Allgemeine Informationen zu SSL-Zertifikaten
Das sollten Sie über SSL-Zertifikate wissen.
Falls Sie bisher wenig bis garkeinen Kontakt zu der Thematik rund um SSL-Zertifikate hatten, können Sie sich hier umfassend informieren.
Was ist ein SSL-Zertifikat?
Ein SSL-Zertifikat (TLS-Zertifikat) erbringt einen Nachweis der Identität des Kommunikationspartners. Es ist ein durch kryptographische Verfahren auf Authentizität und Integrität prüfbarer Datensatz, ein sogenanntes Public-Key-Zertifikat. Es basiert auf asymmetrischen Kryptoverfahren mit einem öffentlichen Schlüssel. Durch ein Public-Key-Zertifikat können Nutzer eines asymmetrischen Kryptosystems den öffentlichen Schlüssel einer Identität (z. B. einer Person, einer Organisation oder einem IT-System) zuordnen. Dies nennt sich Public-Key-Infrastructure.
Typische Anwendungsfälle von Public-Key-Zertifikaten sind elektronische Signaturen, Sicherheit in Netzwerkprotokollen, Schutz von E-Mails und die Authentisierung und Zugriffskontrolle bei Chipkarten. Es gibt drei Arten von SSL-Zertifikaten: Domain Validated (DV), Organization Validated (OV) und Extended Validation (EV).
Transport Layer Security - TLS
Um die sensible Datenübertragung beispielsweise eines Onlineshops zu verschlüsseln kommt die sogenannte TLS zum Einsatz. Die Transport Layer Security ist das heutzutage meistgenutzte Sicherheitsprotokoll. Es ist ein Protokoll, das einen sicheren Kanal zwischen zwei Computern bereitstellt, die über das Internet oder ein internes Netzwerk arbeiten. Der veraltete Begriff für diese Technik ist SSL – Secure Sockets Layer. Im Falle eines Onlineshops wird also das zuvor ungesicherte HTTP-Protokoll um eine TLS erweitert und wird zu HTTPS.
Zertifizierungsstellen (CAs)
Zertifizierungsstellen, auch bekannt als Certificate Authorities (CAs) sind Organisationen, die digitale Zertifikate herausgeben. Die Aufgabe einer Zertifizierungsstelle ist, diese digitalen Zertifikate herauszugeben und zu überprüfen. Sie trägt die Verantwortung für die Zuweisung, Integritätssicherung und Zuweisung der von ihr ausgegebenen Zertifikate. Damit bilden sie den Kern der Public-Key-Infrastruktur.
Informationen zu einer Auswahl bekannter Zertifizierungsstellen finden Sie hier.
Funktionsweise eines SSL-Zertifikats
- Der Browser versucht, eine Verbindung zu einer mit SSL gesicherten Webseite herzustellen
- Der Browser sendet eine Identitätsanfrage an den Webserver (Handshake)
- Der Server sendet eine Kopie seines SSL-Zertifikats an den Browser
- Der Browser überprüft die Glaubwürdigkeit des SSL-Zertifikats. Ist das Zertifikat glaubwürdig, sendet der Browser eine Nachricht an den Server
- Der Server antwortet mit einer digital signierten Bestätigung, dass eine mit SSL verschlüsselte Sitzung eingeleitet werden kann
- Browser und Server tauschen verschlüsselte Daten aus
HTTPS
Mit dem HyperText Transfer Protocol Secure (HTTPS) lassen sich Daten im Internet abhörsicher übertragen. Es stellt technisch gesehen eine zusätzliche Schicht zwischen HTTP und TCP dar. Das Protokoll dient der Verschlüsselung und Authentifizierung der Kommunikation zwischen Browser und Webserver im Word Wide Web. Es handelt sich um das einzige Verschlüsselungsverfahren, das ohne weitere Softwareinstallation auf allen Internet-fähigen Rechnern unterstützt wird.
Nach Anwahl einer HTTPS-Adresse wird der Client-Browser dem Anwender zunächst das Zertifikat anzeigen, sofern es nicht zu den bereits akzeptierten Zetifikaten der Browser-Hersteller gehört. Solche Root-Zertifikate und ihre abgeleiteten Unterzertifikate sollen irritierende Abfragen vermeiden.
Asymmetrisches Kryptosystem
Ein asymmetrisches Kryptosystem oder Public-Key-Kryptosystem ist ein kryptographisches Verfahren. Es wird hierbei ein Schlüsselpaar erzeugt, das aus einem geheimen Teil und einem nicht geheimen Teil besteht.
Diese nennen sich privater und öffentlicher Schlüssel. Anders als bei symmetrischen Kryptosystemen kennen die kommunizierenden Parteien keinen gemeinsamen geheimen Schlüssel mehr. Der öffentliche Schlüssel dient dazu, den Inhaber des privaten Schlüssels zu authentifizieren, dessen digitale Signaturen zu prüfen und letztendlich Daten für ihn zu verschlüsseln. Der private Schlüssel macht es seinem Inhaber möglich, Daten zu entschlüsseln, digitale Signaturen zu erzeugen und sich zu authentisieren.
Im Gegensatz zu symmetrischen Algorithmen arbeiten asymmetrische Kryptoverfahren sehr langsam. Der Aufwand dagegen, das Geheimnis klein zu halten, ist relativ gering. Jeder Benutzer muss nur seinen eigenen privaten Schlüssel geheim halten.
Lebenszyklus eines SSL Zertifikats
- Zertifikats-Antrag: Der Benutzer beantragt ein Zertifikat.
- Antragsprüfung: Die Registration Authority (RA) prüft die Identität des Antragsstellers.
- Ausstellung des Zertifikats: Die Certificate Authority (CA) stellt das Zertifikat aus. Dieses enthält Angaben zum Inhaber, zum Herausgeber, der erlaubten Nutzung und dessen Lebensdauer (Gültigkeit).
- Suspension: Das Zertifikat wird einstweilig gesperrt.
- Revokation: Das Zertifikat wird vor dem Verfall revoziert bzw. für ungültig erklärt.
- Zertifikats-Laufzeitende: Die Lebensdauer des Zertifikats ist abgelaufen.
- Renewal: Das Zertifikat wird erneuert.
Suspension eines Zertifikats
Bei der Suspension wird die Gültigkeit eines Zertifikats einstweilig bzw. temporär ausgesetzt.
Gesperrte Zertifikate kommen auf eine Sperrliste, Certificate Revocation List (CRL) und müssen später wieder entfernt werden. Es ist im Nachhinein nicht nachvollziehbar, in welchem Zeitrahmen ein Zertifikat suspendiert war. Bei qualifizierten Zertifikaten ist die einstweilige Sperrung per Gesetz verboten.