deutsch  |  français
 
 

Home
Übungen
Lexikon
Testpersonen
Über uns
Kontakt

Home > Lexikon > Zertifikat

Zertifikat

In Kürze
Ein Zertifikat ist - im Zusammenhang mit dem Internet - eine von einer dritten Instanz ausgestellte digitale Urkunde, die die Identität des Zertifizierten bestätigt.

Synonyme und Abkürzungen
Certificate

Ähnliche Begriffe
CA (Certification Authority, Zertifizierungsinstanz), Signatur, Verschlüsselung, digitale Unterschrift, RA (Registration Authority, Registrierungssinstanz), SSL, PGP, CRL (Certification Revocation List), Trustcenter, PKI (Public Key Infrastructure)

Überblick
Ein Zertifikat ist eine von einer Zertifizierungsstelle (Certification authority, CA, Trustcenter) ausgestellte Bestätigung über die Identität eines Benutzers. Ein Zertifikat ist je nach Sicherheitsstufe analog zu einem Bücherei- oder Personalausweis. Bestätigt wird dabei die Zusammengehörigkeit eines elektronischen Merkmals (z.B. eines öffentlichen Schlüssels) mit dem Zertifizierten. Zertifiziert werden kann prinzipiell jeder (Privatpersonen, Firmen oder öffentliche Institutionen).



 
   

 

 Abbildung 1: Dialogfeld für Zertifikate

 



Detail
Zertifikate dienen dazu, beim Datenaustausch die Partner eindeutig zu identifizieren, z.B. bei sicheren Verbindungen (z.B. SSL). Sie spielen damit beim Thema Sicherheit und Verschlüsselung eine wichtige Rolle. Technisch gesehen werden Zertifikate auf Basis von PGP (primär für Datenverschlüsselung bei E-Mails) oder dem X.509-Standard (primär für Transportverschlüsselung wie SSL) vergeben. Ein Zertifikat enthält:
  • Informationen über den Zertifizierten,
  • den öffentlichen Schlüssel des Zertifzierten,
  • die Signatur der Zertifizierungsinstanz.
Je nachdem, wie sich der Zertifizierte bei der Zertifizierungsstelle ausweist, werden unterschiedliche Vertrauensstufen zugewiesen:
  • Bei der persönlichen Identifikation weist man sich persönlich bei einem Postamt durch den Personalausweis und ggf. andere Dokumente aus (hohe Vertrauensstufe, Zertifikat analog zum Personalausweis). Das Postamt übermittelt der Zertifizierungsstelle dann die Identitätsbescheinigung.
  • Bei einer Überprüfung nur anhand von Dokumenten muss man z.B. beglaubigte Ausweiskopien oder Auszüge aus dem Handelsregister an die Zertifizierungsstelle senden (niedrige Vertrauenstufe, Zertifikat analog zum Büchereiausweis).
Ein Zertifikat bestätigt aussschliesslich die Identität und sagt nichts darüber aus, wie ein zertifizierter Anbieter z.B. mit Benutzerdaten umgeht. Hierfür wurden sogenannte Gütesiegel wie "Trusted Shop" entwickelt. Ausnahmen davon sind Sicherheitszertifikate, wie sie z.B. Online-Banking-Seiten in komplexen Sicherheitsprüfungen erwerben müssen. Das verwendete Schlüsselpaar aus öffentlichem und privatem Schlüssel kann entweder von der Zertifizierungsstelle selbst generiert werden oder aber vom Zertifizierten, der seinen öffentlichen Schlüssel dann der Zertifizierungsstelle zusammen mit seinen Ausweisdaten übermittelt.

Ein Beispiel für den Einsatz eines Zertifikats: Der Anbieter hat seinen öffentlichen Schlüssel an die Zertifizierungsstelle geschickt und sich ausgewiesen. Er erhält ein Zertifikat. Der Käufer möchte in einem Webshop des Anbieters einkaufen. Es wird eine sichere Verbindung aufgebaut, wobei der Anbieter sein Zertifikat übermittelt. Der Browser des Käufers überprüft, ob das Zertifikat:

  • von einer vertrauenswürdigen Stelle ausgegeben wurde (integrierte Liste von Zertizierungsstellen)
  • das Zertifikat noch gültig ist (Gültigkeitszeitraum nicht abgelaufen)
  • die Signatur der Zertifizierungsstelle korrekt ist (öffentlicher Schlüssel der Zertifizierungsinstanz, korrekter Hash-Wert)
Der öffentliche Schlüssel des Anbieters wird aus dem Zertifikat ausgelesen und dient im folgenden Datentransfer als Schlüssel für die asymmetrische Verschlüsselung des Datenaustausches. Statt dass der Käufer also sich selbst davon überzeugen muss, dass er tatsächlich mit dem richtigen Anbieter Daten austauscht, ermittelt er (indirekt) dessen Identität über die Zertifizierungsstelle. Das weltweite Netz von Zertifizierungsstellen, die selbst zertifizieren und öffentliche Schlüssel aufbewahren, wird PKI (Public key infrastructure) genannt. Um dieses Netz auszubauen, wurden neben den eigentlichen Zertifizierungsstellen auch RAs (Registration Authorities, Registrierungsinstanzen) eingerichtet, die nicht selbst zertifizieren, aber Zertifikate verwahren und öffentliche Schlüssel ausgeben. Im PKI werden primär Zertifikate nach dem X.509-Standard verwaltet. Zertifikate verfallen meist nach einer definierten Zeitspanne automatisch und müssen neu beantragt werden. Zertifikate können ausserdem zurückgerufen werden, wenn sie missbraucht wurden oder das Zertifikat auf einer falschen Basis vergeben wurde. Für den Rückruf von Zertifikaten gibt jede Zertifizierungsstelle eine sogenannte CRL (Certificate Revocation List) aus.



Weiterführende Links
Informationen zu Zertifikaten (Deutsch):
http://www.atvirtual.net/addon/ssl/faq.html

Informationen zu PKI (Englisch):
http://www.pki-page.org/

Zertifizierung von PGP-Schlüsseln für Privatbenutzer (Deutsch):
http://www.heise.de/security/dienste/pgp/

Anerkannte Zertifizierungsinstanzen:
Deutsches Forschungsnetz:
http://www.pca.dfn.de/

Deutscher Ableger, insbesondere "Richtlinien":
http://www.trustcenter.de/

Internationaler Anbieter (Englisch):
http://www.thawte.com

Internationaler Anbieter (Englisch):
http://www.verisign.com

Nähere Informationen zu Sicherheitsproblemen (Deutsch):
http://www.cert.dfn.de/infoserv/dsb/dsb-2000-02.html

Beispiel für das Hochsicherheitszertifikat einer Internetbank (Deutsch):
http://www.first-e.com/de/download_documents/Sicherheitszertifikat.pdf



Fragen und Antworten
Wo finde ich denn die Liste aller zugelassenen Zertifikate und Zertifizierungsstellen?
Im Internet Explorer können Sie die Liste unter Extras > Internetoptionen > Inhalt > Zertifikate einsehen. Dabei finden Sie unter Zertifikate sowohl Zwischenzertifizierungsstellen (RA) wie auch Stammzertifizierungsstellen (CA). Im Netscape Navigator klicken Sie auf das Schloss-Symbol rechts unten in der Browserleiste, um das Menü Security Info zu öffnen. Unter Certificates > Signers finden Sie die zugelassenen Zertifizierungsinstanzen. In Opera findet man diese Informationen unter Preferences - Security.

Brauche ich als Privatanwender ein Zertifikat für meine Verschlüsselung?
Normalerweise brauchen Sie kein Zertifikat, da Sie Ihren Schlüssel z.B. auch persönlich weiterreichen können. Ein Zertifikat sollten Sie sich nur zulegen, wenn Sie in einem sensiblen Bereich mit Unbekannten Daten austauschen, insbesondere erhalten.

Ich wollte bei einem Anbieter einkaufen und mein Browser meldet mir, dass das Zertifikat nicht gültig sei. Was soll ich tun?
Gerade ältere Browser können mit Zertifikaten und Zertifizierungen konfrontiert werden, die nicht in der Liste vorhanden sind. Auch spezielle Anbieter wie Online-Banken oder eher regional tätige Zertifizierungsinstanzen sind in den mitgelieferten Listen nicht enthalten. In diesem Fall erfolgt eine Sicherheitsabfrage im Browser. Schauen Sie sich die Daten des Zertifikates näher an und wählen Sie dann, ob der Vorgang weitergeführt wird, Sie das Zertifikat herunterladen wollen oder ob Sie den Vorgang abbrechen wollen, da Ihnen das Zertifikat zu unsicher scheint.

    © 2008 by Zeix AG Zürich   |   Kontakt