Was ist ein digitales Zertifikat? Definition & Beispiele

Learn why Top Industry Analysts consistently name Okta and Auth0 as the Identity Leader
Read more
Okta
Updated: 06/21/2022 - 4:50
Time to read: 7 minutes

Digitale Zertifikate, auch Identitäts- oder Public-Key-Zertifikate genannt, sind elektronische Passwörter, die es Einzelpersonen und Unternehmen ermöglichen, aufsetzend auf einer Public-Key-Infrastruktur (PKI) Daten sicher über das Internet zu übertragen.

Ein digitales Zertifikat nutzt Verschlüsselung und Public Keys, um einen Server, ein Endgerät oder einen User zu authentifizieren – und stellt so sicher, dass nur ein vertrauenswürdiges Device eine Verbindung zum Netzwerk des Unternehmens herstellen kann. Es kann außerdem die Authentizität einer Webseite gegenüber einem Webbrowser verifizieren.

Wenn eine Webseite, ein Unternehmen oder eine Privatperson ein digitales Zertifikat anfordert, wird dies zunächst durch eine öffentliche vertrauenswürdige Zertifizierungsstelle (Certificate Authority, CA) geprüft.

Digitale Zertifikate tragen zum Schutz der Kommunikation, Daten und Webseiten im Internet bei. Und auch wenn sie noch einige Schwachstellen aufweisen, sind Webseiten mit Public-Key-Zertifizierung um einiges sicherer als solche ohne.

Was ist ein digitales Zertifikat?

Ein digitales Zertifikat ist ein elektronisches Passwort, das die Authentizität eines Nutzers, eines Endgeräts, eines Servers oder einer Webseite prüft. Aufsetzend auf einer PKI sichert es die Kommunikation und den Datenverkehr im Internet.

Diese Art der Authentifizierung validiert Nutzer basierend auf einer Verschlüsselung durch Public Keys und Private Keys.

Eine vertrauenswürdige dritte Partei, eine CA, stellt das Public-Key-Zertifikat aus und bestätigt mit einer Signatur die Identität des Devices oder Nutzers, der Zugriff fordert. Der Validierungsprozess endet mit einem Abgleich des Public Keys mit dem zugehörigen Private Key, den nur der Empfänger kennt. Digitale Zertifikate basieren auf spezifischen Schlüsselpaaren: einem Public Key und einem Private Key.

Ein digitales Zertifikat beinhaltet die folgenden Informationen zur Identifizierung:

  • Name des Nutzers
  • Unternehmen oder Bereich des Nutzers
  • IP-Adresse (Internet Protocoll) oder Seriennummer des Endgeräts
  • Kopie des Public Keys des Zertifikatsinhabers
  • Gültigkeitsdauer des Zertifikats
  • Domäne, die das Zertifikat repräsentiert

Warum Sie auf eine digitale Zertifizierung setzen sollten

Ein digitales Zertifikat gibt Ihnen das Maß an Sicherheit, das gerade im Zeitalter des digitalen Wandels den Unterschied ausmachen kann. Das Department of Homeland Security (DHS) ) stuft Cybersecurity als eine der wichtigsten Prioritäten der US-Regierung ein. Cyberkriminalität zählt zu den größten Bedrohungen für Unternehmen und Privatpersonen.

Ein digitales Zertifikat bietet folgende Vorzüge:

  • Security: Digitale Zertifikate schützen nicht nur die interne und externe Kommunikation vor fremden Blicken, sie stellen auch die Integrität Ihrer Daten sicher. Sie managen Zugriffsberechtigungen und sorgen dafür, dass nur die richtigen Empfänger Daten erhalten und darauf zugreifen können. 
  • Authentifizierung: Ein digitales Zertifikat überprüft, ob eine Einrichtung oder Person auch wirklich die ist, die sie behauptet zu sein, und gewährleistet, dass die Kommunikation nur den vorgesehenen Empfänger erreicht. 
  • Skalierbarkeit: Digitale Zertifikate lassen sich auf einer Vielzahl von Plattformen für Einzelpersonen sowie kleine und große Unternehmen anwenden.Sie können sekundenschnell erstellt, erneuert und widerrufen werden. Außerdem schützen sie eine breite Palette an User Devices und lassen sich über ein zentralisiertes System managen. 
  • Zuverlässigkeit: Nur eine öffentlich anerkannte und streng geprüfte CA kann ein digitales Zertifikat ausstellen – und erschwert damit den Versuch eines Betrugs oder eine Fälschung. 
  • Öffentliches Vertrauen: Ein digitales Zertifikat bestätigt die Authentizität einer Webseite, eines Dokuments oder einer E-Mail. Auf diese Weise erhalten Nutzer und Kunden die Gewissheit, dass ein Unternehmen oder eine Person echt ist, ihre Privatsphäre respektiert und Wert auf Sicherheit legt.

Verschiedene Arten digitaler Zertifizierungen

Im Großen und Ganzen gibt es drei Hauptarten von Public-Key-Zertifizierungen: TLS/SSL-Zertifizierungen (Transport Layer Security/Secure Sockets Layer), Clientzertifizierungen und Code-Signing-Zertifizierungen. Jede dieser Formen umfasst dabei eine Vielzahl an Variationen.

  • TLS-/SSL-Zertifikate: Das vom Server gehostete TLS/SSL-Zertifikat gewährleistet eine sichere Kommunikation zwischen dem Computer und dem Server. Sobald ein Client-Computer auf einen Server zugreift, legt der dieser zunächst sein digitales Zertifikat vor und beweist so, dass er authentisch und damit das gewünschte Ziel ist.

Das Kürzel HTTPS (Hypertext Transfer Protocol Secure) zu Beginn einer Webadresse oder URL (Uniform Resource Locator) zeigt hierbei an, dass ein digitales Zertifikat vorhanden ist.

Liegt dem Client-Computer also das digitale Zertifikat eines Servers vor, stößt dieser die Validierung des Zertifizierungspfades an und prüft, ob der Inhalt des Zertifikats mit dem Hostnamen übereinstimmt. Dabei muss im Betreff-Feld des Zertifikats ein primärer Hostname oder ein Common Name stehen. Im Fall von SAN-Zertifikaten (Subject Alternative Name) und UC-Zertifikaten (Unified Communications) kann es auch mehrere Hostnamen geben.

Öffentliche Webserver – also Server, die über das Internet zur Verfügung stehen – müssen ein digitales Zertifikat einer vertrauenswürdigen CA vorweisen. Die TLS/SSL-Zertifikate können dabei unter anderem über die Domäne (z. B. bei Webseiten) oder das Unternehmen (z. B. bei einfachen Geschäftsauthentifizierungen) validiert sein.

Eine erweiterte Validierung umfasst eine komplette Authentifizierung des Unternehmens – und bietet damit das Höchstmaß an Sicherheit, Zuverlässigkeit und Authentifizierung. 

  • Client-Zertifikate: Vergleichbar einer digitalen ID ermöglichen sie es einem Rechner, einen anderen zu identifizieren – oder im Falle eines Nutzers einen anderen User. So können Nutzer sicher und geschützt auf Datenbanken und ihre E-Mails zugreifen.

Für eine sichere E-Mail-Kommunikation setzen Unternehmen oft auf das  S/MIME-Protokoll (Secure/Multipurpose Internet Mail Extensions). Damit ist ein Austausch nur dann möglich, wenn beide Parteien über eine Kopie des digitalen Zertifikats verfügen.

Client-Zertifikate bieten ein zusätzliches Security Layer durch die Verschlüsselung und Validierung der E-Mail-Kommunikation. Dafür muss jeder Nutzer eine digital signierte Nachricht senden und vorab das Zertifikat des Absenders importieren. 

  • Code-Signing-Zertifikate: Diese digitalen Zertifikate betreffen Software oder Dateien. Der Anbieter oder Entwickler einer Software bestätigt mit seiner Signatur ihre Authentizität gegenüber den Nutzern, die sie herunterladen wollen.

Gerade bei Third-Party-Software können die Benutzer so sicherstellen, dass sie auch wirklich das ist, was sie verspricht, und sie nicht in die Falle eines Hackers tappen. Und auch die Sicherheit und Authentizität von Dateien oder Softwares im Internet wird durch sie bestätigt.

Wo digitale Zertifikate eingesetzt werden

Öffentliche Zertifizierungsstellen müssen eine Reihe von  Mindeststandards erfüllen. In den meisten Fällen legen die Browser selbst oder die Betriebssysteme des Gerätes eine Liste von Zertifizierungsstellen fest, die den Schutz der Webbrowser sicherstellen. Die Verifizierung eines digitalen Zertifikates erfolgt dabei so schnell und unbemerkt im Hintergrund, dass die User nichts davon mitbekommen.

Mit einem digitalen Zertifikat kann eine Webseite eine HTTPS-Verbindung aufbauen und deren Authentizität von einer vertrauenswürdigen CA bestätigen lassen. Ein Browser erkennt so, dass er sich gerade auf einer echten Webseite befindet und nicht eine gefälschte oder bösartige Seite zugreift.

Auch der Bereich E-Commerce vertraut beim Schutz seiner sensiblen Daten, Identifikations- und Finanzinformationen auf digitale Zertifikate. Beim Online-Shopping, im Aktienhandel, im Bankwesen und beim Gaming – überall werden digitale Zertifikate genutzt. Sie schützen die finanziellen Transaktionen von Inhabern virtueller Kreditkarten und Händlern.

Aber auch in der E-Mail-Kommunikation sind digitale Zertifikate eine gängige Praxis. E-Mails enthalten oft eine digitale Signatur, die über ein Hash-Verfahren verschlüsselte Nachrichten versenden kann.

Die Schattenseiten digitaler Zertifikate

Digitale Zertifikate stehen für Sicherheit und Zuverlässigkeit – und stärken damit das öffentliche Vertrauen. Doch sie sind nicht unfehlbar. Auch sie haben Schwachstellen, die sich Hacker schnell zu Nutze machen können.

Stiehlt ein Cyberkrimineller beispielsweise im Zuge eines Data Breaches die Zertifizierungen und Private-Key-Daten eines Unternehmens, kann er darüber Malware streuen. Und wenn ein manipuliertes Zertifikat ein infiltriertes System überzeugt, ihm zu vertrauen, öffnen sich für den Angreifer Tür und Tor.

Oder ein Hacker nutzt einen MITM-Angriff (Man-in-the-Middle), um den SSL/TLS-Traffic abzufangen, das Root-Zertifikat einer CA zu fälschen oder mit einem manipulierten Zertifikat die Sicherheitsprotokolle zu umgehen – und erhält so Zugang zu Ihren sensiblen Daten. Alles in allem überwiegt jedoch die Sicherheit durch ein digitales Zertifikat die Risiken, die es mit sich bringt.

Wichtige Erkenntnisse

Wie Passwörter dienen auch digitale Zertifikate zum Schutz sensibler Daten und der Kommunikation, besonders zwischen Webseiten und Browsern. Sie authentifizieren Webseiten und teilen dem Browser mit, dass es sicher ist, sich zu verbinden und Daten zu übertragen.

Digitale Zertifizierungen nutzen eine PKI, um Daten zwischen Nutzern, Geräten und Servern zu übermitteln. Ein Schlüsselpaar – bestehend aus einem Public Key und einem Private Key – hilft dabei, den Datenaustausch zwischen Absender und Empfänger zu verschlüsseln und entschlüsseln.

Da nur eine anerkannte und streng geprüfte Zertifizierungsstelle ein digitales Zertifikat ausstellen kann, gilt es als ultimatives Vertrauenssiegel. Die meisten Betriebssysteme und Browser verfügen über eine integrierte Liste vertrauenswürdiger digitaler Zertifikate – und stellen so die Weichen für einen reibungslosen und schnellen Zertifizierungsprozess.

Mit ihrer hohe Skalierbarkeit sind digitale Zertifikate ein robustes Fundament für zukunftssichere Cybersecurity-Konzepte.

Referenzen

Was ist Föderierte Identity? (2013). Federated Identity Primer.

Cybersecurity. (Oktober 2021). Department of Homeland Security (DHS).

S/MIME for Message Signing and Encryption in Exchange Online. (Dezember 2021). Microsoft.

Baseline Requirement Documents (SSL/TLS Server Certificates). CA/Browser Forum.

Certificates. CIO.gov.

On the Security of SSL/TLS-Enabled Applications. (Januar 2014). Applied Computing and Informatics.