Zertifizierungsstellen spielen eine entscheidende Rolle für die Sicherheit von digitalen Identitäten und der Kommunikation online. Indem Sie die Echtheit der Informationen von beispielsweise Websites, Unternehmen und Personen validieren und ihnen digitale Zertifikate ausstellen, ermöglichen sie den vertrauenswürdigen Kontakt mit diesen Einheiten. Erfahren Sie hier, was genau eine Zertifizierungsstelle macht, welche Zertifikate sie ausstellt und wie Sie diese beantragen können.
Definition: Was ist eine CA?
Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine vertrauenswürdige Einrichtung, die Identitäten von Diensten, Dingen und Personen validiert und ihnen digitale Sicherheitszertifikate ausstellt. Diese wiederum dienen der sicheren, verschlüsselten Kommunikation zwischen zwei Parteien. Nach der erfolgreichen Identitätsprüfung erhalten Antragsteller ein Zertifikat mit einem öffentlichen Schlüssel (Public Key), das die Zertifizierungsstelle wiederum mit ihrem eigenen privaten Schlüssel signiert und dadurch als vertrauenswürdig kennzeichnet.
Die von einer CA ausgestellten digitalen Zertifikate erfüllen folgende Funktionen:
- Sie authentifizieren die Identität der Einheit, für die das Zertifikat ausgestellt wurde.
- Sie verschlüsseln Daten für eine sichere Kommunikation in unsicheren Netzen.
- Sie bestätigen die Echtheit der mit dem Zertifikat signierten Dokumente und verhindern so, dass Dritte sie während der Übermittlung ändern können.
Insgesamt ermöglichen die Zertifikate einer CA die sichere, verschlüsselte Kommunikation zwischen zwei Parteien durch Public-Key-Kryptographie. Dafür arbeiten Zertifizierungsstellen eng mit der Registrierungsstelle (Registration Authority, RA) zusammen. Gemeinsam bilden sie einen integralen Teil der Public-Key-Infrastruktur (PKI).
Was macht eine CA?
Die Arbeit einer Certificate Authority konzentriert sich auf die Überprüfung von Identitäten sowie die Ausstellung und Rücknahme von Zertifikaten:
- Identitätsprüfung: Abhängig von der Art des beantragten Zertifikats nutzt die Zertifizierungsstelle verschiedene Verfahren, um die Identität der Antragsstellenden zu prüfen.
- Zertifikatsausstellung: Auf dieser Basis bildet die Erstellung und Ausgabe digitaler Zertifikate die Hauptaufgabe einer Certificate Authority. Sie bestätigen die Identität einer Einheit über einen öffentlichen Schlüssel und zusätzliche Informationen wie den Namen oder die Domain.
- Rücknahme von Zertifikaten: Wenn Zertifikate ihre Gültigkeit verlieren oder kompromittiert sind, kann die CA sie zurückziehen. Dieser Fall kann beispielsweise bei Verlust oder Diebstahl privater Schlüssel eintreten.
Außerdem gehört es zu den Aufgaben einer CA, die Sperrlisten für Zertifikate zu verwalten und zu publizieren sowie sämtliche Aktivitäten ihrer Zertifizierungsarbeit zu dokumentieren.
Welche Arten von Zertifikaten stellt eine CA aus?
Die Zertifikate einer CA funktionieren im Prinzip wie ein Ausweis für die digitale Welt. Dementsprechend kommen sie überall dort zum Einsatz, wo sichere Identitäten wichtig sind.
SSL/TLS-Zertifikate für Websites
Websites verschlüsseln ihre Daten über SSL-/TLS-Protokolle und garantieren so, dass sie ihre Daten sicher übertragen. Hier bestätigt das digitale Zertifikat, dass die Quelle des angezeigten Inhalts auch wirklich die aufgerufene Website ist.
Code-Signing-Zertifikate
Code-Signing-Zertifikate dienen als digitale Signatur für Anwendungen, Treiber, ausführbare Dateien und Softwareprogramme. So können Endbenutzer die Unversehrtheit des empfangenen Codes überprüfen. Diese Zertifikate enthalten eine Unterschrift, den Namen des Unternehmens und gegebenenfalls einen Zeitstempel.
Zertifikate für digitale Signaturen
Im modernen Rechtsverkehr können digitale Signaturen handschriftliche Unterschriften ersetzen. Ein Zertifikat für eine qualifizierte elektronischen Signatur (QES) bestätigt dementsprechend die Identität der Personen oder Unternehmen, die ein Dokument unterzeichnen.
S/MIME-Zertifikate für E-Mail-Signaturen
In E-Mails gewährleisten so genannte S/MIME-Zertifikate den Empfängern, dass die Daten sicher übertragen wurden und die Nachricht tatsächlich von der angezeigten Adresse stammt.
PKI-Zertifikate für Benutzer, Geräte und Dienste
Bei einer Public Key Infrastructure handelt es sich um ein ganzes System von Prozessen, Technologien und Richtlinien, mit dem sich Daten verschlüsseln, signieren und somit sicher übertragen lassen. Bei einer PKI für Unternehmen authentifizieren digitale Zertifikate die Identität von Benutzern, Geräten oder Diensten. Eine CA stellt diese Zertifikate wahlweise aus oder dient als Root-Zwischenstelle für eine private PKI.
Letztere ermöglicht dann auch die Ausstellung eigener SSL-Zertifikate, die Unternehmen an ihre individuellen Bedürfnisse anpassen und nach Bedarf für interne Zwecke nutzen können: Sei es für eine sichere Verbindung zur öffentlichen Website oder für private Systeme wie ein virtuelles privates Netzwerk (VPN), das interne Wi-Fi, Wiki-Seiten und andere Dienste, über die eine Multi-Faktor-Authentifizierung (MFA) möglich ist.
Wie beantrage ich Zertifikate bei einer CA?
Der Antrag auf Ausstellung eines digitalen Zertifikats über eine Certification Authority ist in der Regel ein vierstufiger Prozess:
- Zertifikat anfordern: Der erste Schritt beinhaltet schlicht den Antrag auf Zertifikatserteilung bei einer CA.
- Generierung von Schlüsseln: Nachdem die Anfrage bei der gewünschten CA eingeht, erzeugt diese einen Schlüssel im Standard RSA 2048 Bit. Dieser dient als Basis für die Generierung der eigentlichen Anfrage für das Zertifikat bei der Certification Authority – den sogenannten Certificate Signing Request (CSR).
- Übermittlung der Anfrage: Der CSR enthält alle notwendigen Informationen zum Namen und der Identität der physischen oder juristischen Person, mit denen die jeweilige CA das Zertifikat vergibt. Die Hauptaufgabe der Zertifizierungsstelle besteht darin, eine Anfrage zu erstellen, in der sie all diese genannten Informationen korrekt abfragt und validiert. Dafür wird der CSR zunächst wieder an die Zertifizierungsstelle übermittelt.
- Prüfung der Anfrage: Die Zertifizierungsstelle prüft die übermittelten Informationen. Im Anschluss sendet sie das unterzeichnete Zertifikat inklusive definiertem Namen, validiertem privaten Schlüssel sowie Name und Signatur der jeweiligen Certification Authority zurück und schließt den CA Sign damit ab.
Welche Zertifizierungsstellen gibt es in Deutschland?
Eine Certificate Authority in Deutschland muss das Zertifizierungs- und Anerkennungsprogramm des Bundesamts für Sicherheit in der Informationstechnik (BSI) durchlaufen, bevor sie selbst Zertifikate ausstellen darf.
In Deutschland ist damit das BSI die öffentliche Zertifizierungsstelle. Auch für private Anbieter, die unter anderem die Sicherheit von Unternehmen der kritischen Infrastruktur prüfen und die besonders vertrauenswürdigen qualifizierten Zertifikate ausgeben:
- TÜV Nord
- TÜV Süd
- Deutsche Telekom Security
- Datenschutz Cert
- SRC Security Research & Consulting GmbH
Darüber hinaus gibt es noch weitere Certificate Authorities, die sich auf eine bestimmte Art von Zertifikat spezialisiert haben, wie z. B. die Ausstellung von SSL- und Webserver-Zertifikaten oder – wie Nexus – auf die Bereitstellung von PKI-Plattformen.
Relevante Gesetze und Vorschriften, die eine CA beachten muss
Die europäische eIDAS-Verordnung bildet die Grundlage der gesetzlichen Regelungen für das Ausstellen von elektronischen Zertifikaten und Signaturen in Deutschland. Sie regelt den Umgang mit elektronischen Signaturen genauso wie die Aufsicht über eine CA. Statt Certificate Authority verwendet eIDAS den Begriff Vertrauensdienstanbieter. Weiter Verpflichtungen für Zertifizierungsstellen schreibt die Vertrauensdiensteverordnung (VDV) fest.
Die Bundesnetzagentur beaufsichtigt die Anbieter von Zertifizierungsdiensten und stellt damit sicher, dass die ausgestellten Zertifikate und Signaturen im Rechtsverkehr integer und zuverlässig sind. Beispielsweise unterliegt das Rechenzentrum einer Zertifizierungsstelle besonderen Sicherheitsvorgaben.
Wie wählen Unternehmen die richtige CA aus?
Zwar bieten alle CAs gleichermaßen Dienste zur Sicherung und zum Schutz von Unternehmen im Internet an, aber nicht alle funktionieren gleich gut. Bei der Auswahl helfen folgende Punkte:
- Kundenservice: Vor allem wenn Ihre Mitarbeiter wenig bis keine Fachkenntnisse besitzen, arbeiten Sie am besten mit einer Zertifizierungsstelle mit hochwertigem Kundenservice und guten Verwaltungsschnittstellen zusammen.
- Schnelle Übernahme neuer Technologien: Einige CAs sind als Certificate Authority für bestimmte Zertifikate bekannt und konzentrieren sich auf deren Verkauf, während andere die Branche mit neuen Entwicklungen prägen. Wählen Sie eine Zertifizierungsstelle, die neue Technologien schnell einführt und sich von schwachen, alten Technologien abwendet. Sie ist auf lange Sicht zuverlässiger, weil sie aktuellere Protokolle anbietet und dadurch mehr Zuverlässigkeit gewährleistet.
- Sicherheit: Auch CAs können Opfer von Cyberattacken werden, wie DigiNotar bei der Operation Black Tulip im Jahr 2011. Prüfen Sie deshalb möglichst nach Beweisen dafür, dass die gewählte Zertifizierungsstelle möglichst gut vor Angriffen geschützt ist.
Zusammenfassung
Zertifizierungsstellen übernehmen verschiedene Aufgaben, die für mehr Sicherheit in der digitalen Welt sorgen. Indem sie digitale Zertifikate ausstellen, validieren und verwalten, bilden sie das Rückgrat für vertrauensvolle Online-Kommunikation und ermöglichen sichere, verschlüsselte Verbindungen über die Public Key Infrastructure (PKI).
Häufig gestellte Fragen (FAQ)
Was ist eine CA?
Eine Zertifizierungsstelle (Certificate Authority, CA) trägt zur sicheren und verschlüsselten Kommunikation zwischen zwei Partien bei, indem sie Identitäten von physischen und juristischen Personen sowie Diensten validiert und digitale Sicherheitszertifikate erstellt.
Welche Arten von Zertifikaten bietet eine CA an?
Eine Zertifizierungsstelle erstellt beispielsweise SSL/TLS-Zertifikate für Websites, Code-Signing-Zertifikate für digitale Signaturen, S/MIME-Zertifikate zur Bestätigung der Integrität von E-Mail-Adressen sowie PKI-Zertifikate für Benutzer, Geräte und Dienste.