Definition CA (Certification Authority)

Was ist eine CA?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Eine CA ist eine vertrauenswürdige Instanz zur Bestätigung von digitalen Identitäten und Herausgeber digitaler Zertifikate.
Eine CA ist eine vertrauenswürdige Instanz zur Bestätigung von digitalen Identitäten und Herausgeber digitaler Zertifikate. (Bild: Pixabay / CC0)

Eine CA (Certificate Authority oder Certification Authority) ist eine vertrauenswürdige Instanz, eine Zertifizierungsstelle, die digitale Zertifikate herausgibt. Mit Hilfe der Zertifikate wird die elektronische Identität von Kommunikationspartnern bescheinigt. CAs bilden den Kern der Public-Key-Infrastruktur und übernehmen die Rolle von Trust Centern.

Die Abkürzung CA steht für Certificate Authority bzw. Certification Authority. Sie stellt in der elektronischen Kommunikation eine vertrauenswürdige dritte Instanz dar. Oft werden CAs daher auch als Trust Center bezeichnet. Mit Hilfe der von der CA ausgestellten digitalen Zertifikate können Identitäten im Internet überprüft werden.

CAs und digitale Zertifikate bilden im Netz die wesentlichen Komponenten der so genannten Public-Key-Infrastruktur (PKI). Das Zertifikat ordnet einen öffentlichen Schlüssel gesichert einer bestimmten Organisation oder einer Person zu. Bestätigt wird diese Zuordnung durch die Certification Authority, indem sie ihre eigene digitale Signatur hinzufügt. Informationen, die in einem Zertifikat enthalten sind, sind zum Beispiel der Name des Besitzers, die Gültigkeitsdauer des Zertifikats und weitere Informationen des Zertifikatinhabers.

In Betriebssystemen und Browsern sind in der Regel Listen mit vertrauenswürdigen CAs hinterlegt. Mit Hilfe dieser Listen lassen sich die Zertifikate prüfen. Ist in einem Zertifikat die Signatur einer dieser CAs enthalten, kann ihm vertraut werden. Als Zertifizierungsstelle können Unternehmen, öffentliche Organisationen oder staatliche Institutionen auftreten.

Die Aufgaben einer CA

Im Folgenden eine Auflistung der wichtigsten Aufgaben einer CA

  • Prüfung der Identität und der Angaben des Anforderers eines Zertifikats
  • Ausstellen von Zertifikaten
  • Publizieren von Zertifikaten
  • Verwalten und Publizieren von Zertifikatssperrlisten
  • Aufzeichnung sämtlicher Zertifizierungsaktivitäten der CA

Missbrauch bei Zertifizierungsstellen

In der Vergangenheit ist es wiederholt gelungen, Zertifizierungsstellen zu hacken und zu missbrauchen. Angreifer konnten gefälschte Zertifikate für bestimmte Domains oder Unternehmen erstellen, die von der CA offiziell signiert waren. Betriebssysteme und Browser erkannten die gefälschten Zertifikate wegen der Signierung durch eine vertrauenswürdige CA nicht und ließen sich auf fremde Server leiten. Nach der Aufdeckung des Missbrauchs mussten die Zertifikate nachträglich gesperrt werden.

Die CA und der Webbrowser

Damit Browser oder Betriebssysteme einer CA vertrauen, muss sie in einer Liste zugelassener Zertifizierungsstellen geführt sein. Ist dies nicht der Fall, kann der User eine CA oder ein Zertifikat manuell als vertrauenswürdig einstufen. In der Regel sind die Listen mit den vertrauenswürdigen CAs in einem Browser oder auf einem Rechner vorinstalliert. Hat ein Browser ein Zertifikat eines Servers akzeptiert, kann er eine verschlüsselte Verbindung zu ihm aufbauen. Zu erkennen sind solche verschlüsselten Verbindungen in der Adresszeile des Browsers durch das vorangestellte "https://...".

Spezielle Regelungen für Zertifikate und Signaturen in Deutschland

In Deutschland existieren gesetzliche Regelungen für das Ausstellen von elektronischen Zertifikaten und Signaturen. Aufgeführt sind die Rahmenbedingungen im Signaturgesetz (SigG) das mittlerweile durch die Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) abgelöst wurde. Aussteller von Zertifikaten unterliegen der Aufsicht der deutschen Bundesnetzagentur. Sie soll die Integrität und Zuverlässigkeit von Zertifikaten und Signaturen im Rechtsverkehr sicherstellen. Es bestehen für die Rechenzentren der Zertifizierungsstellen besondere Sicherheitsvorgaben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

So verbannen Sie unsichere Passwörter aus Ihrem Netzwerk

[Gesponsert]

Sichere Durchsetzung der Passwortrichtlinie

So verbannen Sie unsichere Passwörter aus Ihrem Netzwerk

Passwörter sind weiterhin das mit Abstand am meisten verwendete Authentisierungsmittel, obwohl sie in vielen Fällen kein ausreichendes Sicherheitsniveau bieten. Klassische Passwortrichtlinien reichen nicht, um die Passwortsicherheit zu steigern. Spezielle Sicherheitstools für Passwörter sind gefragt, die kompromittierte Kennwörter erkennen und blockieren. lesen

Eine kurze Geschichte von SIEM

20 Jahre Security Information and Event Management

Eine kurze Geschichte von SIEM

Security Information and Event Management (SIEM) hat sich von einer einst neuen, revolutionären Sicherheitstechnologie zur aktuellen Benchmark der Sicherheitsbranche entwickelt. Stephen Gailey berichtet aus erster Hand über seine fast 20 Jahre Erfahrung mit mehreren Generationen von SIEM. lesen

Das war 2019 bei Security-Insider

Wir wünschen ein sicheres neues Jahr!

Das war 2019 bei Security-Insider

2019 hat sich bei der IT-Sicherheit viel getan, aber in diesem Jahresrückblick wollen wir von der Security-Insider-Redaktion mal einen Blick darauf werfen, was bei uns so passiert ist und Ihnen dabei einen kleinen Blick hinter die Kulissen ermöglichen. lesen

Absicherung, Backup und Verwaltung des Windows Zertifikatsdienstes

Zertifikate sicher und performant im Netzwerk einsetzen

Absicherung, Backup und Verwaltung des Windows Zertifikatsdienstes

Zertifikate spielen eine immer wichtigere Rolle im Netzwerk. Viele Serverdienste benötigen für die Absicherung ihrer Funktionalität ein Zertifikat. Es ist daher wichtig, dass die dafür notwendigen Server sicher betrieben werden. Wir zeigen worauf beim Management des Zertifikatsdienstes unter Windows Server 2019 zu achten ist. lesen

Handbuch für DS-GVO konforme Passwortsicherheit

[Gesponsert]

Schutz vor Datendiebstahl

Handbuch für DS-GVO konforme Passwortsicherheit

Nach wie vor stellt die Kombination aus Benutzername und Password die am häufigsten verwendete Methode da, um sich an Computersystemen anzumelden. Anwendern fällt es in der Regel schwer, gute und damit starke Passwörter zu wählen. Deshalb sind Organisationen in der Pflicht, durch geeignete technische und organisatorische Maßnahmen (TOM) dafür zu sorgen, dass schwache Passwörter nicht verwendet werden können. lesen

Chip-basierte Sicherheit für IoT-Geräte

Security-by-Design

Chip-basierte Sicherheit für IoT-Geräte

Das Internet of Things (IoT) ist an einem Punkt angekommen, an dem Unternehmen beginnen frühzeitig über Sicherheit nachzudenken. Das ist eine tiefgreifende Veränderung gegenüber den Jahren zuvor als man Sicherheit im Wesentlichen nachgelagert betrachtete. Firmen haben inzwischen erkannt, dass sie Sicherheit bereits im Prozess der Geräteherstellung berücksichtigen müssen. lesen

Was ist ein TLSA-Record?

Definition TLSA-Record

Was ist ein TLSA-Record?

Ein TLSA-Record ist ein Eintrag im Domain Name System, mit dem sich Zertifikate und die Authentizität eines Servers einer bestimmten Domain prüfen lassen. Die Records kommen für DNS-based Authentication of Named Entities (DANE) zum Einsatz und machen die Prüfung eines Zertifikats über eine Zertifizierungsstelle (Certificate Authority) überflüssig. DANE wird für die Kommunikation mit verschlüsselten Webseiten oder den verschlüsselten Austausch von E-Mails genutzt. lesen

Was ist DANE?

Definition DNS-based Authentication of Named Entities (DANE)

Was ist DANE?

DNS-based Authentication of Named Entities (DANE) ist ein standardisiertes Verfahren, mit dem sich Zertifikate von Servern zur Verschlüs­selung von Webtraffic oder E-Mails per Domain Name System prüfen lassen. Dadurch sind Probleme mit nicht vertrauenswürdigen Zertifizierungsstellen auszuschließen. DANE nutzt Domain Name System Security Extensions (DNSSEC) und TLSA-Einträge. lesen

Online-Beratung als Entlastung des DSB

Beratung für Datenschutzbeauftragte

Online-Beratung als Entlastung des DSB

Datenschutzbeauftragter (DSB) im Unternehmen ist eine gefragte Anlaufstelle, wenn es um Fragen zur Datenschutz-Grund­verordnung (DSGVO) geht. Doch jeder DSB hat nur begrenzt Zeit zur Verfügung. Eine Aufsichtsbehörde führt nun eine Online-Beratung ein, um den vielen Anfragen besser begegnen zu können. Grund genug, diese Möglichkeit auch für betriebliche Datenschutz­beauftragte zu überlegen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45197524 / Definitionen)