist die Zertifizierung noch in Bearbeitung: https://www.bsi.bund.de/SharedDocs/Zertifikate_CC/InZertifizierung/1248. ...
Auf der Website des CCP finde ich die SLES15SP5 auch nicht. Die ist also wirklich noch nicht abgeschlossen.
Die Augmentation (das Plus) des EAL4 für SLES15SP2 steht laut dem Zertifikat für ACL_FLR.3. ACL_FLR.3 beschäftigt sich damit, wie Fehler / Bugs, etc... erfasst, überwacht, getrackt und behoben werden.
Da hat sich wahrscheinlich nichts am Prozess geändert, weshalb die SUSE Software Solutions GmbH sich gespart hat, diese Überprüfung auch vornehmen zu lassen. Das ist aber nur eine Vermutung, weil im Antrag nicht steht, welche Zertifizierung gemacht wird. Das wissen wir erst wenn der Prozess abgeschlossen ist oder jemand bei SuSE nachfragt.
Im übrigen läuft die Zertifizierung für SP2 erst am 07. Juli 2026 aus. Natürlich ist das OS unsicher, aber die Auflagen wären damit erfüllt?
Schönen Gruß,
@Snowman25
Laut BSI ist die Zertifizierung noch in Bearbeitung: https://www.bsi.bund.de/SharedDocs/Zertifikate_CC/InZertifizierung/1248. ...
Auf der Website des CCP finde ich die SLES15SP5 auch nicht. Die ist also wirklich noch nicht abgeschlossen.
Die Augmentation (das Plus) des EAL4 für SLES15SP2 steht laut dem Zertifikat für ACL_FLR.3. ACL_FLR.3 beschäftigt sich damit, wie Fehler / Bugs, etc... erfasst, überwacht, getrackt und behoben werden.
Da hat sich wahrscheinlich nichts am Prozess geändert, weshalb die SUSE Software Solutions GmbH sich gespart hat, diese Überprüfung auch vornehmen zu lassen. Das ist aber nur eine Vermutung, weil im Antrag nicht steht, welche Zertifizierung gemacht wird. Das wissen wir erst wenn der Prozess abgeschlossen ist oder jemand bei SuSE nachfragt.
Im übrigen läuft die Zertifizierung für SP2 erst am 07. Juli 2026 aus. Natürlich ist das OS unsicher, aber die Auflagen wären damit erfüllt?
Schönen Gruß,
@Snowman25
Moin.
Habe mit SuSe gesprochen und sie waren sehr hilfsbereit.
Sie wollen EAL4 weiterhin erreichen. Ich hatte bei den Fordernden nachgefragt, ob es wirklich 4+ sein muss und siehe da, nein, 4 reicht aus. Wir werden somit auf die nächste Version gehen, die 4 erreicht. Das SP2 ist EOL und wird sicherlich nicht eingesetzt.
Habe mit SuSe gesprochen und sie waren sehr hilfsbereit.
Sie wollen EAL4 weiterhin erreichen. Ich hatte bei den Fordernden nachgefragt, ob es wirklich 4+ sein muss und siehe da, nein, 4 reicht aus. Wir werden somit auf die nächste Version gehen, die 4 erreicht. Das SP2 ist EOL und wird sicherlich nicht eingesetzt.
