Zertifikat

Ein Zertifikat ist im Kontext der IT-Sicherheit ein digital signiertes Dokument, das einen öffentlichen Schlüssel an eine Identität bindet — etwa einen Hostnamen, einen Server, eine Organisation oder eine Person. Wer dem Aussteller des Zertifikats vertraut, kann darauf vertrauen, dass der enthaltene Schlüssel tatsächlich zur genannten Identität gehört.

Das verbreitete Format folgt dem Standard X.509 und ist die Grundlage von TLS, HTTPS, signiertem E-Mail-Verkehr (S/MIME), Code-Signaturen und vielen Authentifizierungsverfahren.

Bestandteile eines X.509-Zertifikats

Ein typisches Zertifikat enthält:

• Subject — die Identität, für die es ausgestellt ist (Hostname, Organisationsname, E-Mail-Adresse).
• Subject Alternative Names (SAN) — weitere gültige Namen, etwa zusätzliche Hostnamen.
• Public Key — der öffentliche Schlüssel des Subjects.
• Issuer — die ausstellende Zertifizierungsstelle.
• Gültigkeitszeitraum — Not Before und Not After.
• Seriennummer — eindeutig pro Aussteller.
• Verwendungszweck — welche Operationen das Zertifikat zulässt (Server-Authentifizierung, Client-Authentifizierung, Code-Signatur, …).
• Signatur des Ausstellers über alle vorgenannten Felder.

Vertrauenskette

Zertifikate werden in einer Kette (Chain) angeordnet:

1. Das Endzertifikat (z. B. für www.example.org) ist von einer Zwischen-CA signiert.
2. Die Zwischen-CA ist wiederum von einer Wurzel-CA (Root) signiert.
3. Die Root-Zertifikate sind in Betriebssystemen und Browsern als vertrauenswürdig vorinstalliert.

Beim Verbindungsaufbau prüft der Client die gesamte Kette: jede Signatur muss aufgehen, jedes Glied muss zeitlich gültig und nicht widerrufen sein.

Widerruf

Wird ein Zertifikat kompromittiert oder fehlerhaft ausgestellt, muss es vor Ablauf seiner Gültigkeit zurückgezogen werden. Dafür existieren zwei Verfahren:

• CRL (Certificate Revocation List) — Liste widerrufener Zertifikate, vom Aussteller veröffentlicht.
• OCSP (Online Certificate Status Protocol) — Echtzeit-Abfrage des Status; mit OCSP Stapling liefert der Server den Status direkt mit.

Praxis im Web

Im modernen Web sind Zertifikate kostenlos und automatisiert verfügbar — etwa über Let's Encrypt und das ACME-Protokoll. Üblich geworden sind Laufzeiten von 90 Tagen, automatische Erneuerung durch Tools wie Certbot oder integrierte Lösungen in Reverse-Proxys wie Caddy.