Certificate Authority - Versionsgeschichte

Netbreaker: /* Selbstsignierte Zertifikate */

2010-09-22T21:05:52Z

‎Selbstsignierte Zertifikate

Netbreaker: /* Selbstsignierte Zertifikate */

2010-09-22T21:02:42Z

‎Selbstsignierte Zertifikate

Netbreaker: /* Kommerzielle Zertifikate */

2010-09-22T21:01:42Z

‎Kommerzielle Zertifikate

Netbreaker am 22. September 2010 um 20:47 Uhr

2010-09-22T20:47:06Z

Netbreaker: /* Nutzen vorhandener CA's */

2010-08-27T16:30:20Z

‎Nutzen vorhandener CA's

Netbreaker: Die Seite wurde neu angelegt: =Certificate Authority (CA)= Die CA sorgt für die Vertrauensstellung der Zertifikate. Mit der Sicherheit und Glaubwürdigkeit der CA steht und fällt somit auch das V...

2010-07-12T09:51:16Z

Die Seite wurde neu angelegt: =Certificate Authority (CA)= Die CA sorgt für die Vertrauensstellung der Zertifikate. Mit der Sicherheit und Glaubwürdigkeit der CA steht und fällt somit auch das V...

Neue Seite

=Certificate Authority (CA)=

Die CA sorgt für die Vertrauensstellung der Zertifikate. Mit der Sicherheit und Glaubwürdigkeit der CA steht und fällt somit auch das Vertrauen in die Zertifikate.

Eine CA verwaltet [[X.509 Zertifikate]], die zu unterschiedlichen Zwecken verwendet werden können:

* Signaturen/Verschlüsselung von Mails oder Dokumenten (Rechnungen => digitale Signatur)
* SSL-Zertifikate zur Authentifizierung und Verschlüsselung verschiedener sogenannter [[s-Protokolle]] (https, ftps, imaps usw.)
* [[OpenVPN]]

Es gibt kommerzielle (z.B. VeriSign), gemeinnützige Organisationen (z.B. CaCert) und selbst erstellte CA's.

==Nutzen vorhandener CA's==

==Erstellen einer eigenen CA==

@@ Zeile 26: / Zeile 26: @@
 ==Selbstsignierte Zertifikate==
-Durch eine eigene CA signierte Zertifikate sind nur für geschlossene Benutzergruppen zu empfehlen, bei denen man die Verteilung der Root-Zertifikate gewährleisten kann. Die Verschlüsselung/Signatur damit ist genauso sicher wie mit den o.g., jedoch fehlt die öffentliche Vertrauensstellung. Sicherheit und Vertrauen können aber vom Endbenutzer meist nicht auseinandergehalten werden. Das Zertifikat erzeugt einen Fehler und wird damit als unsicher eingestuft, bis die Root-Zertifikate in das jeweilige Programm importiert wurden. Für Webseiten und Mails ist diese Variante daher nicht besonders geeignet. Dafür kann man hier beliebig viele Zertifikate erstellen und hierarchische Strukturen aufbauen.
+Durch eine eigene CA signierte Zertifikate sind nur für geschlossene Benutzergruppen zu empfehlen, bei denen man die Verteilung der Root-Zertifikate gewährleisten kann. Die Verschlüsselung/Signatur damit ist genauso sicher wie mit den o.g., jedoch fehlt die öffentliche Vertrauensstellung. Sicherheit und Vertrauen können aber vom Endbenutzer meist nicht auseinandergehalten werden. Das Zertifikat erzeugt einen Fehler und wird damit als unsicher eingestuft, bis die Root-Zertifikate in das jeweilige Programm importiert wurden oder jedes einzelne Zertifikat als Ausnahme bestätigt wurde. Für Webseiten und Mails ist diese Variante daher nicht besonders geeignet. Dafür kann man hier beliebig viele Zertifikate erstellen und hierarchische Strukturen aufbauen.
 Zum Betrieb von VPNs sind die nötigen Vorraussetzungen jedoch gegeben. Es handelt sich im allgemeinen um geschlossene Benutzergruppen und die Verteilung der Root-Zertifikate kann zusammen mit den Clientzertifikaten erfolgen.
 ==Erstellen einer eigenen CA==

@@ Zeile 25: / Zeile 25: @@
 Für ein eigenes Zertifikat muß man seine Identität von CAcert-Assurern bestätigen lassen. Für ein Mailzertifikat reichen schon 2 Assurer, für ein SSL-Zertifikat für die Webseite müssen 4 Personen die Identität bestätigen. Später kann man auch selbst Assurer werden und weitere Personen bestätigen und damit die Community zu vergrößern.
-===Selbstsignierte Zertifikate===
+==Selbstsignierte Zertifikate==
 Durch eine eigene CA signierte Zertifikate sind nur für geschlossene Benutzergruppen zu empfehlen, bei denen man die Verteilung der Root-Zertifikate gewährleisten kann. Die Verschlüsselung/Signatur damit ist genauso sicher wie mit den o.g., jedoch fehlt die öffentliche Vertrauensstellung. Sicherheit und Vertrauen können aber vom Endbenutzer meist nicht auseinandergehalten werden. Das Zertifikat erzeugt einen Fehler und wird damit als unsicher eingestuft, bis die Root-Zertifikate in das jeweilige Programm importiert wurden. Für Webseiten und Mails ist diese Variante daher nicht besonders geeignet. Dafür kann man hier beliebig viele Zertifikate erstellen und hierarchische Strukturen aufbauen.

@@ Zeile 15: / Zeile 15: @@
 ===Kommerzielle Zertifikate===
-Kommerzielle Zertifizierungsstellen sind in den gängigen Browsern schon vorhanden. Daher werden von diesen signierte Zertifikate in den meisten Fällen als gültig anerkannt und vermeiden Rückfragen beim Endanwender. Je nach Funktionsumfang entstehen zum Teil nicht unerhebliche Kosten.
+Kommerzielle Zertifizierungsstellen sind in den gängigen Browsern schon vorhanden. Daher werden von diesen signierte Zertifikate in den meisten Fällen als gültig anerkannt und vermeiden Rückfragen beim Endanwender. Je nach Funktionsumfang entstehen aber zum Teil nicht unerhebliche Kosten. Für Webseiten mit hohem Sicherheitsbedürfnis und vielen Besuchern (z.B. Webshops) amortisiert sich diese Investition jedoch schnell.
 ===CAcert.org===

@@ Zeile 12: / Zeile 12: @@
 ==Nutzen vorhandener CA's==
-===CaCert.org===
+===Kommerzielle Zertifikate===
-CaCert [https://www.cacert.org/index.php?id=0&lang=de_DE] ist ein Anbieter von kostenlosen Zertifikaten. Leider sind die Root-Zertifikate noch nicht standardmäßig in den gängigen Browsern enthalten. Daher erzeugen CaCert-Zertifikate im Browser oder Mailprogramm Fehlermeldungen, bis die Root-Zertifikate installiert sind. Alternativ kann man die entsprechenden Zertifikate als Ausnahme hinzufügen. Das muß man jedoch für jedes Zertifikat erneut bestätigen, wogegen die Installation der Root-Zertifikate nur einmalig erledigt werden muß. Bei den Root Zertifikaten [https://www.cacert.org/index.php?id=3] jeweils das PEM-Class1- und -Class3-Zertifikat anklicken und für Webseiten und Mails freigeben, ebenso die jeweilige CRL und das automatische Update derselben aktivieren. Für die Integration im Mailprogramm muß man die PEM-Dateien zuerst abspeichern und dann als Zertifizierungsstelle importieren. Für die Zertifikatssperrlisten kann man die URL beim Import direkt angeben.
+Kommerzielle Zertifizierungsstellen sind in den gängigen Browsern schon vorhanden. Daher werden von diesen signierte Zertifikate in den meisten Fällen als gültig anerkannt und vermeiden Rückfragen beim Endanwender. Je nach Funktionsumfang entstehen zum Teil nicht unerhebliche Kosten.
-Für ein eigenes Zertifikat muß man seine Identität von CaCert-Assurern bestätigen lassen. Später kann man auch selbst Assurer werden.
+===CAcert.org===
 ==Erstellen einer eigenen CA==

← Nächstältere Version		Version vom 27. August 2010, 16:30 Uhr
Zeile 13:		Zeile 13:
	==Nutzen vorhandener CA's==		==Nutzen vorhandener CA's==

		+	===CaCert.org===
		+	CaCert [https://www.cacert.org/index.php?id=0&lang=de_DE] ist ein Anbieter von kostenlosen Zertifikaten. Leider sind die Root-Zertifikate noch nicht standardmäßig in den gängigen Browsern enthalten. Daher erzeugen CaCert-Zertifikate im Browser oder Mailprogramm Fehlermeldungen, bis die Root-Zertifikate installiert sind. Alternativ kann man die entsprechenden Zertifikate als Ausnahme hinzufügen. Das muß man jedoch für jedes Zertifikat erneut bestätigen, wogegen die Installation der Root-Zertifikate nur einmalig erledigt werden muß. Bei den Root Zertifikaten [https://www.cacert.org/index.php?id=3] jeweils das PEM-Class1- und -Class3-Zertifikat anklicken und für Webseiten und Mails freigeben, ebenso die jeweilige CRL und das automatische Update derselben aktivieren. Für die Integration im Mailprogramm muß man die PEM-Dateien zuerst abspeichern und dann als Zertifizierungsstelle importieren. Für die Zertifikatssperrlisten kann man die URL beim Import direkt angeben.
		+
		+	Für ein eigenes Zertifikat muß man seine Identität von CaCert-Assurern bestätigen lassen. Später kann man auch selbst Assurer werden.

	==Erstellen einer eigenen CA==		==Erstellen einer eigenen CA==