Kostenloser Test
Kontakt
Sectigo Blog

AWS-Zertifikate vs. öffentliche CA-Zertifikate

RSS-Feed

Moderne Unternehmen müssen heute ihre Daten und Anwendungen, die in der Cloud ausgeführt und gehostet werden, mit Amazon Web Services (AWS) schützen. Digitale Zertifikate auf Basis einer Public-Key-Infrastruktur (PKI), wie SSL/TLS-Zertifikate und Code Signing-Zertifikate, sind der Goldstandard für die Authentifizierung und Verschlüsselung von Daten und Anwendungen in der Cloud. Unternehmen, die AWS nutzen, haben jedoch die Wahl zwischen verschiedenen Zertifizierungsstellen (CAs), die Zertifikate ausstellen können. Dieser Artikel hilft Ihnen, die Unterschiede zwischen öffentlichen CA-Zertifikaten und den von Amazon bereitgestellten Zertifikaten zu verstehen.

7. Juli 20219 Min. Lesezeit

Inhaltsverzeichnis

Was ist eine Zertifizierungsstelle?

Eine Zertifizierungsstelle (CA) ist eine Organisation, die digitale Zertifikate ausstellt, die Daten, Geräte und Anwendungen mithilfe von PKI authentifizieren und verschlüsseln. Sie sind für die breite Nutzung der Public-Key-Kryptografie von entscheidender Bedeutung. Sie fungieren als vertrauenswürdige Stellen, die die öffentlichen Schlüssel speichern und veröffentlichen, die den entsprechenden privaten Schlüsseln zugeordnet sind. Diese vertrauenswürdigen Stellen ermöglichen es Absendern, sicherzustellen, dass sie einen öffentlichen Schlüssel verwenden, der korrekt mit dem privaten Schlüssel des Empfängers verknüpft ist. Ohne sie wäre es möglich, dass jemand die übertragenen Informationen abfängt und darin enthaltene sensible Informationen verwendet.

CAs stellen Zertifikate nur für bestimmte Domänen aus, die eine Zertifikatssignierungsanforderung (CSR) gesendet haben. Eine CSR wird an eine Registrierungsstelle gesendet und enthält den öffentlichen Schlüssel, identifizierende Informationen und eine digitale Signatur oder eine andere Maßnahme zur Authentifizierung. Die Identifizierungsinformationen sind häufig die Organisation, die Organisationseinheit, der Name des Landes, der Bundesstaat, der Ort und der allgemeine Name. Der allgemeine Name ist in der Regel der Domänenname oder die IP-Adresse des Standorts.

Wenn eine Domäne ein Zertifikat anzeigt, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, die von einem modernen Browser wie Google Chrome, Mozilla Firefox oder Microsoft Edge anerkannt wird, wird davon ausgegangen, dass die Verbindung sicher ist.

Vertrauenswürdige öffentliche Zertifizierungsstellen wie Sectigo sind konforme Mitglieder des Zertifizierungsstellen-/Browser-Forums, das ausschließlich für die Ausstellung von Zertifikaten gegründet wurde. Das CA/Browser Forum ist eine selbstregulierende Aufsichtsgruppe für Zertifizierungsstellen, die für die Erstellung und Aktualisierung der Regeln für die Verwendung, Ausstellung und den Ablauf von Zertifikaten verantwortlich ist.

Öffentliche Zertifizierungsstellen stellen jedes Jahr Millionen von Zertifikaten aus. Diese Zertifikate werden für eine Vielzahl von Funktionen verwendet, darunter die Sicherung der Kommunikation über SSL/TLS, digitale Signaturen, Code Signing-Zertifikate und S/MIME-E-Mail-Zertifikate.

SSL/TLS-Zertifikate ermöglichen es modernen Webbrowsern, verschlüsselte SSL/TLS-Protokollverbindungen mit Webservern herzustellen, indem sie sich ordnungsgemäß identifizieren. Diese Zertifikate werden mit einer Public-Key-Infrastruktur (PKI) verwendet. PKIs bieten Methoden, mit denen Personen die Identität anderer Personen feststellen können, wenn beide der verwendeten Zertifizierungsstelle vertrauen.

Öffentliche gegenüber privaten Zertifizierungsstellen

Wie bereits erwähnt, sind öffentlich vertrauenswürdige Zertifizierungsstellen unabhängige Einrichtungen, die von den wichtigsten Webbrowsern als vertrauenswürdig eingestuft wurden und die vom CA/Browser Forum festgelegten Zertifikatsstandards und -richtlinien befolgen. Öffentlich vertrauenswürdige Zertifizierungsstellen führen vor der Ausstellung des Zertifikats mehrere Schritte durch, darunter die Überprüfung der in der CSR angegebenen Informationen, insbesondere der DNS-Informationen. Öffentliche Zertifizierungsstellen verfügen über spezifische kryptografische Schlüssel, mit denen sie die von ihnen ausgestellten Zertifikate signieren. Diese spezifischen Schlüsseldateien werden oft als zu einer vertrauenswürdigen Zertifizierungsstelle gehörig erkannt. Dadurch wird die Kommunikation sofort gesichert, da bekannt ist, dass sie vertrauenswürdig ist. Öffentliche Zertifikate werden meist zur Sicherung von Endpunkten verwendet, die eine Kommunikation mit Benutzern erfordern, und werden in der Regel nicht für interne/Testumgebungen verwendet.

Private und öffentliche Zertifizierungsstellen weisen viele Ähnlichkeiten auf. Sie haben ähnliche Infrastrukturen und erfüllen ähnliche Aufgaben. Während eine öffentliche Zertifizierungsstelle jedoch Zertifikate für Entitäten im gesamten Internet ausstellt, stellen private Zertifizierungsstellen Zertifikate nur für private Netzwerke aus. Private Zertifizierungsstellen stellen Zertifikatsdateien aus und validieren diese, die an eine interne Public-Key-Infrastruktur (PKI) statt an eine vertrauenswürdige dritte Partei hochgeladen werden. Sie sind in der Regel auf den Bereich der Organisation beschränkt, zu der das Netzwerk gehört, häufig große Organisationen oder Unternehmen.

Öffentliche Zertifizierungsstellen stellen Zertifikate aus, die von Browsern und Anwendungen sofort erkannt und als vertrauenswürdig eingestuft werden. Dies ist bei digitalen Zertifikaten, die von privaten Stellen ausgestellt werden, nicht der Fall. Stattdessen muss ein Administrator jedes System, mit dem das Zertifikat in Kontakt kommt, speziell konfigurieren, damit es das Zertifikat erkennt und validiert.

Darüber hinaus müssen öffentliche Zertifizierungsstellen strenge Anforderungen erfüllen, die vom Hersteller auferlegten Sicherheitsstandards einhalten und ein bestimmtes Maß an Transparenz erreichen. Andernfalls riskieren sie, ihren vertrauenswürdigen Status zu verlieren und dass ihre Zertifikate nicht mehr sofort validiert werden können. Diese Einschränkungen gelten nicht für private Zertifizierungsstellen. Vielmehr können die Administratoren ihre eigenen Regeln für die Ausstellung von Zertifikaten festlegen, einschließlich der Informationen, die in einer CSR erforderlich sind und in einem Zertifikat enthalten sein müssen.

Ist AWS eine Zertifizierungsstelle?

Amazon Web Services (AWS) ist eine private, kommerzielle Zertifizierungsstelle. Da sie nicht Mitglied des CA/Browser Forum ist, gilt sie derzeit nicht als vertrauenswürdige öffentliche Zertifizierungsstelle. AWS-Kunden können AWS Certificate Manager (ACM)-Zertifikate in verschiedenen AWS-Services bereitstellen, darunter AWS Elastic Load Balancing, Amazon CloudFront, Amazon API Gateway, Amazon EC2-Instanzen und andere integrierte Services, die über die AWS Management Console verwaltet werden. Mit ACM können Sie sowohl öffentliche als auch private Zertifikate bestimmter Typen bereitstellen und verwalten.

Bei der Bereitstellung von Zertifikaten von privaten, kommerziellen Zertifizierungsstellen wie ACM ist es wichtig, den Aussteller gründlich zu überprüfen, da erhebliche Änderungen an Ihrer Umgebung erforderlich sind, um private Zertifikate ordnungsgemäß zu akzeptieren. Darüber hinaus muss ein Administrator Anwendungen explizit so konfigurieren, dass sie neu ausgestellte Zertifikate vertrauen. Ein wichtiger Schritt ist das Hochladen der Zertifikatsdateien in den AWS Identity and Access Manager (IAM).

Bietet AWS SSL-Zertifikate an?

AWS Certificate Manager (ACM) kann sowohl öffentliche als auch private SSL/TLS-Zertifikate bereitstellen, speichern und erneuern, die dem X.509-Standard entsprechen. Dies kann mit jedem Amazon-Dienst erfolgen, in den ACM integriert ist. ACM automatisiert die Erneuerung und Aktualisierung von ablaufenden ACM-Zertifikaten. Einige Dinge, die Sie über AWS-Serverzertifikate beachten sollten:

  • ACM bietet keine erweiterten Validierungszertifikate oder Organisationsvalidierungszertifikate, sondern nur Domänenvalidierungszertifikate.
  • ACM stellt nur Zertifikate für die SSL/TLS-Protokolle bereit.
  • ACM kann nicht für die E-Mail-Verschlüsselung verwendet werden.

Ein ACM-Zertifikat ist ein digitales Zertifikat für einen integrierten AWS-Dienst, das direkt von AWS Certificate Manager (ACM) ausgestellt wurde. Sie können Zertifikate von Drittanbietern in ACM importieren. Darüber hinaus können Sie innerhalb von AWS eine Public-Key-Infrastruktur erstellen, mit der Sie interne private Zertifikate erstellen können. AWS-Kunden können ACM verwenden, um Zertifikate für verschiedene AWS-Ressourcen anzufordern und bereitzustellen, darunter APIs über API Gateway, Amazon CloudFront-Verteilungen und Elastic Load Balancers.

Funktionieren öffentliche CA-Zertifikate auf AWS?

Zertifikate von einer öffentlichen Zertifizierungsstelle wie Sectigo können in AWS-Diensten mithilfe von ACM oder einer Zertifikatsverwaltungsplattform wie Sectigo Certificate Manager bereitgestellt werden.

Es ist zu beachten, dass von Amazon ausgestellte ACM-Zertifikate nur domänenvalidiert sind. SSL/TLS-Zertifikate, die von öffentlich vertrauenswürdigen Zertifizierungsstellen ausgestellt werden, werden hingegen mit drei Validierungsstufen angeboten.

  • Domain Validation (DV): Die Zertifizierungsstelle überprüft, ob der Antragsteller Rechte an dem bestimmten Domainnamen hat (in der Regel durch E-Mail-Verifizierung). Es werden keine zusätzlichen Informationen überprüft, und DV-Zertifikate können innerhalb weniger Minuten ausgestellt werden.
  • Organization Validation (OV): Die Zertifizierungsstelle überprüft nicht nur, ob der Antragsteller Rechte an dem bestimmten Domainnamen hat, sondern führt auch zusätzliche Überprüfungen der Organisation des Antragstellers auf einer grundlegenden Ebene durch. Diese Informationen werden auf dem Zertifikat angezeigt, um das Vertrauen der Endbenutzer der Website zu stärken.
  • Erweiterte Validierung (EV): Die Zertifizierungsstelle überprüft die Unternehmenszugehörigkeit und akzeptable Dokumente in Bezug auf das Unternehmen sowie die vom Antragsteller vorzulegenden Eigentumsnachweise. Neben der Überprüfung, dass der Antragsteller die Rechte an der bestimmten Domain besitzt, wird eine gründliche Untersuchung des Unternehmens durchgeführt und diese Informationen werden auf dem Zertifikat angezeigt. Darüber hinaus wird in der Webadresse des Browsers ein sicheres Vorhängeschloss angezeigt, sodass der Benutzer zusätzliche Sicherheit erhält, dass die Website sicher besucht werden kann.

Warum sollten Sie die Zertifikatsverwaltung in AWS automatisieren?

Die manuelle Bereitstellung und Verwaltung von Zertifikaten in AWS-Umgebungen zusätzlich zu anderen Nicht-Cloud-Umgebungen ist zeitaufwändig und kann zu unnötigen Risiken führen. Unabhängig davon, ob ein Unternehmen ein einzelnes SSL-Zertifikat für einen auf AWS gehosteten Webserver bereitstellt oder Millionen von Zertifikaten für alle seine vernetzten Geräte und Benutzeridentitäten verwaltet, kann der End-to-End-Prozess der Zertifikatsausstellung, -konfiguration und -bereitstellung Stunden dauern.

Die manuelle Verwaltung von Zertifikaten birgt für Unternehmen außerdem ein erhebliches Risiko, dass vernachlässigte Zertifikate unerwartet ablaufen und Lücken in der Eigentümerschaft entstehen – Fehler, die zu plötzlichen Ausfällen, kritischen Ausfällen von Geschäftssystemen sowie Sicherheitsverletzungen und Angriffen führen können.

Kunden und interne Benutzer verlassen sich darauf, dass wichtige Geschäftssysteme, die in der Cloud gehostet werden, immer verfügbar sind. In den letzten Jahren haben jedoch abgelaufene Zertifikate zu vielen Ausfällen von bekannten Websites und Diensten geführt. Die Folge waren Umsatzverluste in Milliardenhöhe, Vertragsstrafen, Rechtsstreitigkeiten und unkalkulierbare Kosten durch Rufschädigung und den Verlust von Kundenvertrauen.

So automatisieren Sie die Zertifikatsverwaltung in AWS

Angesichts der oben genannten Fallstricke und finanziellen Auswirkungen, die mit der manuellen Verwaltung von PKI-Zertifikaten verbunden sind, liegt der Return on Investment für ein automatisiertes digitales Identitätsmanagement für CIOs und CSOs auf der Hand. Unternehmen benötigen eine automatisierte Lösung, die sicherstellt, dass Zertifikate sowohl in AWS als auch in ihrem gesamten IT-Ökosystem ohne manuelles Eingreifen korrekt konfiguriert und implementiert werden. Automatisierung hilft nicht nur, Risiken zu reduzieren, sondern unterstützt IT-Abteilungen auch dabei, Betriebskosten zu kontrollieren und die Markteinführungszeit für Produkte und Dienstleistungen zu verkürzen.

In letzter Zeit hat sich PKI weiterentwickelt und ist noch vielseitiger geworden. Interoperabilität, hohe Verfügbarkeit und Governance sind nach wie vor wichtige Vorteile. Die heutigen PKI-Lösungen sind jedoch auch funktional in der Lage, die Verwaltung und das Lebenszyklusmanagement von Zertifikaten zu verbessern, und zwar durch

  • Automatisierung: Erledigung einzelner Aufgaben bei minimalem manuellem Aufwand.
  • Koordination: Verwendung von Automatisierung zur Verwaltung eines breiten Aufgabenportfolios.
  • Skalierbarkeit: Verwaltung von Hunderten, Tausenden oder sogar Millionen von Zertifikaten.
  • Krypto-Agilität: Aktualisierung der Verschlüsselungsstärke und schnelle Sperrung und Ersetzung gefährdeter Zertifikate durch quantensichere Zertifikate als Reaktion auf neue oder sich ändernde Bedrohungen.
  • Transparenz: Anzeige des Zertifikatsstatus in einer einzigen Ansicht für alle Anwendungsfälle.

ACM bietet zwar ein gewisses Maß an Automatisierung, doch angesichts der unterschiedlichen Systeme, Anwendungen und Geräte, die digitale Zertifikate verwenden, müssen IT-Teams häufig verschiedene Automatisierungsdienste von mehreren Anbietern verwalten. Dies führt in der Regel zu Effizienzverlusten. Im Gegensatz dazu bietet ein einziges Dashboard für die Zertifikatsverwaltung, das die Erkennung, Bereitstellung und Lebenszyklusverwaltung für alle Anwendungsfälle und Anbieterplattformen automatisiert, die Effizienz, die Automatisierung verspricht. Und IT-Teams behalten weiterhin die Kontrolle über Konfigurationsdefinitionen und Regeln, sodass Automatisierungsschritte korrekt ausgeführt werden.

Sectigo bietet Lösungen zur Automatisierung der Zertifikatsverwaltung, mit denen Unternehmen agil und effizient arbeiten und die vollständige Kontrolle über alle Zertifikate in ihrer Umgebung behalten können. Sectigo unterstützt die automatisierte Installation, Sperrung und Erneuerung von SSL/TLS- und Nicht-SSL-Zertifikaten über branchenführende Protokolle, APIs und Integrationen von Drittanbietern. Außerdem beseitigt Sectigo das Problem der Zertifikatsvolumenobergrenzen, das bei Open-Source-Alternativen auftreten kann.

Zusammenfassend lässt sich sagen, dass die Automatisierungslösungen von Sectigo Ihrem Sicherheitsteam folgende Vorteile bieten:

  • Durchsetzung kryptografischer Sicherheitsrichtlinien
  • Schutz der Kommunikation
  • Verhindern Sie den Verlust personenbezogener Daten durch unbefugten Zugriff
  • Machen Sie Systeme, Anwendungen und Geräte im gesamten Unternehmen zukunftssicher

Weitere Informationen darüber, wie Sie die Ausstellung und Verwaltung digitaler Zertifikate in AWS und in Ihrem gesamten IT-Ökosystem automatisieren können, finden Sie unter Sectigo Certificate Manager.

Möchten Sie mehr erfahren? Nehmen Sie Kontakt auf und buchen Sie eine Demo von Sectigo Certificate Manager!

Verwandte Beiträge:

Was ist ein X.509-Zertifikat und wie funktioniert es?

Wie man SSL-Ausfälle vermeidet und Zertifikate erneuert