Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine vertrauenswürdige Organisation, die digitale Zertifikate für Websites und andere Objekte ausstellt. Vor der Ausstellung eines TLS/SSL-Zertifikats, dem Webbrowser wie Chrome, Safari und Firefox vertrauen, prüfen Zertifizierungsstellen die Domain und – für bestimmte Zertifikatstypen – deren Eigentümer. Mit diesen Prüfungen tragen sie zur Sicherheit im Internet bei und vermitteln Website-Besuchern das für die Kommunikation und die Abwicklung von Transaktionen über das Internet erforderliche Vertrauen.

Welche Rolle spielen Zertifizierungsstellen?

Jedes Mal, wenn Sie ein „https://“ oder ein kleines Vorhängeschloss in der Adresszeile Ihres Browsers sehen, befinden Sie sich auf einer Webseite, die von einer Zertifizierungsstelle verifiziert wurde. Wenn Sie beim Aufruf einer Webseite hingegen eine Warnung bekommen, dass diese „nicht sicher“ ist, bedeutet das, dass diese Seite nicht von einer Zertifizierungsstelle verifiziert wurde oder dass ihr Zertifikat abgelaufen ist.

Website-Betreiber, die das Vorhängeschloss-Symbol anzeigen und das sichere Übertragungsprotokoll HTTPS nutzen wollen, müssen bei einer Zertifizierungsstelle ein TLS/SSL-Zertifikat erwerben. Diese Zertifizierungsstelle prüft die vom Antragsteller bereitgestellten Informationen, zum Beispiel über den Eigentümer der Website sowie dessen Namen und Standort, bevor sie das Zertifikat ausstellt. Zertifizierungsstellen müssen strikte Branchenstandards einhalten, die dafür sorgen, dass dieser Prozess bei jeder Zertifizierungsstelle ähnliche Voraussetzungen für die Validierung erfüllt. Im CA/Browser Forum legen Zertifizierungsstellen und die Anbieter der führenden Browser gemeinsam die Standards für die TLS-Verschlüsselung und für digitale Zertifikate fest.

Wozu benötigen wir Zertifizierungsstellen?

Ohne Zertifizierungsstellen wären E-Commerce, Online-Banking und Internet-Surfen weniger sicher. In Webformulare eingetragene Daten wären nicht geschützt und könnten auf dem Weg vom Browser des Nutzers zum Webserver von Hackern mit „Sniffern“ abgefangen werden. Deshalb validieren Zertifizierungsstellen Organisationen und Einzelpersonen und tragen so dazu bei, dass nur legitime Websites TLS-Zertifikate erhalten. Weltweit gibt es über 100 verschiedene Zertifizierungsstellen, die Unternehmen und Websites validieren.

Da Betrüger trotzdem immer wieder versuchen, Zertifikate auszunutzen, sollten Internetnutzer sich mit den Anzeichen einer sicheren Webseite, wie Website-Siegeln, vertraut machen, um einschätzen zu können, ob eine aufgerufene Webseite sicher ist oder nicht. Wenn sie mit einem Zertifikat geschützt ist, das strengeren Anforderungen genügt, können Nutzer sich auch zusätzliche Informationen über den Zertifikatsinhaber anzeigen lassen, darunter den Namen und Standort der Organisation.

Die drei Haupttypen von Zertifikaten

Zertifizierungsstellen stellen drei verschiedene Zertifikatstypen aus: Zertifikate mit Domainvalidierung (DV), Unternehmensvalidierung (OV) und Extended Validation (EV). Vor der Ausstellung jedes Zertifikats findet eine Validierung statt, doch wie umfassend diese ist, hängt vom Zertifikatstyp ab. Die strengste Validierung ist für die Ausstellung von EV-Zertifikaten erforderlich. Der Unterschied zwischen OV und EV liegt in der strengeren Überprüfung des Antragstellers durch die Zertifizierungsstelle vor der Ausstellung von EV-Zertifikaten, die Besuchern noch mehr Vertrauen in die Legitimität der durch sie geschützten Websites vermittelt.

• DV – Vor der Ausstellung eines Zertifikats mit Domainvalidierung muss der Antragsteller nachweisen, dass er die Kontrolle über die Domain hat. DV-Zertifikate enthalten jedoch keine Informationen über die Organisation, weshalb wir sie nicht für die kommerzielle Nutzung empfehlen.
• OV – Vor der Ausstellung eines Zertifikats mit Unternehmensvalidierung gleicht die Zertifizierungsstelle die vom Antragsteller bereitgestellten Informationen mit von staatlichen Stellen gehosteten Unternehmensregistern und -datenbanken ab. Dazu verlangt die Zertifizierungsstelle möglicherweise bestimmte Dokumente und nimmt Kontakt zu Angestellten des Unternehmens auf, um sicherzugehen, dass das ausgestellte OV-Zertifikat legitime Unternehmensdaten enthält. Dieser Zertifikatstyp wird für kommerzielle, der Öffentlichkeit zugängliche Websites empfohlen.
• EV – Zertifikate mit Extended Validation bieten das höchste Maß an Authentifizierung und damit den besten Schutz für Marken und deren Kunden. Sie werden von weltweit führenden Organisationen genutzt, darunter von mehr als der Hälfte der 400 führenden E-Commerce-Websites (laut Angaben von Comscore und Netcraft aus dem Jahr 2019).

Weitere Informationen über die Auswahl des richtigen Zertifikatstyps für Ihre Website finden Sie in einem anderen Blogbeitrag.

Von Zertifizierungsstellen ausgestellte Zertifikate

Zertifizierungsstellen konzentrieren sich zwar hauptsächlich auf TLS-Zertifikate, stellen aber auch diverse andere digitale Zertifikate aus, darunter:

• Code-Signing-Zertifikate – Diese werden zum Signieren von Software-Releases und zur Validierung der Software durch den Verkäufer oder Entwickler genutzt.
• E‑Mail-Zertifikate – Sie nutzen das S/MIME-Protokoll, um E-Mails zu schützen und zu validieren, sodass Empfänger sicher sein können, dass sie vom angegebenen Absender stammen und nicht manipuliert wurden.
• Document-Signing-Zertifikate – Sie werden zum Signieren rechtsverbindlicher Dokumente in Adobe, Microsoft und anderen Programmen genutzt und bestätigen, dass diese unverändert und vertrauenswürdig sind.
• Gerätezertifikate – Sie eignen sich zur Sicherung von Geräten im Internet der Dinge (IoT).
• Nutzer- oder Client-Zertifikate – Sie werden zur Authentifizierung von Einzelpersonen genutzt.

Wie bekomme ich ein Zertifikat von einer Zertifizierungsstelle?

Um ein Zertifikat von einer Zertifizierungsstelle wie DigiCert zu erhalten, müssen Sie eine Signaturanforderung (Certificate Signing Request, CSR) und ein Bestellformular ausfüllen. Die Prozedur ist für alle Zertifikatstypen gleich, aber für OV- und EV-Zertifikate müssen mehr Felder ausgefüllt und mehr Informationen bereitgestellt werden. Bei DigiCert nimmt die Validierung weniger als einen Tag in Anspruch, sodass die Zeit bis zur Ausstellung Ihres TLS-Zertifikats in Stunden statt Tagen gemessen werden kann.

Vergessen Sie jedoch bitte nicht, dass alle öffentlich vertrauenswürdigen TLS/SSL-Zertifikate maximal ein Jahr (398 Tage) lang gültig sind, weshalb die Validierung jedes Jahr wiederholt werden muss.

Auswahl einer Zertifizierungsstelle

Bei der Auswahl einer Zertifizierungsstelle sollten Sie mehrere Aspekte berücksichtigen, darunter die Vertrauenswürdigkeit, den Kundendienst, die Bekanntheit der Marke, die Kosten und die verfügbaren Tools. Sie sollten Ihrer Zertifizierungsstelle unbedingt vertrauen können, da die Sicherheit Ihrer digitalen Produkte und Services – und Ihrer Endnutzer – von der Technologie abhängt, die Ihre Zertifizierungsstelle bereitstellt. Vertrauenswürdige Zertifizierungsstellen unterziehen sich regelmäßigen Audits durch unabhängige Dritte, folgen Branchenrichtlinien und nutzen Best Practices zur Sicherung ihrer Infrastrukturen. Viele Zertifizierungsstellen beteiligen sich zudem intensiv an der Arbeit von Branchengruppen und an der Entwicklung und Weiterentwicklung von Branchenstandards und sind als Vordenker in ihrem Fachgebiet bestens positioniert, Ihnen die Ressourcen bereitzustellen, die Sie benötigen. Allerdings bietet nicht jede Zertifizierungsstelle Kundensupport rund um die Uhr an allen Tagen im Jahr an. Auf mehreren Plattformen finden Sie Listen vertrauenswürdiger Zertifizierungsstellen, aus denen Sie auswählen können.

Weitere Informationen über die Auswahl der richtigen Zertifizierungsstelle finden Sie in einem anderen Blogbeitrag.

Wo kann ich TLS/SSL-Zertifikate kaufen?

Sie können bei jeder vertrauenswürdigen Zertifizierungsstelle TLS/SSL-Zertifikate kaufen. Aber da Sie einmal hier sind, möchten wir erwähnen, dass DigiCert einer der besten Anbieter für TLS/SSL-Zertifikate ist.

DigiCert ist nicht nur eine der größten Zertifizierungsstellen weltweit, sondern hat auch fast 20 Jahre Erfahrung bei der Bereitstellung von Vertrauenslösungen für Millionen von Nutzern und Geräten in aller Welt und betreut derzeit mehr als 22 Millionen aktive TLS-Zertifikate. Die Mehrheit der Fortune-500-Unternehmen und viele Global-2000-Unternehmen vertrauen auf DigiCert. Wir nehmen diese Verantwortung sehr ernst und haben mehrere Maßnahmen zur Sicherung der Integrität unserer Zertifikate implementiert, darunter mehr als zwei Dutzend Audits pro Jahr. Zudem bieten wir erstklassigen Kundensupport rund um die Uhr an allen Tagen im Jahr und entwickeln innovative Lösungen für eine einfachere Zertifikatsverwaltung. DigiCert ist ein aktives und führendes Mitglied des CA/Browser Forums und entwickelt Tools, um seinen Kunden die Einhaltung der strengsten globalen Standards und Compliance-Vorgaben zu erleichtern. Darüber hinaus bietet DigiCert digitale Zertifikate für alle Sicherheitsanforderungen an.

Besuchen Sie www.digicert.com/de, wenn Sie mehr über eine der größten Zertifizierungsstellen erfahren oder ein TLS-Zertifikat erwerben möchten.

Entdecken Sie in unserem E-Book zu PKI, warum PKI der nächste logische Schritt nach einer TLS/SSL-Initiative ist.