Stammzertifikate sind eine der Säulen der Internetsicherheit. Sie bilden die Grundlage für die Validierung der Identität von Websites durch SSL/TLS Zertifikate, digitale Signaturen und mehr. Aber wie genau funktionieren sie und warum sind sie so wichtig? In diesem Artikel erfahren Sie alles, was Sie über Stammzertifikate wissen müssen.
Was ist ein Stammzertifikat?
Ein Stammzertifikat ist ein spezielles digitales Zertifikat, das von einer Zertifizierungsstelle (CA) wie SSL.com ausgestellt und digital signiert wird. Es stellt die höchste Vertrauensebene in einer Zertifikatshierarchie dar. Stammzertifikate werden manchmal als Vertrauensanker bezeichnet, da sie die ultimative Überprüfungsquelle für ausgestellte Zertifikate darstellen.
Wenn eine Zertifizierungsstelle ein Zertifikat für eine Entität wie eine Website ausstellt, muss es validiert werden, indem es zu einer vertrauenswürdigen Stammstelle zurückverfolgt wird. Das Stammzertifikat enthält den öffentlichen Schlüssel, der zur Überprüfung dieser Vertrauenskette erforderlich ist. Stammzertifikate sind normalerweise selbstsigniert, d. h. ihre Signatur wird mit dem eigenen privaten Schlüssel des Zertifikats generiert.
Alle gängigen Webbrowser und Betriebssysteme verfügen über einen vorinstallierten Satz vertrauenswürdiger Stammzertifikate der wichtigsten Zertifizierungsstellen. Dadurch können sie SSL/TLS Zertifikate, die zum Sichern und Identifizieren von Webservern verwendet werden. Danach zeigt der Browser an, dass das Zertifikat vertrauenswürdig ist und der Webserver gesichert ist. Ebenso unterhält Adobe einen Vertrauensspeicher mit Root-Zertifikaten, die für digitale Signaturen als vertrauenswürdig gelten, und Microsoft unterhält einen Vertrauensspeicher mit Root-Zertifikaten, die für Codesignatursignaturen als vertrauenswürdig gelten.
Hierarchie des Vertrauens
Stammzertifizierungsstellen stehen an der Spitze einer Zertifizierungshierarchie, die in Zwischenzertifikate und Endentitätszertifikate unterteilt ist:
- Stammzertifikate wie das selbstsignierte Stammzertifikat von SSL.com stellen höchstes Vertrauen dar.
- Zwischenzertifikate – signiert von der Stammzertifizierungsstelle.
- End-Entity-Zertifikate – werden an Benutzer und Server ausgegeben und von Zwischenhändlern signiert
Durch die Aufgabentrennung können Zwischenzertifizierungsstellen, auch „ausstellende Zertifizierungsstellen“ genannt, täglich Zertifikate ausstellen, ohne auf die streng geschützten Stammschlüssel zugreifen zu müssen. Die Stammschlüssel können offline aufbewahrt werden und werden nur gelegentlich zum Generieren von Zwischenzertifizierungsstellen und anderen Spezialzertifikaten wie Zeitstempeln oder CRLs verwendet.
Wenn eine Zwischenstelle ein digitales Zertifikat ausstellt, enthält es die Signatur der ausstellenden Zertifizierungsstelle und eine Zertifikatskette, die zurück zur Stammzertifizierungsstelle führt. Diese Kette wird verfolgt, um das Endzertifikat zu überprüfen.
Bedeutung und Funktion von Stammzertifikaten
Stammzertifikate erfüllen mehrere wichtige Funktionen:
- Vertrauensanker – Sie sind der Vertrauensanker, der eine Vertrauenskette aufbaut. Alle von der PKI kann durch Zurückverfolgen zur Wurzel validiert werden.
- Sicheres Surfen im Internet – Ermöglicht sichere HTTPS-Verbindungen. Browser verifizieren Website-Zertifikate, indem sie sie an eine vertrauenswürdige Root ketten.
- Software überprüfen – Wird verwendet, um digital signierte Software wie Betriebssystemupdates, Apps, Dienstprogramme usw. zu authentifizieren. Die Signaturen werden mit dem Root abgeglichen.
- Kommunikation verschlüsseln – Ermöglicht sichere E-Mail- und Datenübertragung durch Aktivierung der Verschlüsselung in Verbindung mit der Signatur des Stammbenutzers.
- Ohne Stammzertifikate gäbe es keinen zentralen Mechanismus, um Vertrauen für Zertifikate und öffentliche Schlüssel herzustellen. Sie stellen die maßgebliche Vertrauensquelle dar, die der Public-Key-Kryptografie zugrunde liegt.
Wichtige Stammzertifizierungsstellen
Es gibt rund 60 Behörden, die öffentlich vertrauenswürdige Stammzertifikatsprogramme betreiben. SSL.com ist ein führendes Beispiel und fungiert als Stammzertifizierungsstelle. Wir verwenden umfangreiche Validierungsverfahren, bevor wir Domäneninhabern, die SSL-Zertifikate benötigen, Zwischenzertifizierungsstellenzertifikate ausstellen. Unsere Stammschlüssel sind in sicheren Einrichtungen durch Hardware und Software geschützt.
Große Organisationen wie Microsoft, Apple, Mozilla und Oracle entscheiden, welchen Root-CAs sie in ihrer Software standardmäßig vertrauen. In ähnlicher Weise verfügt Adobe über einen Trust Store mit Roots, denen die Ausstellung von Signaturzertifikaten für Dokumente vertraut wird, deren Signaturen von Adobe-Readern als gültig erkannt werden. Zusätzlich zu seiner Browsersoftware unterhält Microsoft auch einen Trust Store mit Roots, deren Codesignaturzertifikate als vertrauenswürdig eingestuft werden. Eine CA wie SSL.com muss strenge Anforderungen erfüllen, um eine öffentlich vertrauenswürdige Zertifizierungsstelle zu werden, die in Root Stores eingebettet ist. Indem wir als Root-CA fungieren, können wir vertrauenswürdige Zertifikate ausstellen, ohne uns auf eine externe Root-Zertifizierungsstelle verlassen zu müssen. Unser Root-Zertifikat dient als Vertrauensanker für unsere Hierarchie.
Browser und Stammzertifikate
Webbrowser verfügen über einen Trust Store mit über 100 vertrauenswürdigen Stammzertifikaten der wichtigsten Zertifizierungsstellen. Damit können sie SSL/TLS Zertifikate, die nahtlos für HTTPS-Websites verwendet werden.
Wenn Sie eine mit SSL/TLS gesicherte Website besuchenTLS, der Browser wird:
- Erhalten Sie das Zertifikat der Website und die Kette der Zwischenzertifikate.
- Validieren Sie die Vertrauenskette zurück zu einem integrierten vertrauenswürdigen Stammzertifikat.
- Überprüfen Sie, ob der Domänenname mit dem Website-Zertifikat übereinstimmt.
- Zeigen Sie das sichere Schlosssymbol an und ermöglichen Sie eine verschlüsselte Verbindung.
Der Benutzer wird gewarnt, wenn der Browser auf ein ungültiges Zertifikat, eine nicht vertrauenswürdige Wurzel oder eine Nichtübereinstimmung des Domänennamens stößt.
Browser verfügen auch über Zertifikatsverwaltungstools zum Anzeigen von Stammzertifizierungsstellen und Treffen von Vertrauensentscheidungen. Chrome, Firefox, Edge und Safari ermöglichen Benutzern das Anzeigen, Exportieren oder Deaktivieren von Stammzertifikaten.
Installieren und Verwalten von Stammzertifikaten
Obwohl Betriebssysteme und Browser mit vorinstallierten Root-Zertifikaten ausgeliefert werden, müssen Sie in manchen Fällen zusätzliche Root-Zertifikate installieren:
- Um den privaten Daten Ihres Unternehmens zu vertrauen PKI Zertifikatskette
- Bei Verwendung einer neuen oder unbekannten Zertifizierungsstelle
- Bei der Behebung von Fehlern durch „nicht vertrauenswürdige Zertifikate“
Stammzertifikate können global auf Betriebssystemebene oder lokal auf Browser- oder Anwendungsebene installiert werden. Unter Windows verwaltet der Zertifikatsmanager vertrauenswürdige Stammzertifikate. Auf dem Mac befinden sich Stammzertifikate im Schlüsselbundzugriff. Unter Linux befinden sie sich unter /etc/ssl. SSL.com stellt seine Stamm- und Zwischenzertifikate auf unserer Website zum Download bereit.
Bei der Installation eines neuen Roots ist es wichtig, zu überprüfen, ob dieser gültig ist und aus einer vertrauenswürdigen Quelle stammt. Nach der Installation können ungültige oder kompromittierte Roots als nicht vertrauenswürdig eingestuft oder gelöscht werden. Das Aufheben des Vertrauens in einen wichtigen öffentlichen Root kann jedoch zu weitreichenden Anwendungsfehlern führen.
Ablauf und Erneuerung von Stammzertifikaten
Stammzertifikate haben eine lange Lebensdauer von 20 Jahren oder mehr. Aus Sicherheitsgründen laufen sie jedoch irgendwann ab. Wenn Stammzertifikate bald ablaufen, müssen CAs neue Stammzertifikate bereitstellen und Benutzer und Software dazu überführen, den neuen Schlüsseln zu vertrauen.
Zu den Auswirkungen ablaufender, alter oder nicht vertrauenswürdiger Stammzertifikate gehören:
- Warnungen zu ungültigen Zertifikaten in Browsern
- Beschädigte Zertifikatsketten verursachen Verbindungsfehler
- Software kann Signaturprüfungen nicht validieren
Zu den bewährten Methoden zum Verwalten des Ablaufs von Stammverzeichnissen gehören:
- Erneuerung von Stammschlüsseln über einen langen Zeitraum mit Überlappung
- Verwendung paralleler Wurzeln und überlappender Gültigkeitszeiträume
- Neue Roots in Client-Software-Updates verteilen
- Aufheben/Entfernen alter Wurzeln nach Abschluss der Umstellung
Um Unterbrechungen bei der vertrauenswürdigen Kommunikation und Softwareüberprüfung zu vermeiden, ist eine ordnungsgemäße Verwaltung des Lebenszyklus von Stammzertifikaten von entscheidender Bedeutung.
Schützen von Stammzertifikatschlüsseln
Aufgrund ihrer grundlegenden Rolle bei der Vertrauensbildung müssen die privaten Schlüssel, die mit Stammzertifikaten verknüpft sind, äußerst streng geschützt werden. Industriestandards empfehlen:
- Schlüssel offline in einem sicheren Speicher wie einem Hardware-Sicherheitsmodul (HSM) aufbewahren
- Aufrechterhaltung umfassender physischer und Software-Sicherheit
- Zugriff nur bei Bedarf, mithilfe von Mehrparteienkontrollen
- Schlüsselverwaltung nur innerhalb sicherer kryptografischer Module
- Private Schlüssel vollständig löschen, wenn sie nicht mehr benötigt werden
Die Einhaltung strenger Verfahren zur Schlüsselzertifizierung und die Trennung der Aufgaben für Root-CAs schützt die PKI Vertrauensanker vor Kompromissen.