Zertifizierungsstelle (Digitale Zertifikate)

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Eine Zertifizierungsstelle, auch Zertifizierungsinstanz, (englisch certificate authority oder certification authority, kurz CA) ist in der Informationssicherheit eine Organisationseinheit, die digitale Zertifikate innerhalb einer Public-Key-Infrastruktur herausgibt. Ein digitales Zertifikat dient dazu, einen bestimmten öffentlichen Schlüssel einer Netzwerkadresse wie Domainname, E-Mail-Adresse oder IP-Adresse zuzuordnen. Zertifikate können auch einer Person oder Organisation zugeordnet sein. Diese Zuordnung wird von der Zertifizierungsstelle bestätigt, indem sie sie mit ihrer eigenen digitalen Signatur versieht.

Digitale Zertifikate enthalten öffentliche Schlüssel und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung vertraulicher Daten dienen, die über das Internet und andere Rechnernetze verbreitet werden. Als Zusatzinformationen sind zum Beispiel Gültigkeitsdauer, Verweise auf Zertifikatsperrlisten etc. enthalten, die durch die Zertifizierungsstelle mit in das Zertifikat eingebracht werden.

Die Aufgabe einer Zertifizierungsstelle lautet, digitale Zertifikate herauszugeben und die Angaben des Antragstellers zu überprüfen. Die Zertifizierungsstelle trägt dabei die Verantwortung für die Bereitstellung, Zuweisung, Integritätssicherung und ggf. Revozierung der von ihr ausgegebenen Zertifikate. Damit bildet sie den Kern der Public-Key-Infrastruktur (PKI). Setzt die PKI eine Identitätsfeststellung voraus, so kann die Zertifizierungsstelle diese Verwaltungsaufgabe an eine optionale Registrierungsstelle auslagern.[1]

Eine Zertifizierungsstelle kann durch ein Unternehmen, eine Non-Profit-Organisation oder eine Behörde betrieben werden. Für den Betrieb ist eine Software erforderlich. Im einfachsten Fall genügt dazu beispielsweise OpenSSL, für größere Public-Key-Infrastrukturen gibt es Management-Software wie OpenCA PKI.

Für die Public-Key-Infrastruktur des World Wide Web legt das CA/Browser Forum die Mindestanforderungen an Zertifizierungsstellen fest.[2] Zertifizierungsstellen, die durch ein externes Audit nachgewiesen haben, die Anforderungen zu erfüllen, werden von Browserherstellern wie Apple, Mozilla, Microsoft und Google in deren Zertifikatsspeicher aufgenommen.

Die Mindestanforderungen geben die Validierungsmethoden vor, mit denen Zertifizierungsstellen die Angaben des Antragstellers überprüfen können, die in das Zertifikat aufgenommen werden. Hierbei werden verschiedene Arten von Zertifikaten unterschieden.[2]

Domain Validated (DV)

[Bearbeiten | Quelltext bearbeiten]

Bei einem Domain-Validated-Zertifikat (DV-Zertifikat) muss der Antragsteller die Kontrolle über eine Domain nachweisen. Dafür gibt es mehrere Methoden, von denen drei in der Praxis üblich sind: DNS, HTTP und E-Mail.[3]

Bei DNS muss der Antragsteller einen von der Zertifizierungsstelle vorgegebenen Zufallswert in einem vorgegebenen Resource Record unterhalb der Domain konfigurieren, sodass ihn die Zertifizierungsstelle über das Internet abfragen kann. Bei HTTP legt der Antragsteller den Zufallswert auf einem Webserver ab, der unter einer bestimmten URL, die den Domainnamen enthält, erreichbar ist.[3] Beide Methoden können zur automatisierten Zertifikatsausstellung verwendet werden, sofern der Antragsteller und die Zertifizierungsstelle das ACME-Protokoll unterstützen.

Bei der dritten Methode sendet die Zertifizierungsstelle eine E-Mail an eine bestimmte Kontaktadresse der Domain. Der Antragsteller bestätigt den Erhalt, indem er einen in der E-Mail enthaltenen Zufallswert an die Zertifizierungsstelle zurück übermittelt, üblicherweise über die Website der Zertifizierungsstelle.[3]

Individual Validated (IV)

[Bearbeiten | Quelltext bearbeiten]

Bei einem Individual-Validated-Zertifikat (IV-Zertifikat) ist zusätzlich zum Domainnamen der Personenname des Antragstellers im Zertifikat enthalten. Die Zertifizierungsstelle überprüft die Identität des Antragstellers mit Hilfe eines amtlichen Lichtbildausweises. Die Prüfung des Domainnamens erfolgt mit denselben Methoden wie bei einem DV-Zertifikat.[2]

Organization Validated (OV)

[Bearbeiten | Quelltext bearbeiten]

Ein Organization-Validated-Zertifikat (OV-Zertifikat) enthält neben dem Domainnamen den Firmennamen eines Unternehmens bzw. den Namen, unter dem eine Organisation offiziell registriert ist. Dies muss der Antragsteller gegenüber der Zertifizierungsstelle durch ein amtliches Dokument nachweisen. Zusätzlich wird die Kontrolle über eine Domain wie bei einem DV-Zertifikat überprüft.[2]

Extended Validation (EV)

[Bearbeiten | Quelltext bearbeiten]

Ein Extended-Validation-Zertifikat (EV-Zertifikat) entspricht den strengsten Prüfkriterien, die in einem separaten Dokument des CA/Browser Forum festgeschrieben sind.[4] Die Anforderungen an ein EV-Zertifikat gehen über DV- und OV-Zertifikate hinaus.

Qualifizierte Zertifikate

[Bearbeiten | Quelltext bearbeiten]

Im Kontext von rechtsgültigen qualifizierten elektronischen Signaturen müssen Zertifizierungsstellen, die qualifizierte Zertifikate ausstellen, gesetzlich festgelegte Voraussetzungen erfüllen. Diese ergeben sich aus der eIDAS-Verordnung der Europäischen Union. Zertifizierungsstellen im Sinne der eIDAS-Verordnung werden Vertrauensdiensteanbieter (englisch trust service provider) genannt. In der abgelösten Richtlinie 1999/93/EG wurde die Bezeichnung Zertifizierungsdiensteanbieter (englisch certification service provider) verwendet.[5] Die Bezeichnung ist in den nationalen Gesetzen im deutschsprachigen Raum noch üblich.

Rechtslage in Deutschland

[Bearbeiten | Quelltext bearbeiten]

In Deutschland ergeben sich zusätzliche gesetzliche Vorgaben aus dem Vertrauensdienstegesetz.[6] Die Zertifizierungsdiensteanbieter unterliegen der Aufsicht der Bundesnetzagentur, um die Zuverlässigkeit und Integrität qualifizierter Zertifikate im Rechtsverkehr zu gewährleisten. Beispielsweise muss sich der Antragsteller für ein qualifiziertes Zertifikat bei einem akkreditierten Zertifizierungsdiensteanbieter durch seinen Personalausweis persönlich identifizieren. Die von den Ausstellern betriebenen Rechenzentren müssen besonders gesichert sein und hohe Sicherheitsanforderungen erfüllen.

Rechtslage in Österreich

[Bearbeiten | Quelltext bearbeiten]

In Österreich sind elektronische Signaturen im Signatur- und Vertrauensdienstegesetz geregelt.

Web PKI:

Qualifizierte Zertifikate:

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. William Stallings: Cryptography and Network Security. Principles and Practice. Global Edition. 8. Auflage. Pearson Education, Harlow (Vereinigtes Königreich) 2023, ISBN 1-292-43748-0, S. 494 (englisch).
  2. a b c d Baseline Requirements for the Issuance and Management of Publicly Trusted Certificates – Version 2.0.0. CA/Browser Forum, 11. April 2023, abgerufen am 7. August 2023 (englisch).
  3. a b c Lorenz Schwittmann, Matthäus Wander, Torben Weis: Domain Impersonation is Feasible. A Study of CA Domain Validation Vulnerabilities. In: 2019 IEEE European Symposium on Security and Privacy (EuroS&P). 2019, ISBN 978-1-72811-148-3, doi:10.1109/EuroSP.2019.00046 (englisch, wander.science [PDF]).
  4. Guidelines for the Issuance and Management of Extended Validation Certificates – Version 1.8.0. CA/Browser Forum, 30. November 2022, abgerufen am 8. August 2023 (englisch).
  5. Richtlinie 99/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen
  6. Vertrauensdienstegesetz (VDG). In: gesetze-im-internet.de. Abgerufen am 31. Dezember 2020.