Eine Zertifizierungsstelle, im Englischen Certificate Authority (CA), ist eine Stelle, die digitale Zertifikate ausstellt und signiert. Sie übernimmt die zentrale Aufgabe, den im Zertifikat enthaltenen öffentlichen Schlüssel an eine geprüfte Identität — typischerweise einen Hostnamen oder eine Organisation — zu binden.
CAs sind das Rückgrat der Public Key Infrastructure (PKI). Ihr Geschäftsmodell und ihre Glaubwürdigkeit beruhen darauf, dass die ausstellenden Prüfungen sorgfältig erfolgen — denn ein einmal verloren gegangenes Vertrauen lässt sich nur schwer zurückgewinnen.
Wurzel- und Zwischen-CAs
In der Praxis arbeiten CAs in einer hierarchischen Struktur:
- Root-CA — die oberste Instanz, deren Zertifikat in Betriebssystemen und Browsern als vertrauenswürdig vorinstalliert ist. Der private Schlüssel der Root liegt offline und wird selten benutzt.
- Intermediate-CA — von der Root signiert, aber stärker im Alltag eingesetzt. Sie stellt die eigentlichen Endzertifikate aus.
- Endzertifikat — wird vom Server vorgewiesen und von einer Intermediate-CA signiert.
Beim Verbindungsaufbau prüft der Client diese Kette von unten nach oben: jedes Zertifikat muss vom nächsten signiert sein, bis eine vertrauenswürdige Root erreicht ist.
Validierungsstufen
CAs vergeben Zertifikate in unterschiedlichen Validierungsstufen, die sich in der Tiefe der Identitätsprüfung unterscheiden:
- Domain Validation (DV) — bestätigt nur, dass der Antragsteller über die Domain verfügt. Üblicherweise automatisiert per DNS- oder HTTP-Challenge.
- Organization Validation (OV) — bestätigt zusätzlich die Existenz und Identität der dahinterstehenden Organisation.
- Extended Validation (EV) — strengste Stufe mit umfangreicher Prüfung. Im Browser optisch früher hervorgehoben, mittlerweile aber kaum noch sichtbar gekennzeichnet.
Für viele Anwendungen — Webseiten, APIs, Mailserver — reicht DV völlig aus. Wichtig ist nicht der Stempel, sondern die saubere kryptografische Bindung.
Widerruf
Geht ein privater Schlüssel verloren oder wurde ein Zertifikat fälschlich ausgestellt, muss es vor seinem regulären Ablauf zurückgezogen werden. Dafür existieren zwei Mechanismen:
- CRL (Certificate Revocation List) — Liste widerrufener Zertifikate, von der CA veröffentlicht.
- OCSP (Online Certificate Status Protocol) — Echtzeit-Abfrage des Status; mit OCSP Stapling bringt der Server den signierten Status gleich mit.
Browser handhaben Widerruf in der Praxis konservativ und nutzen oft eigene, vorgefilterte Listen, da OCSP-Anfragen Latenz und Datenschutz-Bedenken mit sich bringen.
Bekannte Vertreter
Im Web sind unter anderem Let's Encrypt, DigiCert, GlobalSign und Sectigo verbreitet. Let's Encrypt hat sich als kostenloser, automatisierter DV-Aussteller durchgesetzt und wird über das ACME-Protokoll angesprochen — die Grundlage dafür, dass HTTPS heute auch in kleinsten Projekten Standard ist.
Im Unternehmensumfeld kommt häufig eine eigene interne CA zum Einsatz, die ausschließlich Zertifikate für die eigene Infrastruktur ausstellt — etwa für interne Dienste, Client-Authentifizierung oder VPNs.