Was ist eine Zertifizierungsstelle (Certificate Authority)?

Unabhängig davon, ob es sich um öffentliches oder privates Vertrauen handelt, sind Zertifizierungsstellen ein wichtiger Bestandteil des breiteren Cybersicherheitssystems. Sie wissen nicht, was Zertifizierungsstellen sind oder wie sie funktionieren? Kein Problem.

Hier finden Sie alles, was Sie über Zertifizierungsstellen wissen müssen, einschließlich der Frage, wie Sie die beste Zertifizierungsstelle für Ihre Geschäftsanforderungen auswählen.

Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine Einrichtung, die die digitale Identität von Websites, E-Mail-Adressen, Unternehmen oder Einzelpersonen validiert. Dabei kommen kryptografische Mittel zum Einsatz, die so genannten digitalen Zertifikate, die eine Möglichkeit zum Nachweis der Authentizität bieten.

So arbeiten beispielsweise Webbrowser mit Zertifizierungsstellen zusammen, um Websites zu authentifizieren und sicherzustellen, dass sie nicht von Hackern oder böswilligen Akteuren betrieben werden. Gäbe es keine Zertifizierungsstellen, wäre es nicht sicher, im Internet einzukaufen, Bankgeschäfte zu tätigen oder sensible Daten zu übermitteln. Das „S“ im HTTPS-Präfix steht für „Secure“ (sicher), d. h., der Eigentümer der Website wurde von einer vertrauenswürdigen Zertifizierungsstelle überprüft.

Öffentliche und private Zertifizierungsstellen: Wo liegt der Unterschied?

Zertifizierungsstellen sind entweder öffentlich oder privat. Obwohl sie ähnliche Funktionen erfüllen, gibt es wichtige Unterschiede zwischen den beiden Kategorien:

• Öffentliche Zertifizierungsstellen: Zu dieser Gruppe gehören Einrichtungen, die Dienstleistungen für die Allgemeinheit erbringen. Ihre Zertifikate werden weltweit akzeptiert und eignen sich daher für die Absicherung von Websites, Online-Transaktionen und anderen digitalen Anwendungsfällen. Es gibt nur eine begrenzte Anzahl von öffentlichen Zertifizierungsstellen, die jedoch bei den großen Webbrowser-Anbietern ein hohes Maß an Vertrauen genießen.
• Private Zertifizierungsstellen: Diese Kategorie umfasst Zertifizierungsstellen, die speziell für den internen Gebrauch eines Unternehmens bestimmt sind. Das heißt, sie stellen ausschließlich Zertifikate für interne Zwecke und Anwendungsfälle aus, z. B. für private Netzwerke und VPNs, Benutzerauthentifizierung und Code Signing. Eine private Zertifizierungsstelle wird also nur von Benutzern innerhalb dieses Unternehmens als vertrauenswürdig eingestuft und stellt nur selten Zertifikate für externe Stellen aus. Aus diesem Grund wird sie gemeinhin auch als „lokale Zertifizierungsstelle“ bezeichnet.

Warum werden Zertifizierungsstellen als vertrauenswürdig eingestuft?

Öffentliche Zertifizierungsstellen sind eingehend geprüfte Stellen, welche die vom CA/Browser Forum festgelegten Grundanforderungen erfüllen müssen. Zertifizierungsstellen und Internet-Browser arbeiteten gemeinsam an der Entwicklung strengerer und einheitlicherer Standards für die Verwaltung und Ausstellung unterschiedlicher digitaler Zertifikate.

Dank dieser Grundanforderungen sind öffentliche Zertifizierungsstellen weltweit anerkannt und werden für die meisten Anwendungen akzeptiert. Sie können jedoch keine internen Anwendungsfälle unterstützen, und hier kommt die private Zertifizierungsstelle ins Spiel. Jede private Zertifizierungsstelle verfügt über eine Richtlinie, in der ihre Aufgaben sowie die Verfahren und Kontrollen für die Ausstellung von Zertifikaten festgelegt sind. Diese wiederum gelten als vertrauenswürdig und besonders sicher.

Einfach ausgedrückt sind digitale Zertifikate eine Möglichkeit, die Authentizität eines Geräts, Webservers, Benutzers oder Unternehmens nachzuweisen. Sie dienen einem ähnlichen Zweck wie ein Führerschein oder ein Reisepass, denn sie bieten eine Form der Identifizierung und überprüfen bestimmte Berechtigungen. Digitale Zertifikate erfüllen jedoch nicht die Erlaubnis zum Führen eines Fahrzeugs oder zur Einreise in ein Land, sondern drei Hauptfunktionen:

1. Authentifizierung: Zertifikate fungieren als Berechtigungsnachweis, der die Identität der Entität bestätigt, für die sie ausgestellt wurden, z. B. eine Webdomäne oder ein Unternehmen.
2. Verschlüsselung: Sie sichern die Kommunikation über das Internet, indem sie online übermittelte Informationen wie Benutzernamen und Passwörter oder E-Mails verschlüsseln.
3. Signierung: Zertifikate stellen sicher, dass digital signierte Dokumente nicht von Dritten verändert werden und somit ihre Integrität gewahrt bleibt.

Dies alles wird ermöglicht durch die Public-Key-Infrastruktur (PKI). Kurz gesagt, umfasst PKI die gesamte Hardware, Software, Verfahren und Richtlinien, die erforderlich sind, um kryptografische Schlüssel zu erzeugen und zu speichern, also die Ressourcen, die die Verschlüsselung, Entschlüsselung und Überprüfung ermöglichen.

Wie funktioniert die Public-Key-Infrastruktur?

Bei der PKI sind alle digitalen Zertifikate mit einem bestimmten Schlüsselpaar verbunden: einem öffentlichen Schlüssel und einem privaten Schlüssel. Jeder dieser kryptografischen Werte ist eine lange Bitfolge, die zur Ver- und Entschlüsselung von Daten verwendet wird. Jedes Zertifikat ist eindeutig einer bestimmten Person oder Einrichtung zugeordnet und dient ähnlich wie ein Reisepass der Identifizierung.

Der öffentliche Schlüssel ist für jeden, der ihn anfordert, frei verfügbar und ermöglicht es ihm, sensible Informationen zu verschlüsseln, bevor er sie an die entsprechende Stelle sendet. Diese Nachricht kann jedoch nur mit dem privaten Schlüssel entschlüsselt werden, der nur dem Besitzer des öffentlichen Schlüssels bekannt ist.

Aber woher weiß man, dass der Absender eines öffentlichen Schlüssels der ist, der er vorgibt zu sein? Hier kommen die Zertifikate ins Spiel. Sie enthalten nicht nur den öffentlichen Schlüssel, sondern auch Informationen über seinen Besitzer, die ausstellende Zertifizierungsstelle, die Daten, mit denen er erstellt wurde, und den Zeitpunkt seines Ablaufs. Auf diese Weise lässt sich überprüfen, ob der Schlüssel tatsächlich der Einrichtung gehört und nicht einem böswilligen Akteur.

Was ist Zertifikatsverwaltung?

Unter Zertifikatsverwaltung versteht man die Verwaltung digitaler Zertifikate während ihres gesamten Lebenszyklus– von der Bereitstellung über die Verlängerung bis zum Widerruf. Für Unternehmen, die eine wachsende Anzahl von Zertifikaten besitzen, kann die Zertifikatsverwaltung allerdings eine Herausforderung darstellen.

Angesichts der zunehmenden Verwendung digitaler Zertifikate sind manuelle Verwaltungsprozesse (wie Tabellenkalkulationen) nicht mehr tragbar. Viele Unternehmen setzen auf Lifecycle-Management-Tools, die nicht nur einen vollständigen Überblick über ihre kryptografischen Bestände und Zertifikate bieten, sondern auch eine dringend benötigte Automatisierungsebene.

Digitale Zertifikate als Grundlage für den Schutz der Privatsphäre und der Daten sind für sichere Online-Interaktionen unerlässlich. Die meisten Zertifizierungsstellen bieten eine Reihe von Zertifikatstypen für verschiedene Anwendungsfälle, Sicherheitsstufen, Compliance-Anforderungen und andere Anwendungen an. Dazu gehören:

Signaturzertifikate für Dokumente

Wie der Name schon sagt, wird ein Signaturzertifikat für Dokumente zum Signieren elektronischer Dokumente verwendet. Noch wichtiger ist, dass dadurch die Integrität des Dokuments sichergestellt wird, weil überprüft wird, ob der Inhalt manipuliert wurde. Außerdem wir die Identität des Unterzeichners geprüft. Solche Zertifikate sind besonders nützlich für rechtsverbindliche Verträge, da Unternehmen dadurch die Nachweisbarkeit leichter bestätigen können.

Signaturzertifikate für Codes

Analog dazu ermöglicht ein Signaturzertifikat für Codes es Softwareentwicklern, Anwendungen und Programme digital zu signieren. So können die Endbenutzer sicherstellen, dass der erhaltene Code nicht verändert oder manipuliert wurde, was beide Parteien vor Betrug, Malware und Diebstahl schützt.

TLS/SSL-Zertifikate

Die beiden wohl gebräuchlichsten Arten von digitalen Zertifikaten sind TLS- und SSL-Zertifikate. TLS steht für „Transport Layer Security“, während SSL für „Secure Sockets Layer“ steht. Beides sind Internet-Sicherheitsprotokolle, die die Identität authentifizieren und verschlüsselte Browserverbindungen herstellen.

Technisch gesehen ist das SSL-Zertifikat veraltet, und die TLS-Verschlüsselung ist an seine Stelle getreten. Der Name „SSL“ wird jedoch nach wie vor häufig im Zusammenhang mit der Transport Layer Security verwendet. Aus diesem Grund sieht man häufig eine Kombination der beiden Akronyme: TLS/SSL.

Zertifikate dieser Art werden normalerweise für die Website-, Client- und Server-Authentifizierung verwendet. Innerhalb dieser allgemeinen Kategorie gibt es mehrere spezifische Arten von TLS/SSL-Zertifikaten, darunter:

• Extended-Validation-Zertifikate (EV): EV-SSL-Zertifikate bieten eine Garantie für höchste Sicherheit und der Verifizierungsprozess ist hier am strengsten. Wenn sie auf einer Website genutzt werden, sehen die Benutzer ein Vorhängeschloss-Symbol, den Namen der Organisation und ein „S“ nach der HTTP-Bezeichnung (also HTTPS). Diese Art von Zertifikat wird im Allgemeinen für Webanwendungen verwendet, die eine Identitätssicherung für die Erfassung von Daten, die Verarbeitung von Anmeldungen oder die Durchführung von Online-Zahlungen erfordern.
• Organization-Validation-Zertifikate (OV): OV-SSL-Zertifikate zur Unternehmensvalidierung bieten Identitätssicherheit und Verschlüsselung und eignen sich am besten für die Verschlüsselung von Benutzerdaten bei Transaktionen. Die meisten Websites mit Kundenkontakt sind gesetzlich verpflichtet, OV-SSL-Zertifikate einzusetzen, um sicherzustellen, dass die während einer Sitzung übermittelten Informationen vertraulich bleiben.
• Zertifikate mit Domain-Validierung (DV): DV-SSL-Zertifikate haben weniger Anforderungen an die Identitätsüberprüfung als EV- oder OV-Zertifikate, denn sie weisen nur die Domainkontrolle nach. Sie werden häufig für risikoarme Anwendungen wie Blogs, Benutzergemeinschaften oder Informationsseiten verwendet. Deshalb sind DV-Zertifikate kostengünstiger und leichter zu erhalten.
• Wildcard-SSL-Zertifikate: Ein Wildcard-SSL-Zertifikat ist bis zur Organisationsvalidierungsstufe verifiziert und stellt eine kostengünstige Lösung für die Absicherung einer Basisdomain und einer beliebigen Anzahl von zugehörigen Subdomains dar. Sie sind nicht nur kostengünstiger als der Kauf mehrerer einzelner Zertifikate, sondern auch einfacher nutzbar, da die Benutzer nicht mehrere Zertifikatsignieranforderungen (Certificate Signing Requests) einreichen oder die Ablaufdaten für mehrere TLS/SSL-Zertifikate für diverse URLs verwalten müssen.
• Unified Communications SSL-Zertifikate (UC): Diese Zertifikate werden entweder auf der Ebene der erweiterten Validierung oder der Organisationsvalidierung überprüft. Eine effiziente und kostensparende Möglichkeit, mehrere Zertifikate zu konsolidieren, ist die Nutzung von Subject Alternative Names (SANs). UC-SSL-Zertifikate schaffen vertrauenswürdige Identitäten und beseitigen Browser-Benachrichtigungen, die Besucher vor dem Besuch Ihrer Website warnen.

Vertrauenswürdige TLS/SSL-Zertifikate von einer seriösen Zertifizierungsstelle sind aus einer Reihe von Gründen äußerst wichtig:

• Wachsende Compliance-Anforderungen: Die in Europa eingeführte Datenschutz-Grundverordnung (DSGVO) wird weltweit übernommen. Unternehmen, die gegen die DSGVO-Standards verstoßen, müssen mit hohen Geldstrafen oder Umsatzeinbußen rechnen.
• Verlust der Sichtbarkeit in Suchmaschinen: Suchmaschinen gehen gegen sicherheitsgefährdende Websites vor, indem sie Negativindikatoren für die Sicherheit einbauen und Websites aus den Suchmaschinenergebnissen entfernen.
• Erhöhte Datensicherheit: Der Schutz von Passwörtern, Kreditkartennummern, Finanztransaktionen und anderen wertvollen Daten ist von entscheidender Bedeutung.
• Vertrauenswürdige Identitäten als Schwerpunkt: Die Zertifizierungsstelle prüft die Identität von Unternehmen, bestätigt, dass das Unternehmen die Kontrolle über seine Domains hat, und stellt sicher, dass der Antragsteller des Zertifikats beim entsprechenden Unternehmen beschäftigt ist.

Der Prozess beginnt damit, dass ein Antragsteller ein Paar kryptografischer Daten – den öffentlichen und den privaten Schlüssel – zusammen mit einer Zertifikatsignieranforderung (CSR) erzeugt. Kurz gesagt, ist ein CSR eine verschlüsselte Datei, die den öffentlichen Schlüssel und andere relevante Informationen enthält, die in das Zertifikat aufgenommen werden sollen.

Dies kann den entsprechenden Domänennamen, das Unternehmen und Kontaktinformationen umfassen, hängt aber letztlich von der Validierungsstufe und dem beabsichtigten Anwendungsfall ab. Der private Schlüssel wird jedoch immer geheim gehalten und sollte niemandem gezeigt werden, auch nicht der Zertifizierungsstelle.

Anschließend sendet der Antragsteller die Zertifikatsignieranforderung an die ausstellende Zertifizierungsstelle. Die ausstellende Zertifizierungsstelle überprüft dann unabhängig die Richtigkeit der in der Zertifikatsignieranforderung enthaltenen Informationen. Ist dies der Fall, wird das Zertifikat mit dem eigenen privaten Schlüssel digital signiert und zurückgeschickt, wodurch eine zusätzliche Vertrauensebene geschaffen wird.

Schließlich kann das digitale Zertifikat mit Hilfe des öffentlichen Schlüssels authentifiziert werden, z. B. wenn jemand die Website des Antragstellers über einen Webbrowser besucht. Außerdem bestätigen Browser, dass der Inhalt des Zertifikats seit seiner Unterzeichnung durch die ausstellende Zertifizierungsstelle nicht verändert oder manipuliert wurde.

Die Vertrauenskette ist eine Hierarchie, mit der Zertifikate die Gültigkeit der ausstellenden Zertifizierungsstelle überprüfen. Bei diesem Modell werden die Zertifikate ausgestellt und von anderen Zertifikaten signiert, die in der Kette weiter oben stehen. Auf diese Weise kann jeder, der die Echtheit eines Zertifikats überprüfen möchte, es bis zum Original der Zertifizierungsstelle, dem so genannten „Root-Zertifikat“, zurückverfolgen.

Insgesamt setzt sich dieser Prozess aus drei Teilen zusammen:

1. Ein Vertrauensanker ist die ursprüngliche Zertifizierungsstelle. Ihr Root-Zertifikat wird normalerweise in den meisten Browsern in einem „Trust Store“ heruntergeladen.
2. Es gibt mindestens ein Zwischenzertifikat, das sich wie ein Baum von den Stammzertifikaten verzweigt. Sie bilden einen Puffer zwischen der vertrauenswürdigen Zertifizierungsstelle und der Endeinheit.
3. Das Endeinheitzertifikat validiert die Identität einer Website, eines Unternehmens oder einer Person. Die Vertrauenskette stellt sicher, dass die Zertifizierungsstellen die Compliance-Standards einhalten, insbesondere in Bezug auf Sicherheit, Datenschutz und Skalierbarkeit.

Nicht alle Zertifizierungsstellen sind dafür ausgelegt oder in der Lage, den spezifischen Anwendungsfall Ihres Unternehmens zu sichern. Einige arbeiten nicht mit Ihrer IT-Infrastruktur zusammen, aber andere haben vielleicht nicht die Dienste, die Sie suchen. Hier sind einige wichtige Überlegungen, die Sie bei der Auswahl einer Zertifizierungsstelle beachten sollten:

• Wird Ihre Marke durch die Zertifizierungsstelle angemessen geschützt?
• Befolgt die Zertifizierungsstelle die Best Practices des Certificate Authority Browser Forum?
• Bietet die Zertifizierungsstelle flexible Lizenzierungs- und Preismodelle?
• Kann die Zertifizierungsstelle mit Ihrem Unternehmen mitwachsen, um dessen aktuelle und zukünftige Bedürfnisse zu erfüllen?
• Nimmt die Zertifizierungsstelle aktiv am CA Security Council teil?

Vertrauen Sie uns Ihre digitalen Zertifikate an

Es gibt einen Grund, warum sich unzählige Unternehmen für ihren Bedarf an öffentlichen und privaten Zertifikaten an Entrust wenden. Als weltweit anerkannte Zertifizierungsstelle verfügen wir über jahrzehntelange Erfahrung in der Ausstellung und Verwaltung von Zertifikaten. Darüber hinaus bieten wir Ihnen ein einziges Fenster für die Verwaltung öffentlicher und privater Zertifikate – einschließlich derer, die von anderen Zertifizierungsstellen ausgestellt wurden. 

Und als Gründungsmitglied des CA Security Council und des CA/Browser Forum sind wir bei der Entwicklung von Branchenstandards immer ganz vorne mit dabei. Mit einem breiten Portfolio an digitalen Zertifikaten und Lösungen haben Sie Zugang zu einer wachsenden Liste an innovativen Produkten und Dienstleistungen.

Die preisgekrönten Zertifikatsplattform von Entrust gewährt Ihnen folgende Vorteile:

• Unvergleichliche Unterstützung
• Universelle Browser-Kompatibilität
• Unbegrenzte Wiederausstellungen
• Unbegrenzte Serverlizenzierung mit 128- bis 256-Bit-Verschlüsselung