Digitale Zertifikate – die Grundlagen

In unserer zunehmend digitalen Welt existieren zahllose Hintergrundprozesse und -elemente, die sicherstellen, dass Dinge so funktionieren, wie sie funktionieren sollen. Digitale Zertifikate sind eine dieser oft übersehenen, aber essenziellen Säulen. Einfach ausgedrückt sind sie elektronische ,Ausweise‘ , die sichere Kommunikation und Transaktionen in digitalen Umgebungen ermöglichen. Sie spielen eine zentrale Rolle bei der Verschlüsselung von Datenübertragungen, zum Beispiel HTTPS-Verbindungen, der sicheren E-Mail-Kommunikation und der digitalen Signatur von Dokumenten.

Doch gerade für Unternehmen lohnt es sich, mehr über sie zu wissen: Was genau sind digitale Zertifikate? Welche Auswirkungen haben sie auf die Sicherheit der eigenen IT- und Produktionsprozesse? Und wie wirken sie sich auf die einzelnen Ebenen in diesen Bereichen aus, von der unternehmensweiten Ebene bis hin zur Produktionsebene? Die Artikelserie "Digitale Zertifikate" gibt Antworten auf diese Fragen.

Zunächst also ein Blick auf die Grundlagen: Ein digitales Zertifikat ist ein elektronisches Dokument, das die Identität einer Person, Organisation oder eines Servers bestätigt und auf dieser Basis eine sichere Verbindung zwischen einem öffentlichen Schlüssel (Public Key) und einer Entität herstellt. Digitale Zertifikate basieren dementsprechend auf der Public-Key-Infrastruktur (PKI).

Die Bestandteile eines digitalen Zertifikats

Aufbau eines standardisierten digitalen Zertifikats (X.509). © BxC

Digitale Zertifikate sind nach einem standardisierten Format aufgebaut und enthalten meist die gleichen Komponenten. Diese werden üblicherweise in strukturierten, standardisierten Formaten gespeichert, um sicherzustellen, dass das Zertifikat einfach mit verschiedenen Arten von Software zu verarbeiten und zu überprüfen ist.

Diese typischen Komponenten eines digitalen Zertifikats umfassen zunächst den verwendeten Public Key selbst, den für den Public Key verwendeten Algorithmus sowie die Schlüssellänge und weitere relevante Parameter. Ebenfalls enthalten sind wesentliche, identifizierende Informationen über den Zertifikatsinhaber, wie zum Beispiel Name, Organisation und Standort.

Eine weitere wichtige Komponente ist die digitale Signatur der ausstellenden Zertifizierungsstelle samt eindeutiger Identifikationsnummer. Diese bestätigt die Integrität und Authentizität des Zertifikats, den von der Zertifizierungs-stelle genutzte kryptografische Signaturalgorithmus sowie den Zeitraum, in dem das Zertifikat gültig ist. Die letzte wichtige Komponente sind die Zusatzinformationen, die den Verwendungszeck und eventuelle Einschränkungen des Zertifikats definieren.

Verschiedene Arten von digitalen Zertifikaten

Digitale Zertifikate existieren in verschiedenen Ausführungen, die für unterschiedliche Zwecke und Sicherheitsanforderungen entwickelt wurden. Sie unterscheiden sich zum Großteil im Grad ihrer Zuverlässigkeit, den für sie genutzten Validierungsprozessen, ihrer Gültigkeitsdauer sowie durch die spezifischen Erweiterungen, die ihre Verwendungszwecke definieren.

Die Gültigkeit von SSL/TSL-Zertifikaten wird schrittweise reduziert. © BxC

Besonders wichtig ist dabei die Gültigkeitsdauer, die sich ebenfalls je nach Anwendungsfall, Sicherheitsanforderungen und Art des Zertifikats unterscheidet. Grundsätzlich gilt jedoch, dass die Gültigkeitsdauer so kurz wie möglich sein sollte, um das Risiko der Nutzung kompromittierter Zertifikate zu minimieren. Zudem erfordern verschiedene regulatorische Rahmenwerke wie die DSGVO, PSD2 oder eIDAS regelmäßige Aktualisierungen von Zertifikaten, was ihre Gültigkeitsdauer ebenfalls begrenzt.

Die bekanntesten und am häufigsten verwendeten digitalen Zertifikate sind SSL/TLS-Zertifikate, die aktuell etwa 13 Monate gültig sind, zur Absicherung von Webseiten dienen und sich insbesondere anhand ihrer verschiedenen Validierungsstufen unterscheiden. Die Gültigkeit von SSL/TLS-Zertifikaten soll bis 2029 schrittweise auf 47 Tage verkürzt werden. Durch die drastische Verkürzung der Frist sollen Risiken durch kompromittierte Zertifikatsdaten verringert und Administratoren angeregt werden, die Erneuerung der Zertifikate zu automatisieren. ‚Domain Validation‘ (DV), die einfachste und am häufigsten von kostenlosen Anbietern verwendete Stufe, bestätigt lediglich die Kontrolle über eine bestimmte Domain, ‚Organization Validation‘ (OV) überprüft zusätzlich die hinter der Domain stehende Organisation und die höchste Stufe (Extended Validation, EV) – umfasst eine besonders gründliche Prüfung der Organisation.

Weitere Arten digitaler Zertifikate

Neben SSL/TLS-Zertifikaten existieren weitere Arten digitaler Zertifikate für unterschiedliche Anwendungsfälle: Code-Signing-Zertifikate für die digitale Signatur von Software, E-Mail-Zertifikate (S/MIME) für die Verschlüsselung und Signatur von E-Mails sowie Client-Zertifikate für die Authentifizierung von Nutzern oder Geräten gegenüber Servern. Daneben gibt es Zertifikate unter anderem für rechtlich einwandfreie elektronische Signaturen in Dokumenten, VPN-Zertifikate oder IoT-Zertifikate, die speziell auf die Anforderungen vernetzter Geräte zugeschnitten sind.

Eine zentrale Rolle im Zertifikatswesen spielen jedoch die verschiedenen Arten von CA-Zertifikaten, insbesondere Root-CA-Zertifikate. Diese sind mit sehr langen Laufzeiten von zehn bis 25 Jahren in Betriebssystemen und Browsern vorinstalliert und bilden die Grundlage von PKIs, da sie von vertrauenswürdigen Zertifizierungsstellen ausgestellt werden.

Die Rolle von Zertifizierungsstellen

Zertifizierungsstellen (CAs) sind vertrauenswürdige Institutionen im Rahmen der Public-Key-Infrastruktur, die Zertifikate ausstellen und ihre Echtheit bestätigen. Sie bestehen üblicherweise aus der eigentlichen Zertifizierungsstelle, die im Hintergrund agiert und den technischen Zertifizierungsprozess durchführt, sowie einer Registrierungsstelle, die sämtliche Kommunikation mit den Antragsstellern abwickelt.

Zu den Aufgaben der eigentlichen Zertifizierungsstelle zählen beispielsweise die Signatur eines Zertifikats mit dem Private Key nach erfolgreicher Prüfung, die Pflege einer Datenbank aller ausgestellten Zertifikate sowie die Definition von Richtlinien und Prozessen zur Ausstellung der Zertifikate. Die Registrierungsstelle hingegen ist unter anderem dafür verantwortlich, Zertifikationsanträge zu erfassen und zu validieren, die Identität von Antragsstellern zu prüfen und die Verlängerung oder den Widerruf von Zertifikaten zu verwalten.

Zertifizierungsstellen sind jedoch nicht die einzige Möglichkeit, um sicherzustellen, dass ein digitales Zertifikat vertrauenswürdig ist. Beim CT-Protokoll (Certificate Transparency) handelt es sich um ein öffentlich zugängliches Verzeichnis. Dort werden alle Zertifikate erfasst, die von öffentlichen Zertifizierungsstellen ausgestellt wurden und in Browsern als Vertrauensanker hinterlegt sind. Viele Browser nutzen es als zusätzliche Sicherheitsmaßnahme. Parallel dazu gibt es Zertifikatssperrlisten (CRLs) – regelmäßig veröffentlichte Verzeichnisse ungültiger Zertifikate. Als Alternative zu diesen dient das OCSP (Online Certificate Status Protocol), das eine Echtzeitprüfung des Zertifikatsstatus ermöglicht.

Und für speziellere Anwendungsfälle existieren weitere Validierungsmethoden. Die Auswahl der passenden Methode hängt von verschiedenen Faktoren ab. Bei kritischen Anwendungen ist beispielsweise der parallele Einsatz mehrerer Verfahren sinnvoll, während in zeitkritischen Szenarien auf effiziente Methoden wie OCSP gesetzt werden sollte. Auch regulatorische Anforderungen oder die Frage, ob eine Umgebung online oder offline betrieben wird, sind für die Auswahl relevant. In der praktischen Umsetzung von PKIs ist es daher notwendig, genau festzulegen, welche Methoden wann eingesetzt werden, eine Universallösung gibt es nicht.

Wie werden digitale Zertifikate erstellt?

Der Autor: Carsten Schwant, Co-Gründer von BxC Security. © BxC

Soweit zu den Grundlagen, aber wie sieht die Erstellung eines digitalen Zertifikats in der Praxis aus? Zunächst wird mithilfe kryptografischer Algorithmen ein asymmetrisches Schlüsselpaar, bestehend aus privatem und öffentlichem Schlüssel, erstellt. Anschließend stellt der Antragssteller einen ‚Certificate Signing Request‘ (CSR), der alle relevanten identifizierenden Informationen enthält und mit dem vorab erstellten privaten Schlüssel signiert wird.

Der CSR wird dann bei einer vertrauenswürdigen Zertifizierungsstelle eingereicht, die ihn und die bereitgestellten Informationen gemäß vorher definierter Richtlinien prüft. Bei positiver Bewertung erstellt sie das Zertifikat, signiert es mit ihrem eigenen privaten Schlüssel und sendet es zurück. Dieses enthält auch die Seriennummer, den Gültigkeitszeitraum sowie alle Informationen zu Verwendungszweck und Einschränkungen. Das Zertifikat wird auf dem Zielsystem, beispielsweise einem Web-Server, installiert und gegebenenfalls zur späteren Überprüfung mit Sperrmechanismen versehen.

Wenn digitale Zertifikate ablaufen

Wie bereits erwähnt, ist die Gültigkeitsdauer von digitalen Zertifikaten eine ihrer wichtigsten Komponenten. Wenn ein Zertifikat abläuft, wird es von Anwendungen und Systemen nicht mehr als gültig erkannt. Je nach Zertifikat und System kann es zu Fehlermeldungen oder auch zu Funktionsverlusten kommen. Deshalb sollten Zertifikate frühzeitig, idealerweise mindestens 30 Tage vor Gültigkeitsverlust, erneuert werden. Dafür gibt es verschiedene Möglichkeiten, von der manuellen Erneuerung bis hin zu automatisierten Prozessen, die Teil moderner PKIs sein sollten. Überwachungs-Tools, die bevorstehende Ablaufdaten erkennen und Erneuerungen automatisch auslösen, sind in diesem Kontext eine große Hilfe. Noch idealer sind jedoch ‚Certificate Lifecycle Management‘-Systeme (CLM), die den gesamten Zertifikatsprozess von Anfang bis Ende zentral verwalten.

Das Ziel für Unternehmen sollte ein vollständig automatisierter Lebenszyklusprozess für Zertifikate sein, einschließlich dem automatischem Ausstellen neuer Zertifikate, proaktiver Überwachung ablaufender Zertifikate, automatischer Erneuerung und nahtloser Aktualisierung aller digitalen Produkte und Dienste. Nicht nur lassen sich so ungeplante Prozessunterbrechungen und Ausfälle durch abgelaufene Zertifikate minimieren. Auch Zertifikate mit kurzer Laufzeit, wie sie zunehmend von Regulierungsbehörden gefordert werden, lassen sich durch automatisierte Prozesse leichter implementieren.