SucheSupportKostenloser Test
Kontakt
Sectigo Blog

Klärung der X9 PKI: Was X9-Zertifikate sind und nicht sind

X9 PKI ist ein auf die Finanzbranche zugeschnittener Zertifikatsrahmen, der für die sichere Kommunikation innerhalb eines geschlossenen Ökosystems von US-Finanzinstituten entwickelt wurde. Im Gegensatz zur weltweit vertrauenswürdigen WebPKI, die von Browsern verwendet wird, arbeitet X9 als gemeinsames privates Vertrauensmodell, das die ausdrückliche Annahme durch die Teilnehmer erfordert. Es bietet zwar mehr Kontrolle und Stabilität für Finanzsysteme, bringt aber auch Nachteile mit sich, wie z. B. geteiltes Risiko und fehlendes universelles Vertrauen. Das Verständnis dieser Unterschiede ist für Organisationen, die prüfen wollen, ob die X9-PKI ihren Anforderungen an Sicherheit und Interoperabilität entspricht, von entscheidender Bedeutung.

Tim Callan
Von Tim Callan, Leiter der Abteilung Compliance21. Mai 20265 Min. Lesezeit

Während die Diskussion um X9-Zertifikate an Fahrt gewinnt, wächst die Verwirrung darüber, was sie wirklich darstellen und was nicht.

Vereinfachen wir es also.

Was ist X9 PKI?

Im Kern ist die X9 PKI ein finanzindustriespezifischer Zertifikatsrahmen, der vom Accredited Standards Committee (ASC X9) entwickelt wurde, um die sichere Kommunikation zwischen US-Banken, Zahlungssystemen und Finanzinfrastrukturen zu unterstützen.

Im Gegensatz zur WebPKI, dem globalen System von Zertifizierungsstellen (CAs) wie Sectigo, denen die wichtigsten Browser wie Chrome, Safari und Firefox vertrauen, arbeitet X9 außerhalb des Vertrauensbereichs der Browser. Diese Unterscheidung ist wichtig.

Die WebPKI ist für das öffentliche Internet konzipiert, in dem Zertifikate von Milliarden von Benutzern und Geräten als vertrauenswürdig angesehen werden müssen. X9 hingegen ist für ein geschlossenes Ökosystem von Finanzteilnehmern in den USA gedacht, die sich ausdrücklich darauf einigen, einem gemeinsamen Rahmenwerk zu vertrauen.

Eine einfachere Art, darüber nachzudenken:

  • WebPKI = öffentliches Vertrauen, weltweit verteilt
  • X9 PKI = privates Vertrauen, gemeinsam genutzt in einem definierten, in den USA ansässigen Ökosystem

Warum wurde X9 geschaffen?

Finanzinstitute haben seit langem Probleme mit browsergesteuerten Richtlinien, die vom CA/Browser Forum im WebPKI-Modell angeführt werden. Diese Richtlinien, wie z. B. diejenigen, die an kürzere Zertifikatslaufzeiten oder Quantenvorbereitung geknüpft sind, wurden entwickelt, um alle Organisationen und alle Internetnutzer in großem Umfang zu schützen, können aber alltägliche Banksysteme wie Geldautomaten oder Zahlungsnetzwerke stören, die ganz anders funktionieren.

X9 wurde als Antwort auf dieses Spannungsfeld entwickelt:

  • Finanzinstitute sollen mehr Kontrolle erhalten
  • Konsistenz über vernetzte Systeme hinweg zu gewährleisten
  • Verringerung der Abhängigkeit von Browseranbietern

Aus dieser Perspektive macht die Absicht hinter X9 Sinn.

Wo wir die Verwirrung beseitigen müssen

IT-Abteilungen könnten den Eindruck gewinnen, dass X9 eine neue Form des "öffentlichen" Vertrauens oder eine Weiterentwicklung der WebPKI ist. Das ist nicht korrekt.

X9 ist im Grunde eher ein privates PKI-Modell mit einem entscheidenden Unterschied: Anstatt von einer einzigen Organisation oder Zertifizierungsstelle verwaltet zu werden, wird es von mehreren Organisationen im Rahmen eines gemeinsamen Regelwerks gemeinsam genutzt. Dies wird als Konsortialmodell bezeichnet und ist in der PKI weit verbreitet.

Dadurch entsteht ein hybrides Modell:

  • Es bietet kein global verteiltes Vertrauen wie die WebPKI.
  • Aber es bietet auch nicht die volle Kontrolle wie eine traditionelle private CA

Mit anderen Worten: Die Teilnehmer müssen sich wie bei jeder privaten Zertifizierungsstelle dafür entscheiden, ihr zu vertrauen. Genauer gesagt müssen sie die proprietäre X9-Root in den Root-Store jedes Client-Systems installieren, das versucht, eine Verbindung zu einem X9-Zertifikat herzustellen. Es wird nicht automatisch von Betriebssystemen, Browsern oder Geräten als vertrauenswürdig eingestuft.

Die Nachteile einer gemeinsam genutzten privaten CA

Dieser Ansatz des "gemeinsamen Ökosystems" bringt wichtige Kompromisse mit sich, die oft übersehen werden.

Bei einer herkömmlichen privaten PKI oder privaten CA:

  • Eine Organisation kontrolliert ihre Richtlinien, Infrastruktur und Risiken
  • Sicherheitsentscheidungen betreffen nur diese Organisation
  • Da die Organisation selbst die Zertifizierungsstelle ist, hat sie die volle Kenntnis und Kontrolle darüber, wer eines dieser Zertifikate besitzen kann.

Bei X9:

  • Richtlinien werden von mehreren Teilnehmern gemeinsam genutzt
  • Sicherheitsentscheidungen und -risiken können sich auf das gesamte Ökosystem auswirken.
  • Für einzelne Konsortiumsmitglieder ist es viel schwieriger zu verstehen, was der Besitz eines Zertifikats bedeutet.

Das ist wichtig, weil nicht alle Sicherheitsabwägungen gleich groß sind. So hat sich die PKI-Branche beispielsweise in Richtung kürzerer Zertifikatslaufzeiten, häufigerer Schlüssel- und Root-Rotationen, stärkerer Automatisierung und zweckmäßiger Zertifikatshierarchien entwickelt. Diese Änderungen haben einen Grund: Sie sollen das systemische Risiko in großen Vertrauensumgebungen verringern.

X9 verfolgt absichtlich einen anderen Ansatz, bei dem Stabilität und Kompatibilität für Finanzsysteme im Vordergrund stehen. Wenn dieser Ansatz jedoch auf ein gemeinsames Ökosystem angewendet wird, ändert sich das Risikoprofil.

Einfach ausgedrückt: In einer privaten PKI oder einer privaten Zertifizierungsstelle kann eine langsamere Veränderung akzeptabel sein. In einer gemeinsamen PKI-Instanz wie X9 wirken sich langsamere Änderungen jedoch auf alle aus, die sich darauf verlassen. Und während viele PKI-Systeme von Konsortien auf bewährte Konsortiumsmitglieder beschränkt sind, die bestimmte definierte Kriterien erfüllen, steht X9 jedem Mitglied der Öffentlichkeit zur Verfügung. Das bedeutet, dass sich Organisationen nicht auf ein X9-Zertifikat als Nachweis für die Identität des Abonnenten, der es besitzt, verlassen können.

Was sollten Organisationen also beachten, wenn sie X9 PKI in Betracht ziehen?

X9 PKI ist nicht per se "gut" oder "schlecht", aber sie wird oft missverstanden.

Sie ist es:

  • ein sektorspezifisches Vertrauensmodell, das für die Interoperabilität im Finanzbereich entwickelt wurde
  • eine gemeinsam genutzte private CA, keine öffentlich vertrauenswürdige Infrastruktur
  • Ein System, das explizite Beteiligung und Vertrauensentscheidungen erfordert.

Es ist nicht:

  • ein Ersatz für die WebPKI
  • ein global verteiltes Vertrauenssystem
  • Eine Möglichkeit, die Realitäten der sich entwickelnden Sicherheitsstandards zu umgehen
  • ein Indikator für die Identität des Inhabers eines X9-Zertifikats

X9 wurde geschaffen, um reale Herausforderungen in Finanzumgebungen zu lösen. Es handelt sich jedoch um ein anderes Vertrauensmodell mit anderen Kompromissen und nicht um eine direkte Weiterentwicklung der bestehenden öffentlichen WebPKI.

Da digitales Vertrauen aufgrund kürzerer Zertifikatslaufzeiten, wachsender Maschinenidentität und kryptografischer Veränderungen immer komplexer wird, sind diese Kompromisse wichtiger denn je.

Zu verstehen, was X9 eigentlich ist, ist der erste Schritt, um sicherzustellen, dass Sie den richtigen Ansatz wählen. Das Verständnis dafür, wo es passt und wo nicht, hilft Unternehmen letztendlich, die richtige Entscheidung zu treffen.