Was ist Zertifizierungsstelle?
Eine Zertifizierungsstelle (CA) ist eine extern vertrauenswürdige Organisation, die digitale Zertifikate ausstellt, signiert und verwaltet, um die Identität von Einheiten – wie Websites, Organisationen oder Geräten – innerhalb einer Public-Key-Infrastruktur zu verifizieren.
Auch bekannt als: CA, trusted certificate authority
Zertifizierungsstellen sind die Vertrauensanker des Identitätssystems des Internets. Wenn eine CA ein Zertifikat für eine Domain ausstellt, bestätigt sie damit, dass der Zertifikatsinhaber die Kontrolle über diese Domain nachgewiesen hat. Browser und Betriebssysteme beinhalten eine vorinstallierte Menge von Zertifikaten vertrauenswürdiger Root-CAs. Wenn dein Browser auf das Zertifikat eines Servers trifft, verfolgt er die Signaturkette bis zu einer dieser vertrauenswürdigen Roots zurück, um zu entscheiden, ob er der Verbindung vertraut.
Der Prozess der Zertifikatsausstellung variiert je nach Validierungsstufe. Domain-Validation-Zertifikate (DV) erfordern nur den Nachweis der Domain-Kontrolle (typischerweise über eine DNS- oder HTTP-Challenge) und können in Minuten ausgestellt werden. Organization-Validation (OV)- und Extended-Validation (EV)-Zertifikate erfordern die Verifizierung der rechtlichen Identität der antragstellenden Organisation. Let's Encrypt hat kostenlose, automatisierte DV-Zertifikate popularisiert und die HTTPS-Verbreitung im Web drastisch erhöht.
Der Kompromiss einer CA ist eine der gravierendsten Bedrohungen für die Internet-Sicherheit. Erlangt ein Angreifer Kontrolle über den Signierungsschlüssel einer CA, kann er betrügerische Zertifikate für jede Domain ausstellen und so unerkennbare Man-in-the-Middle-Angriffe ermöglichen. Das ist bereits passiert: Der Kompromiss von DigiNotar im Jahr 2011 führte zu ihrem vollständigen Vertrauensverlust und ihrer Auflösung. Certificate-Transparency-Protokolle (CT) – ein öffentliches, nur-anhängendes Register aller ausgestellten Zertifikate – wurden eingeführt, um solche betrügerischen Ausstellungen schnell zu erkennen.
Wie Vaulted Zertifizierungsstelle verwendet
Das HTTPS-Zertifikat von Vaulted wird von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt, was es Browsern ermöglicht zu verifizieren, dass sie sich mit dem echten Vaulted-Server verbinden. Das verhindert, dass Man-in-the-Middle-Angreifer sich als Vaulted ausgeben, um verschlüsselte Geheimnisse abzufangen oder bösartiges JavaScript auszuliefern. Obwohl die CA-gestützte TLS-Verbindung die Transportschicht schützt, basiert Vaulteds Sicherheitsmodell nicht allein darauf: Die clientseitige Verschlüsselung stellt sicher, dass selbst ein kompromittierter TLS-Kanal nicht mehr als Geheimtext offenlegen würde – keine Klartext-Geheimnisse.