SSL-Zertifikate bilden im World Wide Web ein Sicherheitskennzeichen. Zertifikate identifizieren Personen, Domains und Webserver. Jedoch h\u00e4ngt das Vertrauen des Sicherheitskennzeichens „SSL-Zertifikat“ unbedingt davon ab, wie viel Vertrauen Sie der ausgebenden Stelle schenken k\u00f6nnen. Die ausgebende Stelle ist die Zertifizierungsstelle, auch Certificate Authority oder kurz CA genannt. Doch woran erkennt man, ob eine Zertifizierungsstelle vertrauensw\u00fcrdig ist?<\/p>\n
<\/p>\n
Browser- sowie Betriebssystem-Entwickler und Hersteller mobiler Ger\u00e4te f\u00fchren Mitgliedschaftsprogramme: CAs, deren Zertifikate akzeptiert werden sollen, m\u00fcssen detaillierte Richtlinien erf\u00fcllen. Ist dem so, ist es der Zertifizierungsstelle gestattet, SSL-Zertifikate auszustellen, die s\u00e4mtliche Browser als vertrauensw\u00fcrdig einstufen. Nachfolgend gilt dies auch f\u00fcr Personen und Ger\u00e4te, denn diese m\u00fcssen sich auf die Vertrauensw\u00fcrdigkeit der Zertifikate verlassen k\u00f6nnen. Tats\u00e4chlich autorisierte Zertifizierungsstellen, die vom privaten Unternehmen bis zur Beh\u00f6rde jeden Charakter verk\u00f6rpern k\u00f6nnen, gibt es nur wenige. Grunds\u00e4tzlich vertrauen umso mehr Browser und Ger\u00e4te den Zertifikaten einer Zertifizierungstelle, je l\u00e4nger diese bereits in Betrieb ist. Um Zertifikaten vertrauen zu k\u00f6nnen, ist eine immense Abw\u00e4rtskompatibilit\u00e4t mit \u00e4lteren Browser- und vor allem Mobilger\u00e4te-Versionen unabdingbar. Man spricht dabei von „Ubiquit\u00e4t“ und damit ist eines der wichtigsten Merkmale bekannt, die vertrauensw\u00fcrdige Zertifizierungsstellen ihren Kunden anbieten.<\/p>\n
Nehmen Browser und Ger\u00e4te Root-Zertifikate, auch Wurzelzertifikate genannt, in ihren Stammspeicher auf, vertrauen sie der CA. Der Stammspeicher ist eine Datenbank, die zugelassene Zertifizierungsstellen speichert und die in Browsern sowie Ger\u00e4ten vorinstalliert ist. Neben Microsoft betreiben auch Apple oder Mozilla Stammspeicher, auch jeder Mobilfunkanbieter betreibt in aller Regel eigene Stammspeicher.<\/p>\n
Die vorinstallierten Root-Zertifikate werden von den Zertifizierungsstellen verwendet, um sogenannte Zwischen-Root-Zertifikate sowie digitale Zertifikate auszustellen. Die Zertifizierungsstelle richtet sich nach den Zertifikatsanforderungen und \u00fcberpr\u00fcft eingehende Antr\u00e4ge. Weiter stellt sie Zertifikate aus und ist daf\u00fcr zust\u00e4ndig, den laufenden G\u00fcltigkeitsstatus ausgestellter Zertifikate zu ver\u00f6ffentlichen. Die Zwischenzertifikate dienen dazu, Zertifikate f\u00fcr die Endidentit\u00e4t ausstellen zu k\u00f6nnen, zum Beispiel ein SSL-Zertifikat f\u00fcr die Website eines Unternehmens. Dies wird als Vertrauenshierarchie bezeichnet.<\/p>\n
M\u00f6chten Sie ein SSL-Zertifikate<\/a> bestellen, ist es unabdingbar, dass Sie den Praktiken der jeweils ausgew\u00e4hlten CA voll vertrauen. Dies gilt insbesondere, wenn Sie vor der Entscheidung stehen, welche Verschl\u00fcsselungsalgorithmen, Hashfunktionen und Schl\u00fcssell\u00e4ngen in einer sich st\u00e4ndig \u00e4ndernden Branche als sicher eingestuft werden. Sie m\u00fcssen jedoch kein Kryptograf sein, um diese Entscheidung zu treffen. Es gen\u00fcgt, wenn Sie grundlegendes Verst\u00e4ndnis haben und dies durch aktuelle Berichterstattung aufrecht erhalten. So lohnt beispielsweise ein kurzer Blick in die Geschichte:<\/p>\n Zertifikate setzen sich aus dem Verschl\u00fcsselungsalgorithmus und einer Hash-Funktion zusammen. Um die Sicherheit zu erhalten, ist es unabdingbar, dass die verwendeten Parameter dem Stand der Zeit angepasst werden. So wurde beispielsweise Ende letzten Jahres bekannt, dass der bisher h\u00e4ufig verwendete, jedoch in die Jahre gekommene Hash-Algorithmus SHA-1 durch den Nachfolger SHA-2 ausgetauscht<\/a> wird. Ab Januar 2017 werden Google, Microsoft und weitere Branchenriesen aufh\u00f6ren, SHA-1-Zertifikaten zu vertrauen. Deshalb macht es Sinn, sich schon jetzt f\u00fcr SHA-2-Zertifikate zu interessieren.<\/p>\n Eine CA, die sich verpflichtet hat, neue Standards laufend umzusetzen, um so Bedrohungen, die auf Zertifizierungsstellen abzielen, erfolgreich entgegenzuwirken, sollte ebenfalls einen Kontrollorgan unterliegen. Deshalb m\u00fcssen sich seri\u00f6se Zertifizierungsstellen regelm\u00e4\u00dfg einem WebTrust- oder ETSI-Audit unterziehen. Den Nachweis zu dieser Pr\u00fcfung erkennen Sie am Logo auf der Website der jeweiligen CA.<\/p>\n Eine Mitgliedschaft im Certification Authority Browser Forum<\/a>, kurz: CA\/B Forum, sorgt ebenfalls f\u00fcr Vertrauen. Dieser freiwilligen Organisation geh\u00f6ren verschiedene f\u00fchrende Zertifizierungsstellen an. Weiter k\u00f6nnen Browser-Anbieter sowie andere\u00a0Software-Entwickler eine Mitgliedschaft beantragen. S\u00e4mtliche Foren-Mitglieder haben beim Erarbeiten der Leitlinien des Forums eng zusammengearbeitet und im Rahmen dessen Instrumente eingef\u00fchrt, die beim Umsetzen des Extended Validation-Standards eine h\u00f6here Sicherheit schaffen. Initiator des CA\/B Forums war im Jahre 2005 Steve Roylance von der CA GlobalSign. Dementsprechend spielt die Zertifizierungsstelle GlobalSign auch eine entscheidende Rolle beim Festlegen grundlegender Anforderungen sowie weiterer Zertifikatsrichtlinien.<\/p>\n Ein weiterer Vertrauensfaktor f\u00fcr Zertifizierungsstellen ist das Ver\u00f6ffentlichen der Certificate Policy (CP) sowie des Certificate Practice Statements (CPS). Die CP l\u00e4sst sich mit Zertifizierungspolitik \u00fcbersetzen. Sie beschreibt die unterschiedlichen Akteure einer PKI (Public Key Infrastructure<\/a>), deren Rollen, Rechte und Pflichten. Hier sind Regeln festgehalten, die die Anwendbarkeit von Zertifikaten f\u00fcr bestimmte Personenkreise oder spezielle Anwendungen bestimmter Klassen mit bestimmten und gemeinsamen Sicherheitsanforderungen vorschreibt. Dritte k\u00f6nnen dank CP die Vertrauensw\u00fcrdigkeit analysieren.<\/p>\n Das CPS beinhaltet Informationen \u00fcber die Zertifizierungspraktiken, enth\u00e4lt also Aussagen \u00fcber Richtlinien, die eine CA zum Ausstellen der Zertifikate effektiv umsetzt. In den CPS werden Ausr\u00fcstungen und Verfahren definiert, die eine CA in \u00dcbereinstimmung mit der hauseigenen Zertifizierungspolitik (CP) verwendet. Die CPS wird von internationalen Standards abgeleitet.<\/p>\n Mit mehr als 15 Jahren Erfahrung im Gep\u00e4ck wissen wir, welche Zertifizierungsstellen vertrauensw\u00fcrdig sind. Unser SSL-Zertifikate Portfolio setzt sich aus CAs zusammen, die Wert legen auf sichere sowie zukunftstr\u00e4chtige Algorithmen und Hash-Funktionen. Selbstverst\u00e4ndlich unterst\u00fctzen wir Sie auch im direkten Kontakt bei der Auswahl einer vertrauensw\u00fcrdigen Zertifizierungsstelle \u2013 fragen Sie einfach an<\/a>, den unser Service geht \u00fcber den Standard hinaus.<\/p>\nAudits und Mitgliedschaften<\/h3>\n
Certificate Policy und Certificate Practice Statement<\/h3>\n
Ihr Weg zur vertrauensw\u00fcrdigen Zertifizierungsstelle<\/h3>\n