Certificate Authority
Inhaltsverzeichnis |
Certificate Authority (CA)
Die CA sorgt für die Vertrauensstellung der Zertifikate. Mit der Sicherheit und Glaubwürdigkeit der CA steht und fällt somit auch das Vertrauen in die Zertifikate.
Eine CA verwaltet X.509 Zertifikate, die zu unterschiedlichen Zwecken verwendet werden können:
- Signaturen/Verschlüsselung von Mails oder Dokumenten (Rechnungen => digitale Signatur)
- SSL-Zertifikate zur Authentifizierung und Verschlüsselung verschiedener sogenannter s-Protokolle (https, ftps, imaps usw.)
- OpenVPN
Es gibt kommerzielle (z.B. VeriSign), gemeinnützige Organisationen (z.B. CaCert) und selbst erstellte CA's.
Nutzen vorhandener CA's
Existierende Zertifizierungsstellenwerden von der Allgemeinheit eher als Vertrauenswürdig eingestuft als Selbstsignierte und haben eine bessere Breitenwirkung. Es reicht das Vorhandensein der Root-Zertifikate um alle von diesen signierten Zertifikate zu akzeptieren.
Kommerzielle Zertifikate
Kommerzielle Zertifizierungsstellen sind in den gängigen Browsern schon vorhanden. Daher werden von diesen signierte Zertifikate in den meisten Fällen als gültig anerkannt und vermeiden Rückfragen beim Endanwender. Je nach Funktionsumfang entstehen aber zum Teil nicht unerhebliche Kosten. Für Webseiten mit hohem Sicherheitsbedürfnis und vielen Besuchern (z.B. Webshops) amortisiert sich diese Investition jedoch schnell.
CAcert.org
CAcert [1] ist ein Anbieter von kostenlosen Zertifikaten. Leider sind die Root-Zertifikate noch nicht standardmäßig in den gängigen Browsern enthalten. Daher erzeugen CAcert-Zertifikate im Browser oder Mailprogramm Fehlermeldungen, bis die Root-Zertifikate installiert sind. Alternativ kann man die entsprechenden Zertifikate als Ausnahme hinzufügen. Das muß man jedoch für jedes Zertifikat erneut bestätigen, wogegen die Installation der Root-Zertifikate nur einmalig erledigt werden muß. Bei den Root Zertifikaten [2] jeweils das PEM-Class1- und -Class3-Zertifikat anklicken und für Webseiten und Mails freigeben, ebenso die jeweilige CRL und das automatische Update derselben aktivieren. Für die Integration im Mailprogramm muß man die PEM-Dateien zuerst abspeichern und dann als Zertifizierungsstelle importieren. Für die Zertifikatssperrlisten kann man die URL beim Import direkt angeben.
Für den privaten Einsatz oder in Vereinen kann diese Variante empfohlen werden und damit seine Mails und die private Webseite absichern.
Direkt nach der Anmeldung kann man bereits mit anonymen Zertifikaten seine Mails signieren oder verschlüsseln. Das ist jedoch nur zu Testzwecken zu gebrauchen. Für ein eigenes Zertifikat muß man seine Identität von CAcert-Assurern bestätigen lassen. Für ein Mailzertifikat reichen schon 2 Assurer, für ein SSL-Zertifikat für die Webseite müssen 4 Personen die Identität bestätigen. Später kann man auch selbst Assurer werden und weitere Personen bestätigen und damit die Community zu vergrößern.
Selbstsignierte Zertifikate
Durch eine eigene CA signierte Zertifikate sind nur für geschlossene Benutzergruppen zu empfehlen, bei denen man die Verteilung der Root-Zertifikate gewährleisten kann. Die Verschlüsselung/Signatur damit ist genauso sicher wie mit den o.g., jedoch fehlt die öffentliche Vertrauensstellung. Sicherheit und Vertrauen können aber vom Endbenutzer meist nicht auseinandergehalten werden. Das Zertifikat erzeugt einen Fehler und wird damit als unsicher eingestuft, bis die Root-Zertifikate in das jeweilige Programm importiert wurden oder jedes einzelne Zertifikat als Ausnahme bestätigt wurde. Für Webseiten und Mails ist diese Variante daher nicht besonders geeignet. Dafür kann man hier beliebig viele Zertifikate erstellen und hierarchische Strukturen aufbauen.
Zum Betrieb von VPNs sind die nötigen Vorraussetzungen jedoch gegeben. Es handelt sich im allgemeinen um geschlossene Benutzergruppen und die Verteilung der Root-Zertifikate kann zusammen mit den Clientzertifikaten erfolgen.
