Was ist ein digitales Zertifikat? Kurze Übersicht (2023)

Was ist ein digitales Zertifikat?

Angesichts der Tatsache, dass die Sicherheit im Internet für jeden, von Privatpersonen bis hin zu Unternehmen, von großer Bedeutung ist, taucht das Thema digitale Zertifikate mehr denn je auf. Sie hören von digitalen Zertifikaten aller Art, die online und in internen Netzwerken verwendet werden, und wahrscheinlich haben Sie sie auch selbst verwendet, ohne zu fragen.

Sie wissen, dass sie etwas mit der Sicherung der Kommunikation oder der Einschränkung des Zugriffs zu tun haben, aber Sie wissen nicht, ob sie es wert sind. Wenn Sie schon einmal versucht haben, ein solches Zertifikat für Ihr Unternehmen zu erwerben, werden Sie wissen, dass es trotz der vielen Preisoptionen nicht billig ist. Also, was ist ein digitales Zertifikat?

Zusammenfassung

• Ein digitales Zertifikat ist eine Art elektronischer Personalausweis, der die Identität einer Entität (z. B. einer Person, einer Organisation oder einer Website) online nachweist und das Vertrauen in die digitale Kommunikation fördert.
• Digitale Zertifikate, die in der Public Key Infrastructure (PKI) verwurzelt sind, enthalten wichtige Daten: den öffentlichen Schlüssel des Inhabers, die Angaben zum Aussteller des Zertifikats, das Gültigkeitsdatum und eine eindeutige Seriennummer, die alle von einer vertrauenswürdigen Zertifizierungsstelle (CA) digital signiert werden.
• Sie spielen eine wichtige Rolle bei der Absicherung des Webverkehrs über HTTPS, indem sie eine verschlüsselte Datenübertragung ermöglichen und die Authentizität des Servers überprüfen und so Angriffe wie das Abfangen von Daten und das Spoofing von Websites verhindern.

Werden Sie kein Opfer von Cyberkriminalität. Schützen Sie Ihre Geräte mit dem besten Antivirenprogramm und Ihre Privatsphäre mit dem besten VPN-Dienst.

Beispiele für verschiedene Arten von digitalen Zertifikaten

Digitale Zertifikate gibt es in vielen Formen und für verschiedene Zwecke. Hier sind die Arten, die Sie kennen sollten.

Digitale TSL/SSL-Zertifikate

Immer wenn Sie eine HTTPS-Kennung an einer Webadresse oder URL sehen, verfügt dieser Server über ein TLS/SSL-Zertifikat.

Diese Art von digitalem Zertifikat wird hauptsächlich zur Verschlüsselung und zum Schutz der Kommunikation verwendet, weshalb es auch in E-Mail-Anwendungen eingesetzt wird.

Die Funktionsweise ist einfach. Das Zertifikat erlaubt oder verhindert den Austausch von Nachrichten zwischen Servern und Clients, je nachdem, wie der Validierungsprozess verläuft.

Das TLS/SSL-Zertifikat kann ein server- oder clientseitiges Zertifikat sein.

Server TLS/SSL-Zertifikat

Diese Art von Serverzertifikat verwendet sowohl TLS- als auch SSL-Protokolle, um die Kommunikation zwischen Client-Geräten und Servern zu sichern.

Dazu wird der Server aufgefordert, ein digitales Zertifikat vorzulegen, das angibt, dass er der gewünschte Empfänger ist.

In diesem Szenario führt das Client-Gerät, das sich mit dem Server verbindet, einen Prozess zur Überprüfung des Zertifizierungspfads durch. Der Prozess gleicht den Host mit dem Betreff auf dem Zertifikat ab und zeigt, dass eine vertrauenswürdige Zertifizierungsstelle für die Ausstellung des Zertifikats verantwortlich war.

Interessanterweise muss der Host immer als “Common Name” identifiziert werden. Da diese Zertifikate für eine Vielzahl von Hostnamen, Domänen und Subdomänen gültig sein können, sollten sie ein separates Feld für alternative Betreffnamen enthalten.

TLS/SSL Client-Zertifikate

Ein client-seitiges Zertifikat ist eine Art ID, mit der sich Benutzer und Geräte gegenseitig identifizieren können.

Solche Zertifikate sind hilfreich bei Anwendungen zum Schutz von Datenbanken. Eine weitere Anwendung sind E-Mail-Dienste, bei denen Client-Zertifikate E-Mails für den Empfänger authentifizieren.

Diese sind in Webbrowsern nicht so häufig anzutreffen, aber in virtuellen privaten Netzwerken (VPN) und Anwendungen für Remote-Desktop-Dienste sind sie sehr beliebt, um vertrauenswürdige Geräte zu authentifizieren.

Ein großer Unterschied zu einem Serverzertifikat besteht darin, wer die Authentifizierung vornimmt. In diesem Fall führt der Anbieter oder Zertifikatsaussteller die Authentifizierung durch, wenn der Client Zugang beantragt.

Außerdem kann ein Client-Zertifikat oft einen persönlichen Namen oder sogar eine E-Mail-Adresse anstelle eines Hostnamens anzeigen, wie es bei Server-Zertifikaten der Fall ist.

Digitale Code Signing-Zertifikate

Dieses Zertifikat wird von Softwareentwicklern und -herausgebern verwendet. Sie verwenden Code Signing-Zertifikate, um ihre Software zu signieren und zu beweisen, dass sie echt ist.

Benutzer, die diese Programme herunterladen, können deren Echtheit vor der Installation überprüfen, um sicherzustellen, dass sie nicht betrogen wurden oder im Begriff sind, etwas zu installieren, das möglicherweise mit Malware infiziert ist.

Ein TLS/SSL-Zertifikat hat auch Untertypen, die auf seiner Validierungsmethode basieren.

Organisation

Ein organisationsvalidiertes Zertifikat ist in der eCommerce-Branche am weitesten verbreitet.

Erweitert

Große Organisationen und Unternehmen, die sensible Daten schützen müssen, verwenden ein erweitertes Validierungszertifikat.

Diese Art von TSL/SSL-Zertifikat bietet eine vollständige Unternehmensauthentifizierung und wird oft mit der höchsten Sicherheitsstufe in Verbindung gebracht.

Domain

Das domänenvalidierte Zertifikat ist die schnellste Methode und die bevorzugte Wahl für die meisten Websites, vor allem, weil es so billig zu haben ist.

Wo erhalten Sie digitale Zertifikate?

Wenn Sie ein digitales Zertifikat benötigen, müssen Sie es von einer vertrauenswürdigen Quelle beziehen. Das bedeutet oft eine Zertifizierungsstelle.

Eine Zertifizierungsstelle, Certification Authority oder kurz CA, ist für die Speicherung, Signierung und Ausstellung digitaler Zertifikate zuständig.

Dabei handelt es sich um vertrauenswürdige und lizenzierte Stellen für Zertifikatsinhaber und alle Parteien, die ein Zertifikat zur Validierung einer Authentifizierungsanfrage benötigen.

Ein digitales Zertifikat reicht nicht aus, um seine digitale Signatur zu überprüfen und zu authentifizieren. Dazu braucht es einen anerkannten öffentlichen Schlüssel des Ausstellers, also der Zertifizierungsstelle.

Glücklicherweise gibt es viele allgemein anerkannte Zertifizierungsstellen. Der Vorteil der Zusammenarbeit mit einer CA ist, dass ihre öffentlichen Schlüssel in gängigen Browsern wie Firefox, Safari, Chrome, Edge usw. vorinstalliert sind.

Daher können Sie Ihre signierten Zertifikate problemlos online verwenden.

Alternativ können Sie ein digitales Zertifikat mit anderen Problemen erstellen, z.B. mit dem JSCAPE MFT Server-Dienst. Leider erhalten Sie damit ein selbstsigniertes Zertifikat, das möglicherweise nicht automatisch erkannt oder validiert wird.

Hier ist der Grund dafür.

Signierte und selbstsignierte digitale Zertifikate verstehen

Anerkannte Zertifizierungsstellen sind vertrauenswürdige Emittenten. Sie führen eine Due Diligence-Prüfung durch, bevor sie ein Zertifikat signieren, das über eine Zertifikatssignierungsanforderung (CSR) angefordert wird.

Die ausstellenden Stellen überprüfen die Gültigkeit der in einem digitalen Zertifikat enthaltenen Informationen, um sicherzustellen, dass die Partei, die es verwendet, vertrauenswürdig ist.

Daher gelten signierte Zertifikate als zuverlässig und werden im Online-Bereich bevorzugt.

Dies ist eigentlich die Industrienorm. Benutzer, die versuchen, eine Verbindung zu Websites mit selbstsignierten Zertifikaten herzustellen, erhalten eine Browserwarnung.

Die Warnung ist je nach Browser unterschiedlich, aber im Allgemeinen wird der Benutzer darüber informiert, dass die Adresse, die er zu erreichen versucht, nicht vertrauenswürdig ist oder die Verbindung möglicherweise nicht sicher ist.

Der Benutzer kann zwar trotzdem eine Verbindung herstellen, aber allein die Warnung könnte manche Leute abschrecken und sie sogar glauben lassen, die Website sei gefälscht.

Das soll nicht heißen, dass selbstsignierte Zertifikate nicht gut sind. In den meisten Fällen werden sie intern von großen Unternehmen und Organisationen verwendet.

Und warum?

Wenn Sie Ihr eigenes Netzwerk betreiben, können Sie den Zugriff auf Ihre Server kontrollieren. Daher können Sie problemlos ein selbstsigniertes Zertifikat hinter Ihrer Firewall verwenden, um die Sicherheit bei Dateiübertragungen zu erhöhen.

Welche Informationen sind in einem digitalen Zertifikat enthalten?

Jedes digitale Zertifikat kann sehr unterschiedlich sein. Die meisten Zertifikate haben jedoch einige gemeinsame Felder mit spezifischen Informationen.

Seriennummer

Eine Seriennummer ist ein eindeutiger Identifikator für ein Zertifikat im System einer Zertifizierungsstelle. Sie ist eine notwendige Information für den Abgleich mit Sperrdaten.

Thema

Die Betreffzeile gibt in der Regel an, wem oder was das Zertifikat gehört. Das kann eine Person, eine Organisation oder ein bestimmtes Gerät sein.

Wie bereits erwähnt, kann es hier eine Ausnahme für gemeinsam genutzte Zertifikate geben. Wenn dieses Feld die Kennung “Common Name” enthält, können Sie ein weiteres Feld “Subject Alternative Name” erwarten, das den tatsächlichen Namen des Betreffs enthält.

Damit wird sichergestellt, dass das Zertifikat für mehrere Hosts gültig bleibt.

Emittent

In dieser Zeile wird die Stelle angegeben, die für das Signieren und Überprüfen der Informationen in einem digitalen Zertifikat verantwortlich ist.

Nicht vorher

Jedes Zertifikat sollte einen klaren Zeitrahmen für die Echtheit haben. Die Zeile “Nicht vor” gibt an, ab welchem Datum das Zertifikat als gültig betrachtet werden kann.

Manchmal kann dieser Tag schon vor der Ausstellung des Zertifikats festgelegt werden.

Nicht nach

Das Feld “Nicht nach” enthält das Datum und die Uhrzeit, zu der das Zertifikat abläuft.

Schlüssel Verwendung

Jedes Zertifikat benötigt dieses Feld, da es die akzeptierten kryptografischen Verwendungen des öffentlichen Schlüssels klar definiert.

Erweiterte Schlüsselverwendung (falls erforderlich)

Ein Zertifikat kann in mehreren Anwendungen verwendet werden. Wenn dies der Fall ist, erscheint ein Feld für die erweiterte Schlüsselverwendung, um andere Verwendungszwecke wie TLS-Server-Authentifizierung, Code Signing usw. anzugeben.

Öffentlicher Schlüssel

Dies ist das Feld, in dem der öffentliche Schlüssel des Zertifikatsinhabers aufgeführt ist.

Signatur-Algorithmus

Im Feld Signaturalgorithmus werden sowohl der Verschlüsselungs- als auch der Hashing-Algorithmus angegeben.

Für Uneingeweihte sind sie jedoch möglicherweise nicht leicht zu unterscheiden. Wenn Sie beispielsweise einen Signaturalgorithmus als “sha256RSA” angezeigt bekommen und sonst nichts, dann handelt es sich um zwei verschiedene Algorithmen zusammen.

Sha256 ist ein bekannter Hashing-Algorithmus, während RSA ein spezieller Verschlüsselungsalgorithmus ist.

Unterschrift

Dies ist eines der wichtigsten Felder und im Wesentlichen der Körper des Zertifikats. Es enthält die Signatur, die zunächst gehasht und dann mit den im Feld “Signaturalgorithmus” aufgeführten Algorithmen verschlüsselt wird.

Digitale Zertifikate für die Sicherheit von Websites

Bei der Sicherheit von Websites kommen digitale Zertifikate wohl am häufigsten zum Einsatz, was durch die Anzahl der HTTPS-Websites deutlich wird.

Webbrowser überprüfen in der Regel die Authentizität von HTTPS-Servern, indem sie ein digitales Zertifikat prüfen. Sobald das Zertifikat authentifiziert ist, fühlen sich die Benutzer sicherer und sind eher bereit, mit dieser Website zu interagieren.

So funktioniert der Prozess.

Ein Website-Betreiber beantragt ein Zertifikat mit einer CSR bei einer Zertifizierungsstelle. Die Zertifizierungsstelle prüft den Antrag, indem sie die Felder des elektronischen Dokuments mit den Angaben des Unternehmens abgleicht.

Dann signiert die CA die Anfrage und erstellt ein öffentliches Zertifikat.

Mit diesem Zertifikat kann der Webserver-Betreiber jedem Browser beweisen, dass der Anbieter oder die Zertifizierungsstelle das Zertifikat tatsächlich auf den richtigen Inhaber ausgestellt hat. Dies ist natürlich nur möglich, wenn der Eigentümer das öffentliche Zertifikat für mehrere Browser freigibt.

Das bedeutet jedoch nicht, dass digitale Zertifikate keine Schwächen haben.

So kann es beispielsweise vorkommen, dass Browser den Benutzer nicht warnen, wenn eine Website ein anderes Zertifikat anzeigt. Dies kann selbst dann passieren, wenn das neue Zertifikat weniger Schlüsselteile, einen anderen Anbieter oder ein längeres Ablaufdatum hat.

Jeder Webbrowser sollte über eine genehmigte Liste von Stammzertifikaten verfügen. Aber nicht alle Stammzertifikate stehen unter der Kontrolle von Einrichtungen, die den Benutzern bekannt sind.

Daher kann eine Organisation jedes beliebige Zertifikat für eine Website ausstellen, und Webbrowser werden sie als echt erkennen, wenn sie das Stammzertifikat der ausstellenden Organisation enthalten.

Dies kann dazu führen, dass Sie der Gnade der Browser-Entwickler ausgeliefert sind.

Sie können sich nur dann wirklich sicher fühlen, wenn Sie den Entwicklern des Browsers und den Sicherheitsprotokollen vertrauen, dass sie die Stammzertifikate angemessen prüfen und eine Liste vertrauenswürdiger Anbieter führen.

Außerdem müssen Sie darauf vertrauen, dass sich die Zertifikatsanbieter korrekt verhalten und die Browserentwickler über nicht vertrauenswürdige und fragwürdige Zertifikate informieren.

Obwohl diese Schwäche nicht oft ausgenutzt wird, werden gelegentlich betrügerische Zertifikate ausgestellt.

Bemerkenswerte CA-Sicherheitslücken

Die beliebte Zertifizierungsstelle VeriSign war im Jahr 2001 Gegenstand einer CA-Subversion. Die Zertifizierungsstelle stellte nicht nur ein, sondern zwei verschiedene Zertifikate für eine dritte Partei aus, die behauptete, den IT-Riesen Microsoft zu vertreten.

Beide Zertifikate trugen den Namen “Microsoft Corporation”.

Warum war das eine große Sache?

Mit diesen Zertifikaten hätte der Besitzer Microsoft-Domänen, E-Mails und Anwendungen fälschen können, um möglicherweise vertrauliche Informationen zu stehlen, Malware zu installieren und alle möglichen anderen schändlichen Handlungen durchzuführen.

Glücklicherweise haben sowohl Microsoft als auch VeriSign das Problem schnell erkannt und behoben.

Ein weiteres betrügerisches Zertifikat wurde 2008 für den Namen “mozilla.com” an eine Person ausgestellt, die kein Recht hatte, Mozilla zu vertreten. In diesem Fall war Certstar die ausstellende CA.

Im Jahr 2011 stellten sowohl Comodo als auch DigiNotar gefälschte Zertifikate für angebliche iranische Hacker aus. Diese Zertifikate wurden angeblich verwendet, um einen Man-in-the-Middle-Angriff zu starten.

Diese Art von Cyberangriff ermöglicht es jemandem, sich zwischen zwei oder mehr kommunizierende Parteien zu stellen und Daten, Dateien und Kommunikation abzufangen. In einigen Fällen könnte der Mann in der Mitte sogar die Nachricht verändern, was massive Auswirkungen haben kann, wenn es zu finanziellen oder politischen Zwecken eingesetzt wird.

In einigen Fällen dauerte es sehr lange, bis die Webbrowser dies herausfanden und ihre Stammzertifikatslisten aktualisierten, indem sie die betrügerischen Zertifikate entfernten.

Dennoch sollte der Nachweis eines digitalen TLS/SSL-Zertifikats den Benutzern ein besseres Gefühl für die Authentizität einer Website geben.

In der Tat ist die TLS-Zertifizierung in den meisten Sicherheitsrichtlinien ein wichtiger Punkt, insbesondere für Websites, die Zugang zu vertraulichen Informationen haben oder finanzielle Transaktionen durchführen. Ganz gleich, ob es sich um eine Bank-Website, eine Investment-Plattform, einen eCommerce-Marktplatz usw. handelt.

Solche Plattformen sollten immer durch öffentliche Schlüsselzertifikate geschützt sein. Wenn Sie das wissen, sollten Sie Ihre Surfgewohnheiten und vertrauenswürdigen Websites überdenken.

Probleme mit der Schlüsselspeicherung

Eine weitere Schwachstelle eines digitalen Zertifikats ist der mögliche Diebstahl der privaten Schlüssel der CAs.

Sollte dies geschehen, könnte der Dieb diese Schlüssel verwenden, um bei Bedarf gefälschte Zertifikate zu erstellen. Aber da sie die privaten Schlüssel haben, würden die Zertifikate nach der Unterzeichnung echt aussehen.

Es gibt keine Möglichkeit, sich dagegen zu schützen, es sei denn, der Diebstahl wird sofort entdeckt. Selbst dann könnte ein solcher Diebstahl mehrere Zertifikate, Server und Benutzer gefährden.

Glücklicherweise verwenden die meisten CAs mehrere Sicherheitsmaßnahmen, um dies zu verhindern.

Die Verwendung von Hardware-Sicherheitsmodulen zur Speicherung privater Schlüssel ist eine großartige Möglichkeit, Diebstahl zu verhindern, da die Module offline gehalten werden.

Darüber hinaus kann eine breite Palette von Softwarekontrollen implementiert werden, um den Zugriff zu beschränken und Diebstahl zu verhindern.

CAs, die noch einen Schritt weiter gehen, verwenden sogar spezielle Protokolle oder Zeremonien bei der Generierung eines neuen Signierschlüssels, um Manipulationen zu verhindern.

Der Öffentlichkeit sind, wenn überhaupt, nur wenige Fälle von Manipulationen oder Diebstahl privater CA-Schlüssel bekannt.

Die meisten Angriffe erfolgten, indem CAs kompromittiert oder getäuscht wurden, um gefälschte Zertifikate auszustellen.

Beispiele für Root-Programme

Einige der weltweit führenden Zertifizierungsstellen verwenden die folgenden Root-Programme:

• Mozilla-Wurzelprogramm
• Microsoft Wurzelprogramm
• Apple-Wurzelprogramm
• Java-Wurzelprogramm

Warum ist es wichtig, über diese Root-Programme Bescheid zu wissen?

Wie oben erläutert, vertrauen Webbrowser einer Vielzahl von Zertifikaten, die von CAs ausgestellt wurden, basierend auf den Root-Programmen, die sie zur Authentifizierung verwenden.

Hier ist ein Beispiel dafür, wie das funktioniert.

Chrome vertraut den CAs, die im Microsoft Root Program aufgeführt sind, wenn er von einem Windows-Gerät aus verwendet wird. Da Chrome seine vertrauenswürdigen CAs jedoch über das Betriebssystem auswählt, verwendet es das Apple Root Program, wenn es auf einem iOS- oder macOS-System installiert ist.

Dies ist ein anderer Ansatz als der von Firefox verwendete. Firefox verlässt sich auf seine eigene Vertrauensliste des Betriebssystems und verwendet daher das Mozilla Root-Programm, um den verschiedenen CAs Vertrauensstufen zuzuweisen.

Dies geschieht unabhängig davon, welche Plattform oder welches Betriebssystem installiert ist, wie Windows, macOS, Linux usw.

Edge und Safari verwenden einen ähnlichen Ansatz und verlassen sich nur auf die Vertrauensspeicher ihres Betriebssystems.

Das Interessante an Root-Programmen ist, wie sie gemeinsam genutzt werden können.

Nehmen Sie zum Beispiel das Mozilla Root-Programm. Da Firefox ein Open-Source-Browser ist, kann auch seine Zertifikatsliste kopiert werden.

Daher können andere Betriebssysteme, z.B. solche, die auf Linux basieren, das Mozilla Root-Programm verwenden, um ihre eigene Liste von Vertrauensstellen für ihren integrierten Browser und ihre Anwendungen zu erstellen.

Jedes Root-Programm sollte eine Liste von Gründen enthalten, aus denen einem Zertifikatsaussteller vertraut werden kann. Das bedeutet aber nicht, dass alle CAs für alle Arten von Zertifikaten vertrauenswürdig sind.

Ein Unternehmen, das für seine TLS-Serverzertifikate bekannt ist, steht möglicherweise nicht auf der Vertrauensliste für Code Signing-Zertifikate und umgekehrt.

Beziehen Sie Ihr Zertifikat von einer vertrauenswürdigen Quelle

CAs sind zwar nicht überall auf der Welt reguliert, aber in der Regel können Sie die vertrauenswürdigsten Emittenten erkennen, wenn Sie sich ansehen, welchen Root-Programmen die größten Websites und Unternehmen vertrauen.

Nur wenn Sie mit einem vertrauenswürdigen Emittenten zusammenarbeiten, können Sie sicherstellen, dass Sie ein gutes Angebot, Sicherheit und die Aufnahme in die Root-Programmlisten verschiedener Browser erhalten. Eine falsche Wahl könnte es Ihren Kunden und Klienten erschweren, von verschiedenen Plattformen aus mit Ihnen zu interagieren.

Sie können sich auch für eine seriöse Zertifizierungsstelle entscheiden, selbst wenn Sie ein selbstsigniertes Zertifikat für den internen Gebrauch benötigen und einen IT-Spezialisten mit der Implementierung dieses komplexen Authentifizierungsprotokolls in Ihrem Netzwerk beauftragen.

Wie Sie online sicher bleiben:

• Verwenden Sie sichere Passwörter: Verwenden Sie für jedes Konto ein einzigartiges und komplexes Passwort. Ein Passwort-Manager kann Ihnen dabei helfen, diese zu erstellen und zu speichern. Aktivieren Sie außerdem die Zwei-Faktor-Authentifizierung (2FA), wann immer sie verfügbar ist.
• Investieren Sie in Ihre Sicherheit: Der Kauf des besten Antivirenprogramms für Windows 11 ist der Schlüssel für Ihre Online-Sicherheit. Ein hochwertiges Antivirenprogramm wie Norton, McAfee oder Bitdefender schützt Ihren PC vor verschiedenen Online-Bedrohungen, einschließlich Malware, Ransomware und Spyware.
• Seien Sie vorsichtig bei Phishing-Versuchen: Seien Sie vorsichtig, wenn Sie verdächtige Mitteilungen erhalten, in denen nach persönlichen Daten gefragt wird. Seriöse Unternehmen werden niemals per E-Mail oder SMS nach sensiblen Daten fragen. Bevor Sie auf einen Link klicken, vergewissern Sie sich über die Echtheit des Absenders.
• Bleiben Sie auf dem Laufenden: In unserem Blog behandeln wir eine breite Palette von Cybersicherheitsthemen. Und es gibt mehrere glaubwürdige Quellen (in englischer Sprache), die Berichte über Bedrohungen und Empfehlungen anbieten, wie NIST, CISA, FBI, ENISA, Symantec, Verizon, Cisco, Crowdstrike und viele mehr.

Viel Spaß beim Surfen!

Häufig gestellte Fragen

Nachstehend finden Sie die am häufigsten gestellten Fragen.