PKI-Begriffe
Amanda DavisTeilen Sie
Die Public Key Infrastructure (PKI) bildet die Grundlage für die Sicherheit moderner SSL-Zertifikate und digitaler Vertrauenssysteme.
Das Verständnis der Schlüsselterminologie hilft Organisationen, robuste Sicherheitsmaßnahmen zu implementieren und fundierte Entscheidungen über ihren Bedarf an SSL-Zertifikaten zu treffen.
Trustico® bietet diesen umfassenden Überblick über wesentliche PKI-Konzepte, um die komplexe Welt der digitalen Sicherheit zu verdeutlichen.
Zentrale PKI-Komponenten und -Konzepte
Zu den grundlegenden Bausteinen der PKI gehören öffentliche und private Schlüsselpaare, die zusammen eine sichere Kommunikation ermöglichen.
Ein öffentlicher Schlüssel kann frei verteilt werden, während der zugehörige private Schlüssel vom Eigentümer sicher geschützt bleiben muss. Dank dieses asymmetrischen Verschlüsselungssystems können SSL Certificates effektiv zur Sicherung der Webkommunikation eingesetzt werden.
Certificate Authorities (CAs) dienen als vertrauenswürdige Dritte, die SSL Certificates validieren und ausstellen. Diese Organisationen befolgen strenge Branchenrichtlinien und Sicherheitspraktiken, um die Integrität des PKI-Ökosystems zu wahren.
Wenn eine CA ein SSL Certificate ausstellt, bürgt sie im Wesentlichen für die Legitimität des Inhabers des SSL Certificates.
Ein Certificate Signing Request (CSR) ist der erste Schritt zur Erlangung eines SSL-Zertifikats. Diese verschlüsselte Datei enthält die Informationen über die antragstellende Organisation und den öffentlichen Schlüssel, den die CA zur Erstellung des endgültigen SSL-Zertifikats verwendet.
Die Erstellung einer ordnungsgemäß formatierten CSR ist entscheidend für die erfolgreiche Ausstellung eines SSL-Zertifikats.
Begriffe zur Authentifizierung und Validierung
Domain Validation (DV), Organization Validation (OV) und Extended Validation (EV) stellen die drei Haupttypen von SSL Certificate Validierungsstufen dar.
Jede Stufe erfordert eine immer gründlichere Überprüfung der Identität der anfordernden Organisation, bevor ein SSL Certificate ausgestellt werden kann.
Der Common Name (CN) bezieht sich auf den vollständig qualifizierten Domainnamen, der durch das SSL Certificate gesichert wird. Bei Wildcard SSL Certificates enthält der Common Name ein Sternchen, um die Abdeckung mehrerer Subdomains anzuzeigen.
Die Kenntnis der korrekten Common Name-Formatierung hilft, Probleme bei der Implementierung von SSL Zertifikaten zu vermeiden.
Mit Subject Alternative Name (SAN) kann ein einzelnes SSL Certificate mehrere Domainnamen sichern. Diese Funktion bietet Flexibilität und Kosteneinsparungen im Vergleich zum Kauf einzelner SSL Certificates für jede Domain.
Moderne SSL Certificates nutzen häufig die SAN-Funktionalität, um mehrere verwandte Domains zu schützen.
Sicherheitsprotokolle und Standards
Transport Layer Security (TLS) ist der aktuelle Standard für verschlüsselte Kommunikation und hat sich aus dem älteren Secure Sockets Layer (SSL Certificate) Protokoll entwickelt.
Während wir immer noch den Begriff SSL Certificate verwenden, nutzen moderne Implementierungen TLS-Protokolle für verbesserte Sicherheit und Leistung.
X.509 definiert das Standardformat für SSL-Zertifikate und andere digitale SSL-Zertifikate.
Dieser international anerkannte Standard gewährleistet die Kompatibilität zwischen verschiedenen Systemen und Anwendungen. Alle legitimen SSL Certificates entsprechen den X.
509-Spezifikationen für Struktur und Inhalt.
Das Online SSL Certificate Status Protocol (OCSP) ermöglicht die Überprüfung der Gültigkeit von SSL Certificates in Echtzeit.
OCSP Stapling verbessert diesen Prozess, indem es Webservern ermöglicht, die OCSP-Antwort zwischenzuspeichern, wodurch die Suchzeiten verkürzt und die Leistung erhöht werden, während die Sicherheit erhalten bleibt.
Schlüsselverwaltung und -speicherung
Hardware-Sicherheitsmodule (HSMs) bieten eine sichere Speicherung von privaten Schlüsseln und anderen sensiblen kryptografischen Materialien. Diese spezialisierten Geräte bieten physischen und logischen Schutz vor unbefugtem Zugriff oder Manipulationen.
Viele Certificate Authorities setzen HSMs als Teil ihrer Sicherheitsinfrastruktur ein.
Die Schlüssellänge bezieht sich auf die Größe der kryptografischen Schlüssel, die in SSL Certificates verwendet werden und wird normalerweise in Bits gemessen.
Längere Schlüssellängen bieten mehr Sicherheit, erfordern aber auch mehr Rechenressourcen. Aktuelle Industriestandards empfehlen eine Mindestschlüssellänge von 2048 Bit für RSA-Schlüssel.
Der Widerruf von SSL Certificates erfolgt, wenn ein SSL Certificate vor seinem natürlichen Ablaufdatum ungültig gemacht werden muss. Dies kann aufgrund einer Kompromittierung des Private Keys, Änderungen in der Organisation oder anderen Sicherheitsbedenken geschehen.
SSL Certificate Revocation Lists (CRLs) und OCSP bieten Mechanismen zur Überprüfung des Gültigkeitsstatus von SSL Certificates.
