Was ist die Zertifikatskette des SSL-Vertrauens?
Die SSL-Zertifikatskette garantiert Online-Sicherheit, indem sie ein End-Entity-Zertifikat mit einer vertrauenswürdigen Stammzertifizierungsstelle (CA) über Zwischenzertifikate verbindet. Diese hierarchische Struktur ermöglicht Browsern die Überprüfung der Website-Identität und sichert verschlüsselte Verbindungen. So schützt sie vor der Nutzung abgelaufener oder gefälschter Zertifikate.
Inhaltsverzeichnis
Was ist eine Zertifikatsverkettung?
Eine Zertifikatskette bildet die Grundlage für die Schaffung von Vertrauen in die Identität einer Online-Einheit und die Sicherung von Verbindungen über das Internet. In dieser Kette folgt eine Reihe digitaler Zertifikate auf ein Endteilnehmerzertifikat (d. h. ein Blattzertifikat), das jeweils von der nächsten Zertifizierungsstelle in der Kette signiert wird, um seine Authentizität zu bestätigen. Am Ende der Kette befindet sich ein Vertrauensanker, der öffentliche Verifizierungsschlüssel einer seriösen Zertifizierungsstelle.
Was ist der Zweck der Verkettung von Zertifikaten?
Die Verkettung von Zertifikaten ist für die Cybersicherheit unerlässlich. Sie schafft Vertrauen in die digitale Kommunikation durch eine hierarchische Struktur und ermöglicht es den Benutzern, vertrauensvoll mit Online-Einrichtungen zu interagieren. Die Authentifizierung verhindert, dass sich böswillige Akteure als legitime Websites ausgeben (z. B. bei einem Phishing-Angriff), während die Verschlüsselung eine sichere Datenübertragung gewährleistet.
Das durch die Zertifikatskette aufgebaute Vertrauen verhindert, dass Kriminelle sichere Informationen abfangen, was zu Datenlecks und Datendiebstahl führen kann. Die Zertifikatskette hilft auch, Man-in-the-Middle-Angriffe (MITM) zu stoppen, indem sie Hacker daran hindert, abgelaufene, widerrufene oder betrügerische Zertifikate zu verwenden.
Eine Zertifikatskette ermöglicht es Benutzern, bei verschiedenen digitalen Transaktionen Vertrauen zu einer Online-Einheit aufzubauen, z. B. um persönliche Daten weiterzugeben, Anmeldedaten einzugeben oder Zahlungsinformationen einzugeben. Für Unternehmen ist es außerdem unerlässlich, verschiedene Datenschutzbestimmungen und Sicherheitsstandards einzuhalten, wie z. B. den Health Insurance Portability and Accountability Act (HIPAA), den Payment Card Industry Data Security Standard (PCI DSS) und die Datenschutz-Grundverordnung (DSGVO).
Komponenten einer Kette von Zertifikaten
Die hierarchische Struktur der Zertifikatskette schafft ein Modell, bei dem das Vertrauen von oben (d. h. Stammzertifikat) nach unten (d. h. Blattzertifikat) fließt.
- Root-Zertifikat: Eine vertrauenswürdige Zertifizierungsstelle an der Spitze der Zertifikatshierarchie stellt ein Root-Zertifikat als Vertrauensanker aus und signiert es selbst, um die Glaubwürdigkeit aller Zertifikate von verbundenen Zertifizierungsstellen zu gewährleisten.
- Zwischenzertifikat: Zwischen dem Root- und dem Blattzertifikat in einer Vertrauenskette befinden sich ein oder mehrere Zwischenzertifikate, die jeweils von einer Zwischenzertifizierungsstelle ausgestellt werden, die von einer Root-Zertifizierungsstelle zertifiziert wurde.
- Blattzertifikat: Dieses Endentitätszertifikat authentifiziert eine einzelne Entität wie einen Benutzer, ein Gerät oder einen Server. Es erbt das Vertrauen der übergeordneten Zertifikate in der Kette, das durch digitale Signaturen verifiziert wird.
Root-CAs sind die Vertrauensgrundlage in der PKI, wobei das Vertrauen in das Root-Zertifikat von der gesamten Kette geerbt wird. Solange jedes Zertifikat in der Kette gültig ist, korrekt signiert ist und zu einer vertrauenswürdigen Wurzel zurückverfolgt werden kann, gilt das Blattzertifikat als vertrauenswürdig. Wenn der private Schlüssel eines Vertrauensankers kompromittiert wird, muss der unterstützenden Software sofort das Vertrauen in die Wurzel entzogen werden. Es ist eine neue Wurzel erforderlich, um die Neuausstellung aller von dieser Wurzel ausgestellten Zwischen- und Blattzertifikate zu ermöglichen.
Ein Root-Zertifikat kann zwar theoretisch ein Blattzertifikat signieren, in öffentlichen PKIs ist dies jedoch nicht zulässig. Auch wenn es keine technischen Hindernisse gibt, die ein Root-Zertifikat daran hindern, ein Blattzertifikat in einer privaten PKI zu signieren, gilt es als bewährte Methode, Zwischenzertifikate zu verwenden. Auf diese Weise sind die Auswirkungen auf die darunter ausgestellten Zertifikate begrenzt, wenn ein Zwischenzertifikat kompromittiert wird, ohne dass das Root-Zertifikat oder andere Zwischenzertifikate beeinträchtigt werden.
Wie funktioniert eine Zertifikatskette?
Schauen wir uns als Beispiel eine SSL/TLS-Zertifikatskette an. Ein Website-Besitzer möchte seinen Server mit einem SSL-Zertifikat sichern. Zunächst bestimmt der Besitzer den Typ des benötigten SSL/TLS-Zertifikats und erhält eines von einer öffentlichen Zertifizierungsstelle. Nach Erhalt des Blattzertifikats installiert der Besitzer es auf dem Webserver. Wenn ein Benutzer eine Verbindung mit der Website herstellt, führt der Browser einen Vertrauensüberprüfungsprozess durch:
- Der Browser überprüft, ob die Stammzertifizierungsstelle in seinem vorinstallierten Trust Store vorhanden ist. Wenn das Stammzertifikat gefunden wird, wird das Zwischenzertifikat verifiziert. Andernfalls wird keine Verbindung hergestellt.
- Der Browser überprüft die digitale Signatur des Zwischenzertifikats mithilfe des öffentlichen Schlüssels des Stammzertifikats. Wenn die Signatur gültig ist, wird das Zertifikat als vertrauenswürdig eingestuft.
- Eine Zertifikatskette kann ein oder mehrere Zwischenzertifikate enthalten, die jeweils von der übergeordneten Zertifizierungsstelle stammen. Der Client überprüft jedes Zertifikat in der Kette und bestätigt, dass der Antragstellername in einem Zertifikat mit dem Ausstellernamen im nächsten übereinstimmt.
- Der Browser überprüft dann die digitale Signatur des Serverzertifikats mithilfe des öffentlichen Schlüssels des Zwischenzertifikats. Wenn die Signatur gültig ist, wird eine sichere Verbindung für den verschlüsselten Datenaustausch hergestellt. Die Verbindung wird abgelehnt, wenn kein Zertifikat auf dem Pfad verifiziert werden kann.
Vertrauenswürdigkeit einer Zertifikatskette
Wenn Sie ein Leaf-Zertifikat in einer öffentlichen PKI erwerben, müssen Sie sich nicht mit Zwischen- und Stammzertifikaten befassen. Die Vertrauenskette der öffentlichen Zertifizierungsstelle wurde bei der Einrichtung erstellt und verifiziert, um die Art von Leaf-Zertifikaten auszustellen, die Sie erwerben. So wählen Sie eine seriöse Zertifizierungsstelle aus:
- Suchen Sie nach einer Zertifizierungsstelle, die vertrauenswürdige Stammzertifikate in ihrer Vertrauenskette verwendet.
- Kaufen Sie bei einer Zertifizierungsstelle, die Prüfberichte veröffentlicht und Branchenstandards wie WebTrust oder ETSI einhält.
- Überlegen Sie, ob eine Zertifizierungsstelle ihre Zertifikate mit anderen bekannten Zertifizierungsstellen kreuzsigniert.
- Untersuchen Sie die Geschichte und Stabilität einer Zertifizierungsstelle und verwenden Sie eine mit einer langen Erfolgsgeschichte zuverlässiger Dienste.
- Suchen Sie nach einer Zertifizierungsstelle, die alle Zertifikatstypen anbietet, die Sie voraussichtlich verwenden werden, einschließlich SSL-, S/MIME-, Code Signing-, Document Signing- und eIDAS-Zertifikate.
- Darüber hinaus ist die Verwaltung des Lebenszyklus aller Blattzertifikate in Ihrer Infrastruktur von entscheidender Bedeutung, um die fortlaufende Sicherheit zu gewährleisten und Ausfälle, Verstöße oder Dienstunterbrechungen zu verhindern. Manuelle Prozesse reichen jedoch nicht mehr aus, um die große Anzahl an Zertifikaten zu verwalten, die Unternehmen heutzutage verwalten müssen. Um sicherzustellen, dass nichts übersehen wird, benötigen Sie eine Übersicht über Ihren Bestand und müssen den Prozess der Verwaltung des Lebenszyklus von Zertifikaten automatisieren.
Sectigo Certificate Manager (SCM) ist eine CA-unabhängige Plattform, mit der Sie alle Ihre privaten und öffentlichen digitalen Zertifikate an einem Ort verwalten können. Erfahren Sie mehr und testen Sie SCM noch heute, um zu sehen, wie wir Ihnen bei der Optimierung der Zertifikatsverwaltung helfen können.