Definition Zertifikat

Was ist ein digitales Zertifikat?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein digitales Zertifikat bestätigt Personen oder Objekte und seine Authentizität und Integrität lässt sich durch kryptografische Verfahren prüfen.
Ein digitales Zertifikat bestätigt Personen oder Objekte und seine Authentizität und Integrität lässt sich durch kryptografische Verfahren prüfen. (Bild: Pixabay / CC0)

Bei einem digitalen Zertifikat handelt es sich um einen elektronischen Echtheitsnachweis, der von einer Zertifizierungsstelle (Certification Authority) ausgestellt wurde. Zertifikate kommen im Internet zur Verschlüsselung des Datenverkehrs zum Einsatz.

Das digitale Zertifikat ist ein elektronischer Echtheitsnachweis, der von einer Zertifizierungsstelle (Certification Authority - CA) ausgestellt wird. Zertifikate besitzen im Internet die vergleichbare Funktion eines Personalausweises in der Offline-Welt. Mit Hilfe eines Zertifikats lässt sich ein öffentlicher Schlüssel sicher einem bestimmten Besitzer zuweisen. Inhalte des Zertifikats sind unter anderem Informationen zum Namen des Besitzers und über den Herausgeber des Zertifikats sowie zur Gültigkeitsdauer und zur Verwendung des Zertifikats.

Zertifikate ermöglichen es zusammen mit der Public Key Infrastruktur (PKI), Informationen im Internet sicher und verschlüsselt zu übertragen. Basis der Verschlüsselung bilden asymmetrische kryptographische Verfahren mit privaten und öffentlichen Schlüsseln. Das Zertifikat bestätigt zuverlässig, zu wem der öffentliche Schlüssel gehört. Browser und Betriebssysteme führen eine Liste mit vertrauenswürdigen Zertifizierungsstellen. Ist ein Zertifikat von einer solchen Zertifizierungsstelle ausgestellt, betrachtet es der Rechner als echt. Die ITU-Empfehlung X.509 v3 regelt das Format und den Inhalt von digitalen Zertifikaten.

Die Einsatzmöglichkeiten von digitalen Zertifikaten

Im IT-Umfeld sind Zertifikate in vielen Bereichen zu finden. Sie kommen dort zum Einsatz, wo die Identität eines Kommunikationspartners oder der Quelle einer Information eindeutig festgestellt werden muss. Häufige Anwendungsbereiche sind:

  • verschlüsselte Verbindungen zwischen einem Webbrowser und einem Webserver per HTTPS (Hypertext Transfer Protocol Secure)
  • Verschlüsselung und Signierung von E-Mails
  • Signierung von digitalen Dokumenten
  • Signierung von Software und Updates
  • Aufbau von VPN-Verbindungen (Virtual Private Network)

Der Inhalt eines Zertifikats

Der X.509-Standard legt fest, welche Inhalte in welcher Form in einem Zertifikat enthalten sein müssen. Einige Informationen sind Pflicht andere optional. X.509-Zertifikate werden beispielsweise verwendet, um Webseiten mit dem HTTPS-Protokoll zu verschlüsseln oder E-Mails nach dem S/MIME-Standard zu signieren und zu verschlüsseln. Wichtige Informationen in einem X.509-Zertifikat sind unter anderem:

  • die Versionsnummer
  • die Seriennummer
  • die für die Erstellung verwendeten Algorithmen
  • der Name des Ausstellers
  • der Name des Inhabers
  • die Gültigkeitsdauer
  • Informationen zum öffentlichen Schlüssel des Inhabers
  • Informationen zum Verwendungszweck des Zertifikats
  • die digitale Signatur der Certification Authority

Die Rolle der Zertifizierungsstellen

Zertifizierungsstellen, auch Certification Authority (CA) oder Trust Center genannt, spielen für die Public Key Infrastruktur und Zertifikate eine wichtige Rolle. Sie prüfen die Angaben und die Identität eines Antragstellers für ein Zertifikat und stellen es bei korrekten Angaben aus. Zudem können sie für die Veröffentlichung der Zertifikate sorgen und sie in öffentlichen Verzeichnissen ablegen. Weitere Aufgaben der CA sind das Verwalten und Veröffentlichen von Zertifikatssperrlisten sowie die Aufzeichnung sämtlicher Zertifizierungsaktivitäten der Certification Authority. In Deutschland unterliegen Zertifizierungsstellen gesetzlichen Rahmenbedingungen und Anforderungen, die im Vertrauensdienstegesetz (VDG) beschrieben sind. Es hat das Signaturgesetz (SigG) abgelöst und stellt die Herausgeber von Zertifikaten unter die Aufsicht der deutschen Bundesnetzagentur. Für die Rechenzentren der Zertifizierungsstellen bestehen besondere Anforderungen und Sicherheitsvorgaben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Shielded-VMs und Host Guardian Service in Hyper-V

Video-Tipp: Shielded-VMs – Teil 1

Shielded-VMs und Host Guardian Service in Hyper-V

Microsoft ermöglicht mit Hyper-V einen besonderen Schutz für virtuelle Maschinen (VM). Dazu werden Shielded-VMs eingeführt, die durch einen internen Serverdienst überwacht und geschützt werden. Wir zeigen in diesem Video-Tipp, wie man den Dienst einrichtet und dazu den Host Guardian Service aufsetzt. lesen

Brandschutz: die Feuerprobe im Rechenzentrum

Brandbekämpfung mit Gas, mit Wasser?

Brandschutz: die Feuerprobe im Rechenzentrum

Auch ein bewährtes Brandschutzkonzept kann einmal missraten. Wie wäre es denn mit einem Fallback? lesen

Frischer Wind in der VPN-Branche dank WireGuard

Alternative zu IPsec und OpenVPN?

Frischer Wind in der VPN-Branche dank WireGuard

Einfach und benutzerfreundlich. Kryptographisch solide und eine minimale Angriffsfläche. Hochleistung, gut definiert und gründlich überlegt. So beschreibt der Entwickler von WireGuard die Virtual Private Network-Lösung (VPN) auf der offiziellen WireGuard Website. Doch auch hier hat die glänzende Medaille eine Rückseite. lesen

Was ist ein TLSA-Record?

Definition TLSA-Record

Was ist ein TLSA-Record?

Ein TLSA-Record ist ein Eintrag im Domain Name System, mit dem sich Zertifikate und die Authentizität eines Servers einer bestimmten Domain prüfen lassen. Die Records kommen für DNS-based Authentication of Named Entities (DANE) zum Einsatz und machen die Prüfung eines Zertifikats über eine Zertifizierungsstelle (Certificate Authority) überflüssig. DANE wird für die Kommunikation mit verschlüsselten Webseiten oder den verschlüsselten Austausch von E-Mails genutzt. lesen

Digitale Zertifikate sind heiße Ware im Darknet

Maschinenidentitäten besser schützen

Digitale Zertifikate sind heiße Ware im Darknet

Dass das Darknet von Cyberkriminellen für ihre florierenden Geschäfte mit Ransomware oder gestohlenen digitalen Identitäten genutzt wird, ist bekannt. Noch mehr Bedeutung haben jedoch Maschinenidentitäten wie TLS- und andere digitale Zertifikate gewonnen. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam. lesen

Sicherheit und Datenschutz in Office 365

MS-Office aus der Cloud

Sicherheit und Datenschutz in Office 365

Nicht an einfachen Zugriff, wegfallende Wartung oder gebrauchsabhängige Abrechnung denken Anwender zunächst, wenn es um Cloud-Dienste geht. Sondern an Sicherheit und Datenschutz respektive deren Gefährdung oder Nichtein­haltung. In jüngster Zeit wurden durch Presse­berichte starke Zweifel an Datenschutz und Security bei der Cloud-Variante Office 365 geäußert. Was ist an den Berichten dran? lesen

Was ist DANE?

Definition DNS-based Authentication of Named Entities (DANE)

Was ist DANE?

DNS-based Authentication of Named Entities (DANE) ist ein standardisiertes Verfahren, mit dem sich Zertifikate von Servern zur Verschlüs­selung von Webtraffic oder E-Mails per Domain Name System prüfen lassen. Dadurch sind Probleme mit nicht vertrauenswürdigen Zertifizierungsstellen auszuschließen. DANE nutzt Domain Name System Security Extensions (DNSSEC) und TLSA-Einträge. lesen

Pseudonymisierung vs. Anonymisierung gemäß der DSGVO

Kommentar von Gary LaFever, Anonos, und Stefan Müller, IT-Novum

Pseudonymisierung vs. Anonymisierung gemäß der DSGVO

Obwohl die DSGVO längst in Kraft getreten ist, gibt es weiterhin viel Klärungsbedarf. Ein Grund ist die mangelnde Wahrnehmung einiger grundlegender Konzepte der Datenschutzverordnung. Bei vielen Kunden fällt uns auf, dass zwar der Begriff der Anonymisierung häufig im Zusammenhang fällt, aber großes Unwissen über das Konzept der Pseudonymisierung herrscht. Letztere ist mindestens genauso wichtig wie erstere, denn nur wenn sie erfüllt ist, dürfen personenbezogene Daten weiterhin ausgewertet werden. lesen

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Internet-Sicherheit

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der Massenüberwachung haben dazu geführt, dass sich Nutzer um ihre Privatsphäre im Internet sorgen. Oft greifen sie dann zu VPN-Diensten, die aber nicht immer sinnvoll sind. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45150424 / Definitionen)