CA – woran Sie eine gute Zertifizierungsstelle erkennen

SSL-Zertifikate bilden im World Wide Web ein Sicherheitskennzeichen. Zertifikate identifizieren Personen, Domains und Webserver. Jedoch hängt das Vertrauen des Sicherheitskennzeichens „SSL-Zertifikat“ unbedingt davon ab, wie viel Vertrauen Sie der ausgebenden Stelle schenken können. Die ausgebende Stelle ist die Zertifizierungsstelle, auch Certificate Authority oder kurz CA genannt. Doch woran erkennt man, ob eine Zertifizierungsstelle vertrauenswürdig ist?

Wer entscheidet, welcher CA vertraut werden kann?

Browser- sowie Betriebssystem-Entwickler und Hersteller mobiler Geräte führen Mitgliedschaftsprogramme: CAs, deren Zertifikate akzeptiert werden sollen, müssen detaillierte Richtlinien erfüllen. Ist dem so, ist es der Zertifizierungsstelle gestattet, SSL-Zertifikate auszustellen, die sämtliche Browser als vertrauenswürdig einstufen. Nachfolgend gilt dies auch für Personen und Geräte, denn diese müssen sich auf die Vertrauenswürdigkeit der Zertifikate verlassen können. Tatsächlich autorisierte Zertifizierungsstellen, die vom privaten Unternehmen bis zur Behörde jeden Charakter verkörpern können, gibt es nur wenige. Grundsätzlich vertrauen umso mehr Browser und Geräte den Zertifikaten einer Zertifizierungstelle, je länger diese bereits in Betrieb ist. Um Zertifikaten vertrauen zu können, ist eine immense Abwärtskompatibilität mit älteren Browser- und vor allem Mobilgeräte-Versionen unabdingbar. Man spricht dabei von „Ubiquität“ und damit ist eines der wichtigsten Merkmale bekannt, die vertrauenswürdige Zertifizierungsstellen ihren Kunden anbieten.

Die Vertrauenshierarchien

Nehmen Browser und Geräte Root-Zertifikate, auch Wurzelzertifikate genannt, in ihren Stammspeicher auf, vertrauen sie der CA. Der Stammspeicher ist eine Datenbank, die zugelassene Zertifizierungsstellen speichert und die in Browsern sowie Geräten vorinstalliert ist. Neben Microsoft betreiben auch Apple oder Mozilla Stammspeicher, auch jeder Mobilfunkanbieter betreibt in aller Regel eigene Stammspeicher.

Die vorinstallierten Root-Zertifikate werden von den Zertifizierungsstellen verwendet, um sogenannte Zwischen-Root-Zertifikate sowie digitale Zertifikate auszustellen. Die Zertifizierungsstelle richtet sich nach den Zertifikatsanforderungen und überprüft eingehende Anträge. Weiter stellt sie Zertifikate aus und ist dafür zuständig, den laufenden Gültigkeitsstatus ausgestellter Zertifikate zu veröffentlichen. Die Zwischenzertifikate dienen dazu, Zertifikate für die Endidentität ausstellen zu können, zum Beispiel ein SSL-Zertifikat für die Website eines Unternehmens. Dies wird als Vertrauenshierarchie bezeichnet.

Sichere Algorithmen und Hash-Funktionen

Möchten Sie ein SSL-Zertifikate bestellen, ist es unabdingbar, dass Sie den Praktiken der jeweils ausgewählten CA voll vertrauen. Dies gilt insbesondere, wenn Sie vor der Entscheidung stehen, welche Verschlüsselungsalgorithmen, Hashfunktionen und Schlüssellängen in einer sich ständig ändernden Branche als sicher eingestuft werden. Sie müssen jedoch kein Kryptograf sein, um diese Entscheidung zu treffen. Es genügt, wenn Sie grundlegendes Verständnis haben und dies durch aktuelle Berichterstattung aufrecht erhalten. So lohnt beispielsweise ein kurzer Blick in die Geschichte:

Zertifikate setzen sich aus dem Verschlüsselungsalgorithmus und einer Hash-Funktion zusammen. Um die Sicherheit zu erhalten, ist es unabdingbar, dass die verwendeten Parameter dem Stand der Zeit angepasst werden. So wurde beispielsweise Ende letzten Jahres bekannt, dass der bisher häufig verwendete, jedoch in die Jahre gekommene Hash-Algorithmus SHA-1 durch den Nachfolger SHA-2 ausgetauscht wird. Ab Januar 2017 werden Google, Microsoft und weitere Branchenriesen aufhören, SHA-1-Zertifikaten zu vertrauen. Deshalb macht es Sinn, sich schon jetzt für SHA-2-Zertifikate zu interessieren.

Audits und Mitgliedschaften

Eine CA, die sich verpflichtet hat, neue Standards laufend umzusetzen, um so Bedrohungen, die auf Zertifizierungsstellen abzielen, erfolgreich entgegenzuwirken, sollte ebenfalls einen Kontrollorgan unterliegen. Deshalb müssen sich seriöse Zertifizierungsstellen regelmäßg einem WebTrust- oder ETSI-Audit unterziehen. Den Nachweis zu dieser Prüfung erkennen Sie am Logo auf der Website der jeweiligen CA.

Eine Mitgliedschaft im Certification Authority Browser Forum, kurz: CA/B Forum, sorgt ebenfalls für Vertrauen. Dieser freiwilligen Organisation gehören verschiedene führende Zertifizierungsstellen an. Weiter können Browser-Anbieter sowie andere Software-Entwickler eine Mitgliedschaft beantragen. Sämtliche Foren-Mitglieder haben beim Erarbeiten der Leitlinien des Forums eng zusammengearbeitet und im Rahmen dessen Instrumente eingeführt, die beim Umsetzen des Extended Validation-Standards eine höhere Sicherheit schaffen. Initiator des CA/B Forums war im Jahre 2005 Steve Roylance von der CA GlobalSign. Dementsprechend spielt die Zertifizierungsstelle GlobalSign auch eine entscheidende Rolle beim Festlegen grundlegender Anforderungen sowie weiterer Zertifikatsrichtlinien.

Certificate Policy und Certificate Practice Statement

Ein weiterer Vertrauensfaktor für Zertifizierungsstellen ist das Veröffentlichen der Certificate Policy (CP) sowie des Certificate Practice Statements (CPS). Die CP lässt sich mit Zertifizierungspolitik übersetzen. Sie beschreibt die unterschiedlichen Akteure einer PKI (Public Key Infrastructure), deren Rollen, Rechte und Pflichten. Hier sind Regeln festgehalten, die die Anwendbarkeit von Zertifikaten für bestimmte Personenkreise oder spezielle Anwendungen bestimmter Klassen mit bestimmten und gemeinsamen Sicherheitsanforderungen vorschreibt. Dritte können dank CP die Vertrauenswürdigkeit analysieren.

Das CPS beinhaltet Informationen über die Zertifizierungspraktiken, enthält also Aussagen über Richtlinien, die eine CA zum Ausstellen der Zertifikate effektiv umsetzt. In den CPS werden Ausrüstungen und Verfahren definiert, die eine CA in Übereinstimmung mit der hauseigenen Zertifizierungspolitik (CP) verwendet. Die CPS wird von internationalen Standards abgeleitet.

Ihr Weg zur vertrauenswürdigen Zertifizierungsstelle

Mit mehr als 15 Jahren Erfahrung im Gepäck wissen wir, welche Zertifizierungsstellen vertrauenswürdig sind. Unser SSL-Zertifikate Portfolio setzt sich aus CAs zusammen, die Wert legen auf sichere sowie zukunftsträchtige Algorithmen und Hash-Funktionen. Selbstverständlich unterstützen wir Sie auch im direkten Kontakt bei der Auswahl einer vertrauenswürdigen Zertifizierungsstelle – fragen Sie einfach an, den unser Service geht über den Standard hinaus.