Zertifizierungsstelle - Certificate Authority (CA)
Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine vertrauenswürdige Entität, die digitale Zertifikate ausstellt. Hierbei handelt es sich um Dateien, die eine Entität kryptografisch mit einem öffentlichen Schlüssel verknüpfen. Zertifizierungsstellen sind ein wichtiger Bestandteil der Public-Key-Infrastruktur (PKI) des Internets, da sie die SSL-Zertifikate (Secure Sockets Layer) ausstellen, mit denen Browser von Webservern gesendete Inhalte authentifizieren.
Alle gängigen Webbrowser verwenden die SSL-Zertifikate von Webservern, um online bereitgestellte Inhalte sicher zu halten. Sie alle müssen darauf vertrauen, dass Zertifizierungsstellen Zertifikate zuverlässig ausstellen. SSL-Zertifikate kommen gemeinsam mit dem TLS-Protokoll (Transport Layer Security) zum Verschlüsseln und Authentifizieren von Datenströmen für das HTTPS-Protokoll zum Einsatz und werden daher manchmal als SSL/TLS-Zertifikate oder einfach als TLS-Zertifikate bezeichnet.
Digitale Zertifikate enthalten Daten über die Entität, die das Zertifikat ausgestellt hat, sowie kryptografische Daten, um die Identität der Entität zu überprüfen. In der Regel enthält ein digitales Zertifikat Informationen zu der Entität, für die es ausgestellt wurde, einschließlich des öffentlichen Schlüssels und des Ablaufdatums der Entität für das Zertifikat sowie den Namen der Entität, Kontaktinformationen und andere mit der zertifizierten Entität verknüpfte Informationen.
Webserver übertragen diese Informationen, wenn ein Browser eine sichere Verbindung über HTTPS herstellt. Dabei senden sie an ihn das Zertifikat und der Browser authentifiziert es anhand seines eigenen Stammzertifikatspeichers. Die großen Browseranbieter – Microsoft, Google, Apple und Mozilla – unterhalten jeweils eigene Webbrowser-Stammzertifikatsspeicher, in denen sie die Stammzertifikate der Zertifizierungsstellen veröffentlichen. Der Herausgeber hat vorab zugestimmt, dass sie dem Browser vertrauen.
Eine Entität oder Person, die ein digitales Zertifikat benötigt, kann es bei einer Zertifizierungsstelle anfordern. Sobald die Zertifizierungsstelle die Identität des Antragstellers überprüft hat, generiert sie ein digitales Zertifikat für den Antragsteller und signiert dieses Zertifikat digital mit dem privaten Schlüssel der Zertifizierungsstelle. Das digitale Zertifikat kann nun mit dem öffentlichen Schlüssels der Zertifizierungsstelle authentifiziert werden (zum Beispiel durch einen Webbrowser).
Das Stammzertifikat der Zertifizierungsstelle sollte niemals direkt zum Signieren digitaler Zertifikate verwendet werden, sondern generiert bei Bedarf Zwischenzertifikate. Sie dienen unterschiedlichen Zwecken. Beispielsweise kann ein Zwischenzertifikat dazu dienen, alle für verschiedene Vertrauensstufen generierten digitalen Zertifikate zu signieren, oder ein anderes Zwischenzertifikat alle für eine bestimmte Kundenorganisation generierten digitalen Zertifikate.
Zertifizierungsstellen können Anträge direkt annehmen, delegieren jedoch häufig die Aufgabe der Authentifizierung an Registrierungsstellen (Registration Authorities, RAs). Eine Registrierungsstelle unterstützt häufig das Marketing oder direkt Kunden: Sie sammelt und authentifiziert Anfragen für digitale Zertifikate und sendet sie dann an die Zertifizierungsstelle, die das Zertifikat ausstellt, das über die RA an den Antragsteller weitergeleitet werden soll.
Verwendung einer Zertifizierungsstelle
Die bekannteste Verwendung von Zertifizierungsstellen ist das Ausstellen von SSL-Zertifikaten an Entitäten, die Inhalte im Web veröffentlichen. Die Zertifizierungsstellen geben SSL-Zertifikate in drei Levels aus, die unterschiedlichen Vertrauensstufen entsprechen. Zertifikate mit einem höheren Vertrauensniveau kosten normalerweise mehr, da sie mehr Arbeit seitens der Zertifizierungsstelle erfordern.
Die drei verschiedenen Ebenen lauten:
- EV-Zertifikate (Extended Validation) bieten die höchste Sicherheit. Sie gewährleisten, dass die Zertifizierungsstelle die Entität validiert hat, die das Zertifikat anfordert. Das Certification Authority Browser Forum stellt detaillierte Anforderungen an die Überprüfung der vom Antragsteller für ein EV-Zertifikat bereitgestellten Informationen. Zum Beispiel muss eine Person, die ein EV-Zertifikat anfordert, durch persönliche Interaktion mit dem Antragsteller sowie durch Abgeben einer persönlichen Erklärung, einem Identifikationsdokument wie Ausweis oder Reisepass sowie durch zwei sekundäre Formen der Identifizierung validiert werden.
- OV-Zertifikate (Organization Validated) bieten die nächsthöhere Sicherheit. Die Zertifizierungsstellen führen im Allgemeinen eine Überprüfung der Antragsteller durch, einschließlich der telefonischen Überprüfung sowie der Verwendung externer oder Dritter zur Bestätigung der vom Antragsteller übermittelten Informationen. OV-Zertifikate können ausgestellt werden, wenn der Antragsteller nachweisen kann, dass er die administrative Kontrolle über den Domänennamen hat, für den das Zertifikat angefordert wird, und dass die Organisation als juristische Person existiert.
- Für DV-Zertifikate (Domain Validated) muss der Antragsteller lediglich den Besitz der Domain nachweisen, für die das Zertifikat ausgestellt wurde. DV-Zertifikate können fast sofort und kostengünstig erworben werden. Zum Beispiel ist Let's Encrypt ein kostenloser Dienst, mit dem Sie kostenlos SSL-Zertifikate erhalten können.
Zusätzlich zu SSL-Zertifikaten, die mit Domänennamen verknüpft sind und zur Authentifizierung und Verschlüsselung von Daten ausgestellt wurden, die an und von Websites gesendet werden, stellen Zertifizierungsstellen andere Arten von digitalen Zertifikaten für verschiedene Zwecke aus, darunter:
- Softwarehersteller und Entwickler nutzen Codesignaturzertifikate, um ihre Softwareverteilungen zu signieren. Endbenutzer können sie dann verwenden, um Software-Downloads vom Anbieter oder Entwickler zu authentifizieren und zu validieren.
- Mit E-Mail-Zertifikaten können Entitäten E-Mails mithilfe des S/MIME-Protokolls (Secure Multipurpose Internet Mail Extension) für sichere E-Mail-Anhänge signieren, verschlüsseln und authentifizieren.
- Gerätezertifikate helfen dabei, Geräte im Internet der Dinge (Internet of Things, IoT) sicher zu verwalten sowie Software- oder Firmware-Updates zu authentifizieren.
- Mit Objektzertifikate signieren und authentifizieren IT-Systeme alle Arten von Softwareobjekten.
- Benutzer- oder Client-Zertifikate dienen dazu, Einzelpersonen zu authentifizieren und werden manchmal als Signaturüberprüfungszertifikate bezeichnet.
In den letzten Jahren haben die Zertifizierungsstellen ihren Geschäftsschwerpunkt zunehmend SSL-Zertifikaten für Webdomains hin zur Bereitstellung eines breiteren Spektrums von Zertifizierungsdiensten verlagert.
So funktioniert eine Zertifizierungsstelle
Während technisch gesehen jede Person oder Organisation eine eigene Zertifizierungsstelle erstellen kann, gibt es eine Qualitätskontrolle durch die Mitgliedschaft am Certification Authority Browser Forum (CABF). Die meisten Mitglieder der Gruppe sind entweder Zertifizierungsstellen oder Browseranbieter, aber auch Unternehmen für Verbraucherzertifikate nehmen daran teil.
Das CABF verwaltet Richtlinien für das Erstellen, Verteilen und Verwenden digitaler Zertifikate im Web.
Die Aufgaben der Zertifizierungsstelle beginnen mit einem Stammzertifikat, das als ultimative Grundlage für das Vertrauen in alle von der Stelle ausgestellten Zertifikate dient. Das Stammzertifikat wird zusammen mit dem diesem Zertifikat zugeordneten privaten Schlüssel normalerweise mit der höchsten Sicherheitsstufe behandelt und ist in der Regel offline in einer geschützten Einrichtung gespeichert. Es kann auf einem Gerät gelagert sein, das nicht mit Strom versorgt wird, es sei denn, das Zertifikat wird benötigt.
Die Zertifizierungsstelle verwendet dieses Stammzertifikat, um Zwischenzertifikate zu erstellen. Hierbei handelt es sich um die Zertifikate, mit denen die einzelnen digitalen Zertifikate signiert werden. Auf diese Weise kann die Öffentlichkeit den ausgestellten Zertifikaten vertrauen und gleichzeitig ist der Stamm vor Situationen geschützt, in denen ein Zwischenzertifikat abläuft oder widerrufen wird.
Zwischenzertifikate können auch zum Ausstellen digitaler Zertifikate über Registrierungsstellen verwendet werden. Gemäß der Regeln des CABF muss die Zertifizierungsstelle vertraglich von der Registrierungsstelle verlangen, dass sie die Regeln dessen Regeln einhält und dies dokumentiert. Darüber hinaus ist die Zertifizierungsstelle dazu verpflichtet, die Fähigkeit der Registrierungsstelle Zertifikate zu registrieren auf den zugewiesenen Namensraum zu beschränken.
Das Versäumnis, die Registrierungsstellen zu überwachen, war einer der Vorwürfe gegen die Zertifizierungsstelle Symantic. Das führte schließlich dazu, dass das Unternehmen 2017 die Verantwortung für diesen Geschäftsbereich an DigiCert übertrug.
Die Zertifizierungsstellen selbst unterliegen ebenfalls umfangreichen Regeln, die Audits vorschreiben. Verstöße können zusätzliche Pflicht-audits nach sich ziehen und schwächen das Vertrauen in die Zertifizierungsstelle. Vor der Veräußerung der CA-Aktivitäten von Symantec hatte das CABV eine Reihe verschiedener Konsequenzen gefordert, die Symantec nicht zufriedenstellend befolgen konnte.
