Definition CA (Certification Authority)

Was ist eine CA?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Eine CA ist eine vertrauenswürdige Instanz zur Bestätigung von digitalen Identitäten und Herausgeber digitaler Zertifikate.
Eine CA ist eine vertrauenswürdige Instanz zur Bestätigung von digitalen Identitäten und Herausgeber digitaler Zertifikate. (Bild: Pixabay / CC0)

Eine CA (Certificate Authority oder Certification Authority) ist eine vertrauenswürdige Instanz, eine Zertifizierungsstelle, die digitale Zertifikate herausgibt. Mit Hilfe der Zertifikate wird die elektronische Identität von Kommunikationspartnern bescheinigt. CAs bilden den Kern der Public-Key-Infrastruktur und übernehmen die Rolle von Trust Centern.

Die Abkürzung CA steht für Certificate Authority bzw. Certification Authority. Sie stellt in der elektronischen Kommunikation eine vertrauenswürdige dritte Instanz dar. Oft werden CAs daher auch als Trust Center bezeichnet. Mit Hilfe der von der CA ausgestellten digitalen Zertifikate können Identitäten im Internet überprüft werden.

CAs und digitale Zertifikate bilden im Netz die wesentlichen Komponenten der so genannten Public-Key-Infrastruktur (PKI). Das Zertifikat ordnet einen öffentlichen Schlüssel gesichert einer bestimmten Organisation oder einer Person zu. Bestätigt wird diese Zuordnung durch die Certification Authority, indem sie ihre eigene digitale Signatur hinzufügt. Informationen, die in einem Zertifikat enthalten sind, sind zum Beispiel der Name des Besitzers, die Gültigkeitsdauer des Zertifikats und weitere Informationen des Zertifikatinhabers.

In Betriebssystemen und Browsern sind in der Regel Listen mit vertrauenswürdigen CAs hinterlegt. Mit Hilfe dieser Listen lassen sich die Zertifikate prüfen. Ist in einem Zertifikat die Signatur einer dieser CAs enthalten, kann ihm vertraut werden. Als Zertifizierungsstelle können Unternehmen, öffentliche Organisationen oder staatliche Institutionen auftreten.

Die Aufgaben einer CA

Im Folgenden eine Auflistung der wichtigsten Aufgaben einer CA

  • Prüfung der Identität und der Angaben des Anforderers eines Zertifikats
  • Ausstellen von Zertifikaten
  • Publizieren von Zertifikaten
  • Verwalten und Publizieren von Zertifikatssperrlisten
  • Aufzeichnung sämtlicher Zertifizierungsaktivitäten der CA

Missbrauch bei Zertifizierungsstellen

In der Vergangenheit ist es wiederholt gelungen, Zertifizierungsstellen zu hacken und zu missbrauchen. Angreifer konnten gefälschte Zertifikate für bestimmte Domains oder Unternehmen erstellen, die von der CA offiziell signiert waren. Betriebssysteme und Browser erkannten die gefälschten Zertifikate wegen der Signierung durch eine vertrauenswürdige CA nicht und ließen sich auf fremde Server leiten. Nach der Aufdeckung des Missbrauchs mussten die Zertifikate nachträglich gesperrt werden.

Die CA und der Webbrowser

Damit Browser oder Betriebssysteme einer CA vertrauen, muss sie in einer Liste zugelassener Zertifizierungsstellen geführt sein. Ist dies nicht der Fall, kann der User eine CA oder ein Zertifikat manuell als vertrauenswürdig einstufen. In der Regel sind die Listen mit den vertrauenswürdigen CAs in einem Browser oder auf einem Rechner vorinstalliert. Hat ein Browser ein Zertifikat eines Servers akzeptiert, kann er eine verschlüsselte Verbindung zu ihm aufbauen. Zu erkennen sind solche verschlüsselten Verbindungen in der Adresszeile des Browsers durch das vorangestellte "https://...".

Spezielle Regelungen für Zertifikate und Signaturen in Deutschland

In Deutschland existieren gesetzliche Regelungen für das Ausstellen von elektronischen Zertifikaten und Signaturen. Aufgeführt sind die Rahmenbedingungen im Signaturgesetz (SigG) das mittlerweile durch die Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) abgelöst wurde. Aussteller von Zertifikaten unterliegen der Aufsicht der deutschen Bundesnetzagentur. Sie soll die Integrität und Zuverlässigkeit von Zertifikaten und Signaturen im Rechtsverkehr sicherstellen. Es bestehen für die Rechenzentren der Zertifizierungsstellen besondere Sicherheitsvorgaben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist ein TLSA-Record?

Definition TLSA-Record

Was ist ein TLSA-Record?

Ein TLSA-Record ist ein Eintrag im Domain Name System, mit dem sich Zertifikate und die Authentizität eines Servers einer bestimmten Domain prüfen lassen. Die Records kommen für DNS-based Authentication of Named Entities (DANE) zum Einsatz und machen die Prüfung eines Zertifikats über eine Zertifizierungsstelle (Certificate Authority) überflüssig. DANE wird für die Kommunikation mit verschlüsselten Webseiten oder den verschlüsselten Austausch von E-Mails genutzt. lesen

Was ist DANE?

Definition DNS-based Authentication of Named Entities (DANE)

Was ist DANE?

DNS-based Authentication of Named Entities (DANE) ist ein standardisiertes Verfahren, mit dem sich Zertifikate von Servern zur Verschlüs­selung von Webtraffic oder E-Mails per Domain Name System prüfen lassen. Dadurch sind Probleme mit nicht vertrauenswürdigen Zertifizierungsstellen auszuschließen. DANE nutzt Domain Name System Security Extensions (DNSSEC) und TLSA-Einträge. lesen

Online-Beratung als Entlastung des DSB

Beratung für Datenschutzbeauftragte

Online-Beratung als Entlastung des DSB

Datenschutzbeauftragter (DSB) im Unternehmen ist eine gefragte Anlaufstelle, wenn es um Fragen zur Datenschutz-Grund­verordnung (DSGVO) geht. Doch jeder DSB hat nur begrenzt Zeit zur Verfügung. Eine Aufsichtsbehörde führt nun eine Online-Beratung ein, um den vielen Anfragen besser begegnen zu können. Grund genug, diese Möglichkeit auch für betriebliche Datenschutz­beauftragte zu überlegen. lesen

Künstliche Intelligenz – Freund oder Feind?

KI in der Cybersecurity

Künstliche Intelligenz – Freund oder Feind?

Durch Algorithmen können Maschinen aus Erfahrung lernen und sich an neue Situationen anpassen, indem sie große Datenmengen verarbeiten. Dabei erkennen sie Muster in den Daten und können so menschenähnliche Aufgaben erfüllen. Phishing-Angriffe, die auf künstlicher Intelligenz basieren, können so zu einer strategischen Waffe in den Händen von Cyberkriminellen werden. lesen

Sichere Technologien für smarte Städte

Security by Design

Sichere Technologien für smarte Städte

Die Migration in die Städte setzt sich weltweit fort. Die damit verbunden Herausforderungen lassen sich nur beherrschen, indem man Städte intelligent macht - etwa durch die rasche Weiterentwicklung vernetzter Geräte und entsprechender Software. Der Fokus muss dabei auf dem Thema Sicherheit liegen, auf sicheren Netzwerken und IoT-Devices. lesen

Hacker übernehmen Raffinerien und Hochregallager

Angriff auf die Infrastruktur

Hacker übernehmen Raffinerien und Hochregallager

Industrielle Steuerungsanlagen sind omnipräsent. Sie steuern praktisch alle großindustriellen Produktionsprozesse, aber auch die Logistik. Sie beladen Schiffe und regeln jene Pipelines, die uns mit Erdgas und Erdöl versorgen. Überwacht werden sie von SCADA-Systemen, die heute wiederum mit der Büro-IT vernetzt sind. Das birgt Risiken. lesen

Produktivität im Identity- und Access-Management steigern

Lernen von der Industrie

Produktivität im Identity- und Access-Management steigern

Produktionsbetriebe kennen seit der Ein­füh­rung von Dampfmaschinen den stetigen Opti­mie­rungs­druck. Methodische Verfahren müssen sich weiter entwickeln, um Produktionsprozesse effizienter zu machen. In der IT und speziell im Identity- und Access-Management ist die Opti­mierung allerdings noch kaum anzutreffen. Dabei lassen sich klassische Produktions­planungs­verfahren der Fertigungsindustrie gewinnbringend auf die digitale Welt übertragen. lesen

Fake-Apps sind größtes Risiko für Android-Smartphones

McAfee Mobile Threat Report 2019

Fake-Apps sind größtes Risiko für Android-Smartphones

Der neue McAfee Mobile Threat Report deckt die neusten Erkenntnisse rund um Mobile Malware und Angriffe auf Smartphones auf. So haben sich Hacker im Laufe von 2018 hauptsächlich durch Hintertüren wie Kryptomining-Malware, Fake-Apps und Banking-Trojaner Zugang zu den Smartphones von Verbrauchern beschafft. Besonders erschreckend ist der rasante Anstieg an gefälschten Apps. lesen

Schutz vor schädlichen E-Mail-Anhängen

R&S Cybersecurity Docs in the Box

Schutz vor schädlichen E-Mail-Anhängen

Mit Docs in the Box bietet der R&S Browser in the Box von Rohde & Schwarz Cybersecurity jetzt einen erweiterten Schutz vor schädlichen E-Mail-Anhängen. Vor dem Download können Anhänge vorab in einer geschützten virtualisierten Umgebung angesehen werden. Dies gilt für Anhänge aus gängigen Office-Anwendungen ebenso wie für Applikationen mit Internet-Zugriff wie Skype. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45197524 / Definitionen)