Certificate Pinning ist eine Sicherheitsmaßnahme bei der Authentifizierung von Client-Server-Verbindungen. Sie senkt das Risiko von Man-in-the-Middle-Angriffen. Auch Probleme mit bösartigen oder kompromittierten Zertifizierungsstellen lassen sich durch das Anheften von Zertifikaten vermeiden.
Certificate Pinning ist eine Sicherheitsmaßnahme bei der Authentifizierung von Client-Server-Verbindungen.
Der englische Begriff "Certificate Pinning" lasst sich mit "Anheften von Zertifikaten" ins Deutsche übersetzen. Es handelt sich um eine Sicherheitsmaßnahme und eine Technologie, die beispielsweise zur Absicherung der Kommunikation eines Webbrowsers oder einer App per HTTPS (Hypertext Transfer Protocol Secure) mit einem Server zum Einsatz kommen kann. Mithilfe des Anheftens von Zertifikaten lässt sich die Authentifizierung des Servers absichern. Es wird ein einzelnes oder eine Liste vertrauenswürdiger Zertifikate angepinnt, mit der sich die Identität des Servers überprüfen lässt. Nur den Servern, die ein solches angepinntes Zertifikat vorweisen können, wird vertraut. Certificate Pinning reduziert das Risiko, Opfer von Man-in-the-Middle-Angriffen (MITM) zu werden, indem es sicherstellt, dass der Client mit einer vertrauenswürdigen Gegenstelle kommuniziert. Darüber hinaus schützt das Zertifikat-Pinning vor gefälschten Zertifikaten und vor bösartigen oder kompromittierten Zertifizierungsstellen.
Prinzipielle Funktionsweise des Certificate Pinning und Ablauf der Authentifizierung
Das TLS-Protokoll (Transport Layer Security) definiert, wie eine sichere, verschlüsselte Kommunikation zwischen einem Client und einem Server über HTTPS ablaufen soll. Mithilfe eines digitalen Zertifikats kann der Client prüfen, ob er tatsächlich mit dem erwarteten Server kommuniziert. Die Echtheit eines Zertifikats lässt sich prüfen, indem der Client verifiziert, ob das Zertifikat von einer anerkannten Zertifizierungsstelle signiert ist. Webbrowser und Betriebssysteme führen zu diesem Zweck Listen mit den Stammzertifikaten von anerkannten, vertrauenswürdigen Zertifizierungsstellen.
Certificate Pinning sorgt für eine höhere Sicherheitsstufe der Vertrauensprüfung, indem der Client eine vorkonfigurierte Liste von Zertifikaten führt, denen er ausdrücklich vertraut. Die Zertifikate oder ihre öffentlichen Schlüssel sind quasi fest auf dem Client oder in einer App codiert. Der Server muss ein vordefiniertes Zertifikat vorlegen, damit der Client oder die Client-App ihm vertraut.
Beim Certificate Pinning kann grundsätzlich zwischen dem statischem und dem dynamischem Pinning unterschieden werden.
Beim statischen Pinning sind die Zertifikatsinformationen fest im Quellcode einer Anwendung, beispielsweise einer mobilen App, auf dem Client kodiert. Ohne Weiteres lassen sich diese Zertifikatsinformationen nicht mehr ändern. Um das Zertifikat zu aktualisieren oder zu verändern, ist eine neue Version oder eine neue Kompilierung der App mit den neuen Zertifikatsinformationen notwendig. Da sich die Zertifikatsinformationen zur Laufzeit nicht verändern lassen, ist statisches Pinning sehr sicher, weist aber Schwächen in der Verwaltung sich ändernder oder ablaufender Zertifikate auf.
Dynamisches Pinning lässt das Aktualisieren oder Verändern von angepinnten Zertifikaten zur Laufzeit zu, ohne dass eine Überarbeitung oder die Neukompilierung der Anwendung notwendig ist. Beim dynamischen Zertifikat-Pinning werden die Zertifikatsinformationen während der Laufzeit abgerufen und in der Anwendung hinterlegt. Dynamisches Certificate Pinning ist flexibler als statisches Pinning und vereinfacht die Verwaltung aktualisierter oder veränderter Zertifikate, erreicht aber nicht ganz das Sicherheitsniveau der statischen Methode. Welche der beiden Methoden gewählt wird, hängt von den Sicherheits- und Flexibilitätsanforderungen der jeweiligen Anwendung ab.
Der Ablauf einer Authentifizierung über dynamisches Certificate Pinning lässt sich etwas vereinfacht folgendermaßen beschreiben:
1. Die Client-Anwendung baut eine Verbindung zum Server auf und führt eine initiale Prüfung des vom Server präsentierten Zertifikats durch. Ist das Zertifikat gültig, wird es lokal in der Client-Anwendung gespeichert (angeheftet). Neben einer Kopie des Zertifikats, ist es auch möglich, den öffentlichen Schlüssel oder einen Hash des Zertifikats beim Client zu pinnen.
2. Bei allen nachfolgenden Verbindungen prüft der Client das vom Server präsentierte Zertifikat gegenüber dem angepinnten Zertifikat. Stimmen beide Zertifikate überein, wird dem Server vertraut und ein sicherer Kommunikationskanal kann aufgebaut werden. Nicht übereinstimmende Zertifikatsinformationen führen zur Ablehnung der Verbindung.
Vor- und Nachteile von Certificate Pinning
Certificate Pinning bietet eine ganze Reihe von Vorteilen. Das statische oder dynamische Anheften von Zertifikaten verhindert das Zertifikat-Spoofing und senkt das Risiko, Opfer von Man-in-the-Middle-Angriffen zu werden. Die Anwendung oder das System sind widerstandsfähiger gegen Cyberbedrohungen, indem eine zusätzliche Sicherheitsebene implementiert wird, die nur bestimmten Zertifikaten vertraut. Zertifikat-Pinning schützt auch vor gefälschten Zertifikaten und vor bösartigen oder kompromittierten Zertifizierungsstellen.
Das Anheften von Zertifikaten ist aber auch mit einigen Nachteilen verbunden. Als Nachteile lassen sich aufführen:
das Kodieren und Verwalten von angehefteten Zertifikaten erhöht die Komplexität der Anwendung und führt zu einem höheren Verwaltungsaufwand
das Risiko von Fehlkonfigurationen steigt aufgrund des erhöhten Zertifikatsverwaltungsaufwands
die Flexibilität der Anwendung in dynamischen Umgebungen ist eingeschränkt
die Skalierung und der Umgang mit mehreren Zertifikaten sind erschwert
das Ablaufen von Zertifikaten erfordert unter Umständen eine Aktualisierung der Client-Anwendung
die Anwendungen sind in dynamischen Zertifikatsumgebungen fehleranfälliger
Weitere Ansätze zur Verbesserung des Sicherheitsniveaus von Client-Server-Verbindungen
Um das Sicherheitsniveau von Client-Server-Verbindungen zu erhöhen, gibt es neben dem Certificate Pinning zahlreiche alternative Ansätze. Ein alternativer Ansatz ist die sogenannte Zertifikatstransparenz (Certificate Transparency - CT). Es handelt sich um ein Verfahren, das die Ausstellung von Zertifikaten öffentlich protokolliert. Diese öffentliche Einsehbarkeit sorgt für zusätzliche Transparenz und senkt das Risiko von gefälschten oder betrügerischen Zertifikaten. Weitere alternative Ansätze zur Verbesserung der Sicherheit von SSL/TLS-Verbindungen sind das Online Certificate Status Protocol (OCSP) oder mutual TLS (mTLS).
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Mobile Apps - ein typischer Einsatzbereich für das Certificate Pinning
Ein typischer Einsatzbereich für Certificate Pinning sind mobile Apps. Das Certificate Pinning bietet sich für Apps mit hohen Sicherheitsanforderungen an. So wird das Anheften von Zertifikaten beispielsweise von Apps im Finanzbereich wie Banking-Apps, von e-Health-Apps, Messengern oder E-Mail-Apps genutzt. Mithilfe des Anheftens von Zertifikaten lässt sich sicherstellen, dass die jeweilige App nur mit dem vorgesehenen Endpunkt kommuniziert. Die App vertraut aufgrund des angehefteten Zertifikats nur dem gewünschten Server.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/2a/2e2ac965035d3a6fd7ac2fd253f1bbf0/0129285508v2.jpeg "Bei den gestohlenen Daten handle es sich größtenteils um interne Informationen sowie personenbezogene Daten von Bumble-Mitarbeitenden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/75/7c754f68090dae4a979abbbd877ff774/0129310503v2.jpeg "Instant Messaging und Kollaborationstools werden zum Einfallstor für Cyberangriffe auf die Automobilindustrie. Sichere, DSGVO-konforme Kommunikation wird zur strategischen Notwendigkeit. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/21/d1/21d1c191d71d4c5e11c33df897f23005/0129068361v1.jpeg "Symbolbild: Mehrstufige Perimetersicherung mit Zaun, Zutrittskontrolle und Videoüberwachung zählt zu den Basismaßnahmen, um kritische Rechenzentrumsstandorte vor unbefugtem Zugriff zu schützen. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/bd/b9/bdb94bdad4100b29346fe4392185cbd0/0129008419v1.jpeg "China kritisiert EU-Pläne, Anbieter von Netzwerktechnik wegen Sicherheitsbedenken auszuschließen. Das verletze die Regeln des fairen Wettbewerbs. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/75/ed/75ed13cbfe00b83a869fb2cbff975cb9/0125664077v1.jpeg "In einer Public Key Infrastructure (PKI) arbeiten privater und öffentlicher Schlüssel als sich ergänzendes Schlüsselpaar. Der öffentliche Schlüssel verschlüsselt Daten und der priavte Schlüssel entschlüsselt sie. (Bild: SergeyNivens via Getty Images)")
:quality(80)/p7i.vogel.de/wcms/ec/ce/ecce420f0ad6c24fd77dc08f4f358d3a/0125711266v2.jpeg "Ob einfache Website oder komplexe Plattform mit vielen Subdomains: TLS ist heute der unverzichtbare Standard für eine zukunftssichere Domain-Sicherheit und ein wesentlicher Baustein für die Umsetzung der NIS-2-Anforderungen. (Bild: © Song_about_summer - stock.adobe.com)")