Zertifizierungsstellen (Certificate Authorities, CAs) sind seit zwei Jahrzehnten eine Grundlage für Online-Sicherheit, und digitale Zertifikate sind weiterhin eine vertrauenswürdige Methode, um die Sicherheit von Transaktionen und Identitäten zu gewährleisten. Grundsätzlich sind CA-signierte Zertifikate wertvolle Tools zur Online-Authentifizierung von Identitäten. sichere, verschlüsselte Kommunikation über ansonsten unsichere Netzwerke ermöglichen; und bestätigen Sie die Integrität der unterzeichneten Dokumente, indem Sie sicherstellen, dass sie nicht von Dritten geändert wurden.
Der Wert von Zertifizierungsstellen geht jedoch über ihren unmittelbaren praktischen Nutzen hinaus. Was für den Benutzer ein sehr einfacher Überprüfungsprozess ist, wird durch ein Arbeitsgitter und eine Vertrauenskette untermauert, die über eine einfache Faktenprüfung hinausgehen.
Was machen Zertifizierungsstellen?
Anbieter von Browsern und Betriebssystemen vertrauen öffentlichen Zertifizierungsstellen (z. B. SSL.com), um Folgendes zu überprüfen:
- Kontrolle von Domainnamen
- Die Legitimität von Organisationen und ihren Vertretern
- Kontaktinformationen wie E-Mail-Adressen
Zertifizierungsstellen stellen viele Arten von Zertifikaten aus, die alle auf dem Zertifikat basieren X.509 Standard. Von CA ausgestellte Zertifikate stellen sicher, dass Website-Transaktionen sicher sind, vor Malware schützen und Dokumente und E-Mail-Austausch authentifizieren. Die Herstellung von Identitäten im Internet erfolgt über eine Vielzahl von Prozessen, Verfahren und Protokollen, die alle von CAs sichergestellt werden. Beispielsweise:
- SSL /TLS bietet ein vertrauenswürdiges und verschlüsseltes Mittel für den Zugriff auf das World Wide Web über Browser - wodurch persönliche Informationen und Transaktionen geschützt werden.
- Digitale Signaturen Bereitstellung authentifizierter digitaler Dokumente.
- Codesignatur ermöglicht die sichere Verbreitung von Software im Internet.
- S/MIME aktiviert authentifizierte und verschlüsselte E-Mails.
- Client-Authentifizierung Zertifikate schützen den Zugriff auf Computer und Anwendungen.
All dies erfolgt über Zertifikate, die im Stammzertifikat einer öffentlichen Zertifizierungsstelle verankert und über ein „Kette des Vertrauens"
Warum ist es so schwer, eine öffentlich vertrauenswürdige Zertifizierungsstelle zu sein?
Wie oben beschrieben, werden Betriebssysteme von Betriebssystemen und anderer Software als vertrauenswürdig eingestuft, um die Identität von Websites, Unternehmen und Einzelpersonen zu überprüfen. Sobald eine öffentliche Zertifizierungsstelle eingerichtet ist und das Vertrauen von Softwareanbietern und anderen Spielern gewinnt, sind ihre digitalen Zertifikate eine sofortige, sichere und zuverlässige Möglichkeit, um sicherzustellen, dass Informationen nicht betrügerisch sind. Der Prozess zum Erstellen einer selbstsignierten Stammzertifizierungsstelle ist relativ einfach - sie können ehrlich gesagt von jedem mit allgemein verfügbarer, kostengünstiger oder kostenloser Software erstellt werden. Es gibt jedoch wirklich nicht sehr viele öffentliche Zertifizierungsstellen. In der Tat gibt es derzeit nur 52 CA-Mitglieder des CA / Browser-Forums und die überwiegende Mehrheit von SSL /TLS Zertifikate stammen von einer geringeren Anzahl. Warum machen sie nicht alle?
Der Grund, warum öffentliche Zertifizierungsstellen ein so exklusiver Club sind, ist, dass es eine Menge Arbeit ist, eine öffentliche Zertifizierungsstelle zu werden und das universelle Vertrauen zu verdienen und aufrechtzuerhalten, um es funktionsfähig zu halten. Die Einbindung in alle Browser und Betriebssysteme ist für den Benutzer nahtlos, erfordert jedoch jahrelange Arbeit hinter den Kulissen. Wenn Sie einen neuen Computer kaufen oder Software wie einen Webbrowser oder einen E-Mail-Client installieren, ist bereits eine Liste vertrauenswürdiger CA-Zertifikate enthalten. Aber zu dieser Liste hinzugefügt zu werden, passiert nicht einfach über Nacht, und dort zu bleiben ist auch eine Herausforderung.
Um im Geschäft mit dem Verkauf von Zertifikaten zu bleiben, muss eine Zertifizierungsstelle die Anforderungen von Softwareanbietern erfüllen, die alle versuchen, ihren Benutzern eine sichere und zuverlässige Erfahrung zu bieten. Jeder große Browser- und Betriebssystemhersteller hat seine eigenen Kriterien, die Zertifizierungsstellen erfüllen und mit denen sie Schritt halten müssen, wenn Änderungen vorgenommen werden. Die Kosten dafür sind hoch: Wenn eine Zertifizierungsstelle in keinem der Stammprogramme enthalten ist, sei es aufgrund eines Vertrauensbruchs oder aufgrund eines Versäumnisses, bei Richtlinienänderungen auf dem neuesten Stand zu bleiben, würde dies eine Katastrophe für das Unternehmen bedeuten gesamtes Geschäft. Kein Unternehmen sucht nach einem Website-SSL-Zertifikat, das mit Safari funktioniert, nicht jedoch mit Chrome. Nur wenige Softwarehersteller möchten ein Codesignaturzertifikat, dem Windows nicht vertraut.
Zusätzlich zur Aufrechterhaltung dieses empfindlichen Gleichgewichts mit Browsern, Betriebssystemen und anderen Softwareanbietern unterliegen Zertifizierungsstellen strengen externen Audits. Sehen Sie diese Abzeichen am Ende dieser Seite? Jedes dieser Siegel stellt eine Prüfung dar, und jede dieser Prüfungen wird jährlich durchgeführt. Sollte eine Zertifizierungsstelle eine Prüfung nicht bestehen (oder die Anforderungen des Stammprogramms nicht erfüllen), könnten die Zertifikate der Zertifizierungsstelle aus wichtigen Stammspeichern ausgeschlossen werden, was sie unbrauchbar machen würde.
Die CA-Mitglieder der CA / Browser-Forum (ein Konsortium von Zertifizierungsstellen und Anbietern von PKI-aktivierte Software (wie Browser und Betriebssysteme) ist aktiv bei der Entwicklung und Durchsetzung von Dutzenden von Industriestandards und der Einrichtung des CA / B-Forums Basisanforderungen. Die Mitglieder beteiligen sich an Bildungs- und Forschungsorganisationen und arbeiten mit Interessengruppen zusammen, um die Internetsicherheit zu stärken. Dabei übernehmen sie häufig die Führung bei der Vorlage und Annahme neuer Standards. Zertifizierungsstellen haben das größte Interesse daran, sicherzustellen, dass SSL /TLS Das System funktioniert und sein Ruf ist solide, was zwangsläufig bedeutet, dass sie proaktiv und aggressiv gegen die Sicherheit ihrer Systeme und der Systeme vorgehen, mit denen sie arbeiten.
Zusätzlich zur Einhaltung dieser Standards müssen die Zertifizierungsstellen Zertifikats-Transparenzlisten (öffentliche Aufzeichnungen aller ausgestellten Zertifikate) sowie Zertifikatsperrlisten (CRLs) und OCSP-Responder, die die gesperrten Zertifikate verfolgen, pflegen und zur Verfügung stellen. Es ist von größter Bedeutung sicherzustellen, dass alle Zertifikate berücksichtigt werden und dass das Vertrauen, das den Zertifikaten zugrunde liegt, niemals gebrochen wird.
So wählen Sie eine Zertifizierungsstelle aus
Wie kann man also feststellen, welche Zertifizierungsstelle für ihre Anforderungen am besten geeignet ist, wenn man die gesamte Arbeit kennt, die für die Wartung und den Betrieb einer öffentlichen Zertifizierungsstelle erforderlich ist?
Obwohl es jetzt kostengünstige (oder sogar kostenlose) CA-Optionen gibt, ist es wichtig zu wissen, was für diese reduzierten Kosten gehandelt wird. Im Allgemeinen bieten kostenlose Zertifizierungsstellen nicht die gleichen Validierungsstufen wie kommerzielle Zertifizierungsstellen und bieten nichts anderes als Website-SSL /TLS Zertifikate. Zum Beispiel können sie zeigen, dass ein Bewerber für eine Website SSL /TLS Zertifikat kontrolliert diese Domain (Domain Validation), aber sie machen nicht den zusätzlichen Schritt, zu bestätigen, wer dieser Eigentümer ist. Abhängig von Ihrem beabsichtigten Anwendungsfall ist DV möglicherweise in Ordnung (alle kommerziellen Zertifizierungsstellen, einschließlich SSL.com, bieten dies ebenfalls an). Wenn Sie jedoch ein Codesignaturzertifikat, digitale Signaturen für Adobe PDFs oder validierte Informationen zu Ihrem Unternehmen benötigen, die in Ihrem Unternehmen enthalten sind Website-Zertifikat müssen Sie zu einer kommerziellen Zertifizierungsstelle gehen.
Weitere Informationen zur Auswahl einer zuverlässigen Zertifizierungsstelle finden Sie in unserer Best Practices-Leitfaden.