Z wie Zertifikat

In unserem Azubi-Blog erklären wir jede Woche einen Begriff aus dem ABC der IT-Security. Heute: Z wie Zertifikat.

Was ist ein digitales Zertifikat? Ein digitales Zertifikat ist ein elektronischer Echtheitsnachweiß, der von einer Zertifizierungsstelle ausgestellt wird und somit als sicher gilt. Zertifikate kommen im Internet zur Verschlüsselung des Datenverkehrs zum Einsatz.

Das digitale Zertifikat ist ein elektronischer Echtheitsnachweis, vergleichbar wie ein Personalausweis. Dabei handelt es sich um einen Datensatz, der die Identitäten von Personen oder Objekten bestätigt und diese mittels kryptografischer Verfahren überprüft. Mit Hilfe eines Zertifikats lässt sich ein öffentlicher Schlüssel sicher einem Besitzer zuweisen. Dieser wird genutzt, um Nachrichten zu verschlüsseln und digital zu signieren. Durch die digitale Signatur der ausstellenden Institution kann der Empfänger verifizieren, dass das Zertifikat echt ist. Ein Zertifikat beinhaltet den Namen des Zertifikateigentümers, eine Seriennummer, Verfallsdatum und eine Kopie des öffentlichen Schlüssels des Zertifikateigentümers.

Zertifikate kommen dann zum Einsatz, wenn die Identität eines Kommunikationspartners oder der Quelle einer Information eindeutig festgestellt werden muss. Häufige Anwendungsbereiche sind hierfür:

• Verschlüsselte Verbindungen zwischen einem Browser und einem Server per HTTPS
• Verschlüsselungen von E-Mail-Signaturen
• Signierung von Software und Updates
• beim Verbindungsaufbau einer VPN-Verbindung

Welche Aufgaben haben die Zertifizierungsstellen?

Die Zertifizierungsstellen, auch Certification Authority (CA) oder Trust Center genannt, prüfen die Angaben und die Identität eines Antragstellers für ein Zertifikat und stellen es bei korrekten Angaben aus. Zudem ist das CA zuständig für das Verwalten und Veröffentlichen von Zertifikatssperrlisten sowie für die Aufzeichnung sämtlicher Zertifizierungsaktivitäten.

Für die Erstellung von Zertifikaten gibt es einen bestimmten Standard. Der X.509-Standard legt fest, welche Inhalte in welcher Form in einem Zertifikat enthalten sein müssen. X.509 ist ein Standard für eine Public-Key-Infrastruktur zum Erstellen von digitalen Zertifikaten.

Wo ist der Unterschied zwischen Client – und Serverzertifikaten?

Clientzertifikate identifizieren den Client bzw. die Einzelperson. Server- oder SSL- Zertifikate identifizieren dagegen den Betreiber der Webseite. Serverzertifikate werden in der Regel auf Hostnamen ausgestellt. Dies kann ein Gerätename oder ein Domainname sein. Ein Browser stellt die Verbindung mit dem Server her und bestätigt das SSL-Serverzertifikat. Dadurch ist gewährleistet, dass die Interaktion mit der Webseite nicht durch Dritte abgehört werden kann und die Webseite genau die ist, für die sie sich ausgibt.

Was sind selbstsignierte Zertifikate?

Dieses Zertifikat wird nicht von einer Zertifizierungsstelle signiert, sondern von der Server-Software selbst. Ein selbstsigniertes Zertifikat wird meistens in Testumgebungen verwendet. Es ist nicht dafür gedacht, eine öffentliche Webseite abzusichern. Bei einem selbstsignierten Zertifikat kann technisch nicht sichergestellt werden, dass das SSL-Zertifikat tatsächlich vom Besitzer der Webseite ausgestellt wurde. Der Nachteil an dieser Methode ist, dass der Browser beim Öffnen des Webservers eine Sicherheitswarnung anzeigt, da das Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde. Dies stellt ein Risiko dar, da Mitarbeiter eines Unternehmens anfangen die Warnungen zu ignorieren, weil sie wissen, dass die interne Webseite sicher ist. Daraus ergibt sich aber ein gefährliches öffentliches Surfverhalten.