asyoube logo asyoube

Zertifikatsmanagement

Lernfeld 11: Betrieb und Sicherheit vernetzter Systeme gewährleisten

Wie funktionieren digitale Zertifikate und warum sind sie wichtig?

Die Rolle digitaler Zertifikate als digitaler Ausweis

Stell dir digitale Zertifikate wie einen digitalen Personalausweis vor. Genauso wie dein Ausweis deine Identität im realen Leben bestätigt, belegen digitale Zertifikate die Authentizität von Servern, Organisationen oder Personen im Internet. Sie sind ein fundamentaler Baustein, um Vertrauen in der digitalen Kommunikation zu schaffen. Wenn du eine Webseite über https:// aufrufst, bestätigt das Zertifikat dieser Seite, dass du wirklich mit dem Server des Online-Shops verbunden bist und nicht mit einer betrügenden Person, die sich dazwischengeschaltet hat. Technisch gesehen bindet ein Zertifikat einen öffentlichen Schlüssel eindeutig an eine digitale Identität.

Praxisbeispiel Online-Banking: Das TLS/SSL-Zertifikat deiner Bank stellt sicher, dass die Verbindung zwischen deinem Browser und der Bank verschlüsselt und authentisch ist. Es garantiert, dass der öffentliche Schlüssel, den dein Browser zur Verschlüsselung deiner Login-Daten verwendet, tatsächlich zur Bank gehört. Dies schützt die Vertraulichkeit deiner sensiblen Daten.

Die Vertrauensanker: Zertifizierungsstellen (CAs)

Damit ein digitaler Ausweis vertrauenswürdig ist, muss er von einer anerkannten Stelle ausgestellt werden. Im Internet übernehmen diese Aufgabe die Zertifizierungsstellen (Certificate Authorities, CAs). Eine CA ist eine Organisation, die die Identität der antragstellenden Person überprüft, bevor sie ein Zertifikat ausstellt. Man kann sich eine CA wie ein digitales Notariat vorstellen, das die Echtheit von Angaben prüft und beglaubigt. Nachdem die Identität verifiziert wurde, signiert die CA das Zertifikat mit ihrem eigenen privaten Schlüssel und bestätigt damit die Korrektheit der enthaltenen Informationen (z.B. "der öffentliche Schlüssel X gehört zur Domain Y"). Moderne Betriebssysteme und Browser haben eine Liste anerkannter CAs fest integriert, weshalb diesen "beglaubigten" Zertifikaten vertraut wird.

Praxisbeispiel Software-Update: Wenn du ein Software-Update von einem Hersteller wie Microsoft herunterlädst, ist die Installationsdatei oft digital signiert. Dein Betriebssystem prüft diese Signatur mithilfe des Zertifikats des Herstellers. Ist die Signatur gültig, kannst du sicher sein, dass die Software authentisch ist und seit der Signierung nicht verändert wurde. Dies gewährleistet die Integrität des Updates.

Der Lebenszyklus eines digitalen Zertifikats

Ein digitales Zertifikat durchläuft einen klar definierten Lebenszyklus, von der Beantragung bis zur Ungültigkeit.

  1. Certificate Signing Request (CSR) erstellen: Zu Beginn erzeugt die antragstellende Person (z.B. ein:e Webserver-Administrator:in) ein Schlüsselpaar (öffentlich und privat) und einen Certificate Signing Request (CSR). Der CSR enthält den öffentlichen Schlüssel und Identitätsinformationen wie den Domainnamen.
  2. Validierung durch die CA: Die Zertifizierungsstelle prüft die im CSR gemachten Angaben. Je nach Zertifikatstyp kann dies eine einfache Domain-Verifizierung oder eine umfassende Prüfung der Organisation umfassen.
  3. Ausstellung des Zertifikats: Nach erfolgreicher Prüfung signiert die CA den CSR mit ihrem privaten Schlüssel. Das Ergebnis ist das fertige digitale Zertifikat, das an die antragstellende Person übergeben und auf dem Server installiert wird.
  4. Verwendung des Zertifikats: Das Zertifikat wird nun zur Authentifizierung und zum Aufbau verschlüsselter Verbindungen (z.B. TLS/SSL) genutzt.
  5. Widerruf des Zertifikats (Revocation): Ein Zertifikat kann vor Ablauf seiner Gültigkeit für ungültig erklärt werden, wenn z.B. der zugehörige private Schlüssel kompromittiert wurde.

Um den Status eines Zertifikats zu prüfen, nutzen Clients hauptsächlich zwei Mechanismen:

  • Certificate Revocation List (CRL): Eine von der CA bereitgestellte "schwarze Liste" aller widerrufenen Zertifikate. Der Nachteil ist die mögliche Verzögerung, da die Liste nur periodisch aktualisiert wird.
  • Online Certificate Status Protocol (OCSP): Ermöglicht eine Echtzeit-Anfrage an die CA, um den Status eines einzelnen Zertifikats zu überprüfen. Dies ist aktueller, kann aber bei hoher Auslastung zu Latenzen führen.

Praxisbeispiel für Widerruf: Der private Schlüssel eines Webshops wird durch einen Hackerangriff gestohlen. Die für den Webshop verantwortliche Person muss das Zertifikat sofort widerrufen lassen. Andernfalls könnten die Angreifenden den gestohlenen Schlüssel nutzen, um eine gefälschte Version der Webseite als echt auszugeben und sensible Kund:innendaten abzufangen.

dec-information-security-cryptography-public-key-infrastructure-certificate-management_page1.svg

Wie wird die Vertrauenswürdigkeit von Zertifikaten sichergestellt?

Hierarchie und Vertrauensketten (Chain of Trust)

Zertifikate werden nicht willkürlich ausgestellt, sondern folgen einer streng hierarchischen Struktur, um die Sicherheit und Skalierbarkeit zu gewährleisten. Diese Hierarchie bildet eine sogenannte Vertrauenskette (Chain of Trust).

  • Root CA (Wurzelzertifizierungsstelle): An der Spitze dieser Hierarchie stehen die Root CAs. Sie sind die ultimativen Vertrauensanker, deren eigene Zertifikate in Betriebssystemen und Browsern vorinstalliert sind. Ihre privaten Schlüssel werden unter höchsten Sicherheitsvorkehrungen, oft offline, aufbewahrt. Eine Root CA stellt nur Zertifikate für untergeordnete CAs aus, niemals direkt für Endanwendende wie Webseitenbetreibende.
  • Subordinate CA (Untergeordnete CA): Diese CAs, auch Intermediate CAs genannt, erhalten ihre Legitimation durch ein Zertifikat, das von einer Root CA (oder einer anderen, übergeordneten Intermediate CA) signiert wurde. Sie sind autorisiert, Zertifikate für Endanwendende auszustellen. Dieses Vorgehen schützt die wertvollen privaten Schlüssel der Root CAs.

Praxisbeispiel Vertrauenskette: Wenn dein Browser die Webseite www.beispiel.de aufruft, prüft er die Vertrauenskette des Server-Zertifikats:

  1. Das Zertifikat von www.beispiel.de wurde von der "Intermediate CA A" signiert. Ist diese Signatur gültig?
  2. Das Zertifikat der "Intermediate CA A" wurde wiederum von der "Root CA B" signiert. Ist auch diese Signatur gültig?
  3. Ist die "Root CA B" im Trust Store (der Liste vertrauenswürdiger CAs) deines Browsers enthalten?

Nur wenn diese Kette lückenlos bis zu einer vertrauenswürdigen Wurzel zurückverfolgt werden kann, wird die Verbindung als sicher eingestuft.

Der Zertifikatsvalidierungsprozess durch Clients

Wenn dein Webbrowser (der "Client") eine HTTPS-Verbindung zu einem Server aufbaut, führt er einen automatisierten, mehrstufigen Prozess durch, um die Gültigkeit des vom Server präsentierten Zertifikats zu überprüfen.

  1. Prüfung der digitalen Signatur: Der Browser verifiziert, ob die digitale Signatur des Zertifikats mit dem öffentlichen Schlüssel der ausstellenden CA übereinstimmt. Dies stellt sicher, dass das Zertifikat authentisch ist und seit seiner Ausstellung nicht manipuliert wurde (Integrität).
  2. Aufbau der Vertrauenskette: Der Browser verfolgt die Kette der Signaturen zurück – vom Serverzertifikat über eine oder mehrere Intermediate CAs – bis er eine Root CA erreicht, die in seinem eigenen vertrauenswürdigen Zertifikatsspeicher (Trust Store) installiert ist. Wenn diese Kette nicht lückenlos oder die Root CA nicht vertrauenswürdig ist, schlägt die Validierung fehl.
  3. Prüfung von Gültigkeit und Namen: Der Browser kontrolliert, ob das aktuelle Datum innerhalb des Gültigkeitszeitraums des Zertifikats liegt und ob der im Zertifikat eingetragene Domainname (z.B. www.meinebank.de) exakt mit der aufgerufenen Webadresse übereinstimmt.
  4. Prüfung des Widerrufsstatus: Der Browser prüft mittels OCSP oder CRL, ob das Zertifikat von der CA vorzeitig für ungültig erklärt wurde. Dies ist entscheidend, um die Nutzung kompromittierter Zertifikate zu verhindern.

Ergebnis: Nur wenn alle diese Prüfungen erfolgreich sind, wird die Verbindung als sicher eingestuft, und das bekannte Schloss-Symbol erscheint in der Adressleiste. Andernfalls zeigt der Browser eine deutliche Warnmeldung an, um die Nutzenden vor einer potenziell unsicheren Verbindung zu schützen und die Verfügbarkeit sicherer Dienste zu gewährleisten.

dec-information-security-cryptography-public-key-infrastructure-certificate-management_page2.svg

Lernziele

  • die Rolle einer Zertifizierungsstelle (CA) als Vertrauensanker in einer Public Key Infrastructure (PKI) erklären, indem ihre Aufgabe beschrieben wird, Identitäten zu überprüfen und digitale Zertifikate auszustellen, die öffentliche Schlüssel eindeutig einer Entität (Person, Server, Organisation) zuordnen.
  • die hierarchische Struktur von Zertifizierungsstellen differenzieren, indem die unterschiedlichen Rollen und Vertrauensstellungen von Root CAs und Subordinate CAs sowie deren Zusammenwirken zur Schaffung einer Vertrauenskette (Chain of Trust) analysiert werden.
  • den Lebenszyklus eines digitalen Zertifikats erklären, indem der Prozess von der Erstellung eines Certificate Signing Requests (CSR) über die Ausstellung durch eine CA bis hin zum Widerruf mittels einer Certificate Revocation List (CRL) oder OCSP dargestellt wird.
  • den Prozess der Zertifikatsvalidierung durch einen Client interpretieren, indem untersucht wird, wie ein Client (z. B. ein Webbrowser) die Gültigkeit eines Zertifikats überprüft, indem er die digitale Signatur, die Vertrauenskette bis zu einer vertrauenswürdigen Root CA und den Sperrstatus verifiziert.
🚀 Bereit für mehr?

Vertiefe dein Wissen!

Du hast die Grundlagen verstanden? Perfekt! In unserer App findest du interaktive Übungen, praktische Projekte und erweiterte Inhalte zu Zertifikatsmanagement.

Download on the App Store Get it on Google Play
💼 Für Unternehmen

Ab 5€/Monat • Kostenloser Test verfügbar