|
|
Fakten Über Digitale Zertifikate |
|
|
|
|
Fakten Über Digitale Zertifikate |
|
|
|
|
|
[ English ] [ Français ][ Español ]
|
| Es gibt eine Vielzahl von Zertifizierungsstellen (CAs), die derzeit digitale Zertifikate anbieten, und jede von ihnen mit verschiedenen Zertifikatprodukten. Für denjenigen, der zum ersten Mal ein digitales Zertifikat benutzt, ist es oft nicht einfach, eine sachkundige Kaufentscheidung zu treffen. Und selbst erfahrene Benutzer verstehen eventuell nicht genau die feinen Unterschiede zwischen den einzelnen auf dem Markt erhältlichen Produkten. |
| Unser Ziel ist es, objektiven Rat darüber zu geben, wie der Erwerb eines SSL-Zertifikats angegangen werden sollte. Gleichzeitig versuchen wir, bestimmte und oft missverständliche Aspekte hinsichtlich der Produkte und dieses Industriezweiges zu erläutern. Wir hoffen, dass Ihnen die hier erbrachte Information dabei hilft, die richtige Kaufentscheidung in Bezug auf Ihre Unternehmens- und Sicherheitsanforderungen zu treffen. |
| 1. Wann benötigen Sie ein digitales Zertifikat? |
| Der Hauptanwendungsbereich von SSL-Zertifikaten liegt derzeit in der Übertragungssicherung finanzieller Transaktionen. Nichtsdestotrotz wird mit dem zunehmenden Vorkommen von Identitätsraub der Schutz persönlicher Identifikationsdaten immer wichtiger. Diese Informationskategorie würde somit Ausweis- und Sozialversicherungsnummern sowie E-Mail-Adressen einbeziehen. |
| Wenn Sie beispielsweise finanzielle Transaktionen auf Ihrer Website handhaben, benötigen Sie zweifelsohne ein SSL-Zertifikat. Wenn Sie mit vertrauenswürdigen Kundendaten umgehen, sollten Sie den Einsatz eines SSL-Zertifikats durchaus in Betracht ziehen - vor allem wenn Sie der Sicherheit und dem Datenschutz Ihrer Kunden/Mitglieder Vorrang gewähren möchten. |
| 2. Weshalb lohnt sich der Einsatz eines digitalen Zertifikats? |
| Es gibt viele Gründe, die für den Einsatz eines digitalen Zertifikats sprechen: |
| [1] Um die Identität Ihrer Firma (oder Ihres Servers) online zu bestätigen und auf diese Weise Vertrauen und Zuversicht bei den Benutzern Ihrer Website zu erzeugen. |
| [2] Um die an Ihre Website (oder zwischen Servern) übermittelten Daten anhand des Verschlüsselungsverfahrens zu schützen. Sollten Informationen dennoch abgefangen werden, sind diese ohne den passenden, zur Entschlüsselung erforderlichen Schlüssel vollkommen unlesbar. |
| Beim Test eines Zertifikatprodukts sollten Sie darauf achten, dass es alle diese Voraussetzungen erfüllt. |
| 3. Welche Authentisierungsstufe bietet das Zertifikat? |
| Indem Sie Ihre Website anhand eines digitalen Zertifikats absichern, wollen Sie Ihre Online-Identität bestätigen und auf diese Weise eine Vertrauensbasis mit Ihren Online-Kommunikationspartnern schaffen. An diesem Punkt tritt die Authentisierung als wichtigstes Element eines digitalen Zertifikats auf. |
| Anhand der Authentisierung ersehen die Benutzer, dass: |
| [1] Ihr Unternehmen eine wahrhaftige und rechtmäßig gegründete Firma ist. |
| [2] der Verbindungsaufbau zum richtigen Server erfolgt. |
| Die Authentisierungsstufe eines Zertifikats kann sozusagen als Qualitätshinweis ausgelegt werden - je höher die angewendete Authentisierungsstufe, desto besser ist die Qualität des Zertifikats. Aus diesem Grund ist es wichtig zu verstehen, dass die verschiedenen im Umlauf befindlichen Zertifikate Unterschiede in Bezug auf die Authentisierungsstufen aufweisen. Das hängt jeweils von der ausstellenden CA oder sogar vom einzelnen Produkt ab. |
| Einige Zertifizierungsstellen stellen vor der Ausstellung eines Zertifikats lediglich die Grundüberprüfungen an, während andere CAs ausführliche Prüfungen durchführen, um die Identität des Antragstellers zu garantieren. Nachfolgend haben wir die verschiedenen Authentisierungsprüfungen aufgelistet, die von den CAs durchgeführt werden: |
- Nachprüfung der Domain, um zu bestätigen, dass die antragstellende Firma auch tatsächlich Eigentümerin der Domain ist.
- Unternehmensüberprüfung, um zu bestätigen, dass es sich beim Antragsteller um eine rechtmäßig eingetragene Organisation handelt.
- Identitätsüberprüfung von antragstellenden Einzelpersonen, um zu bestätigen, dass es sich um hierzu berechtigte Vertrauenspersonen handelt.
|
| Alle CAs führen eine oder mehrere dieser Authentisierungsprüfungen durch, was zu Produkten führt, die sich in ihrer Qualität oftmals erheblich unterscheiden. Es muss betont werden, dass die Qualität des Zertifikats von der Zahl der durchgeführten Authentisierungsprüfungen abhängt. Daher sollten Sie vor dem Kauf genaustens feststellen, welche Authentisierungsprüfungen durchgeführt werden. |
| 4. Was versteht man unter WebTrust? |
| Einige CAs haben den WebTrust-Status erhalten, wie es derzeit bei Microsoft Voraussetzung ist, dass jede CA eine WebTrust-Prüfung für Zertifizierungsstellen durchläuft, um deren Root-Zertifikate im Windows XP / Internet Explorer einzubinden. Dabei muss genau verstanden werden, um was es sich bei dieser Bescheinigung handelt. WebTrust sind Prinzipien, die weder Standards für CAs setzen, noch anderweitige Standards kontrollieren oder regeln. |
| Der WebTrust-Status sagt nichts über die Qualität der angebotenen Authentisierung aus - sondern er bescheinigt lediglich, dass die betreffende CA ihren eigenen Grundsätzen und Authentisierungsverfahren entsprechend handelt. Das bedeutet, dass der WebTrust-Status leider keine nützliche Vergleichsbasis der verschiedenen CAs liefert. |
| 5. Worin liegt die Stärke eines Zertifikats? (Was ist SGC-Technologie?) |
| Die Zuverlässigkeit der Verschlüsselung eines digitalen Zertifikats wird sowohl von der Verschlüsselungsstufe bestimmt, die der für den Verbindungsaufbau zu einer Website erforderliche Browser unterstützt, als auch vom Server, auf dem sich die Website befindet. Das bedeutet, dass Benutzer, je nach der benutzten Browserversion, eine Verbindung bei entweder 40-Bit, 56-Bit oder 128-Bit aufbauen können. |
| Auf diese Weise funktionieren die meisten digitalen Zertifikate - die Zuverlässigkeit der Verschlüsselung hängt von der Browser- oder Serverleistung ab. Es ist wichtig, dass diese Unterscheidung genau verstanden wird, denn viele CAs vermarkten Ihre Zertifikate als 128-Bit-Zertifikate, obwohl sie eigentlich auch Verbindungen mit variierenden Verschlüsselungsstufen unterstützen. (128-Bit ist die derzeit höchste Verschlüsselungsstufe). |
| Früher war der Export von Verschlüsselungstechnologien bei 128-Bit seitens der U.S. Regierung nicht möglich. Dies führte zu den so genannten "Export"-Browserversionen, die auf Verschlüsselungsleistungen bei 40-Bit oder 56-Bit beschränkt waren. Diese Browser wurden mehrere Jahre lang außerhalb der USA vertrieben und wurden sogar von Benutzern innerhalb der USA heruntergeladen. 1997 hob die U.S. Regierung das Ausfuhrverbot von 128-Bit-Verschlüsselungen auf. Bis zum heutigen Tag sind jedoch noch zahlreiche Versionen dieser Export-Browser im Einsatz, hauptsächlich außerhalb, aber auch innerhalb der USA. |
| Es wurden Zertifikate entwickelt, die 128-Bit-Verschlüsselungen für Browser ermöglichen, die standardmäßig auf 40-Bit- oder 56-Bit-Verschlüsselungen beschränkt sind - die so genannten "Export"-Browserversionen, darunter IE 5.01 und Netscape 4.7x und höher. Diese Zertifikate basieren auf einer Technologie, die als Server Gated Cryptography (SGC) bezeichnet wird, und anhand derer diese Browser automatisch auf 128-Bit-Verschlüsselungsverfahren aufrüsten. Nur sehr wenige CAs stellen diese Zertifikate zur Verfügung. Wenn Sie also eine solche Step-Up-Verschlüsselung bei 128-Bit möchten, sollten Sie unbedingt die SGC-Technologie verlangen. |
| 6. Was ist für Sie das geeignete Produkt? |
| Es gibt verschiedene Faktoren, die die Wahl des digitalen Zertifikats beeinflussen. |
| Zuerst muss abgewogen werden, wie vertraulich die zu sichernden Daten sind. Es versteht sich von selbst, dass streng vertrauliche persönliche und finanzielle Daten sowie Geschäftsinformation die höchsten Authentisierungs- und Verschlüsselungsstufen bedingen. Manch einige mögen die Ansicht vertreten, dass andere Anwendungen diese strengen Sicherheitsmaßnahmen nicht bedürfen. Fazit ist jedoch, dass man die verschiedenen Informationsarten, je nachdem inwieweit sie für Ihr Unternehmen wichtig sind, in Kategorien einteilen muss, um daraufhin das geeignete Zertifikat auszuwählen. |
| In einigen Ländern wurde eine Gesetzgebung erlassen, die die zu Datenschutzzwecken notwendige Verschlüsselungsstufe regelt. Diese Art von Gesetzen bezieht sich normalerweise auf Industriezweige, in denen vertrauliche Daten gehandhabt werden und in denen die Sicherheit und der Schutz von Informationen eine große Rolle spielt, beispielsweise im Finanzdienstleistungsgewerbe oder in der Gesundheitsfürsorge. Üblicherweise werden Unternehmen dazu angehalten, Daten mittels einer 128-Bit-Verschlüsselung zu schützen - eine Erfordernis, die den Einsatz eines speziellen digitalen Zertifikats voraussetzt. In einem solchen Fall sind digitale Zertifikate, die auf eine 128-Bit-Verschlüsselung aufrüsten können, das ideale Produkt. |
| Ein weiterer wichtiger Aspekt ist die geographische Lage Ihres Kunden/Benutzers. Grund dafür ist, dass noch in vielen Ländern ältere Browserversionen benutzt werden, die auf 40-Bit- und 56-Bit-Leistungen beschränkt sind und 128-Bit-Verschlüsselungen nicht automatisch unterstützen. Diese Browser werden als so genannte "Export"-Browser bezeichnet, die lange Jahre außerhalb der USA erhältlich waren. Anzumerken ist, dass selbst Benutzer innerhalb der USA diese Export-Browser von nicht U.S. Websites heruntergeladen haben. Wenn Sie also Online-Geschäfte außerhalb der USA betreiben und eine 128-Bit-Verschlüsselung für Sie wichtig ist, dann ist die SGC Step-Up-Technologie für Sie unabdingbar. |
| Abschließend sollte die Dauer des jeweiligen Projekts berücksichtigt werden. Die meisten Zertifikate haben eine Gültigkeitsdauer von ein bis zwei Jahren (oder länger). Falls Sie Ihr Projekt für einen längeren Zeitraum geplant haben, sollten Sie ein Zertifikat mit zweijähriger Gültigkeit in Erwägung ziehen. Dabei können Sie nicht nur von den Kosteneinsparungen profitieren, die oftmals bei Produkten dieser Art angeboten werden, sondern umgehen darüber hinaus auch den technischen und Verwaltungsaufwand, der bei der Installation eines erneuerten Zertifikats immer wieder anfällt. |
| 7. Steht Ihnen der notwendige technische Kundendienst zur Verfügung? |
| Je nach Erfahrungsgrad im Umgang mit digitalen Zertifikaten haben Sie die Möglichkeit, Hilfestellung während der gesamten Lebensdauer des Produktes zu verlangen, vom Erstantrag auf ein Zertifikat bis hin zur Installation, Erneuerung und eventuellen Neuausstellung des Zertifikats, falls nötig. |
| Bevor Sie sich für eine bestimmte CA entscheiden, sollten Sie stets deren Support-Leistungen bewerten. Versuchen Sie, hinter die anfänglichen Werbe- und Verkaufsmaßnahmen zu blicken, denn es sind die eher unvorhergesehenen Umstände, beispielsweise Servermigration, in denen man einen kompetenten Kundendienst am besten zu schätzen weiß. |
| 8. Was sind die Leistungen und Erfolge der CA? |
| Im Handels- und Geschäftsbereich ist es empfehlenswert, nur von bewährten und etablierten Verkäufern Produkte zu erwerben - und das gilt umso mehr für die heutige High-Tech-Industrie. Besonders wichtig ist dies beim Erwerb von Sicherheitsprodukten wie digitale Zertifikate, wo eine vertrauenswürdige CA ein entscheidender Faktor für effektive Online-Geschäfte darstellt. |
| Die Erfolgs- und Erfahrungsgeschichte einer CA gibt Ihnen eventuell Antwort auf andere hier behandelte Fragen. Denn je länger eine CA beispielsweise bereits als solche aufgetreten ist, umso mehr Erfahrung und eine besser entwickelte Kundendienstinfrastruktur kann sie aufweisen. |
| 9. Handelt es sich um eine Root-CA? |
| Man unterscheidet zwei Arten von CAs - Root-CAs und Chained CAs. Root-CAs haben die Roots ihrer Zertifikate in allen gängigen Browsern installiert, wohingegen Chained CAs ihre Zertifikate auf der Root einer Root-CA basierend ausstellen. |
| Der Grund für die Existenz von Chained CAs hängt mit der Kompatibilität von Zertifikaten mit den verschiedenen Browsertypen und -versionen zusammen, die derzeit im Einsatz sind. CAs, die schon seit längerer Zeit als solche funktionieren, konnten ihre Roots in allen im Laufe der vergangenen Jahre entwickelten Browsertypen und -versionen installieren. Demzufolge ist die Kompatibilität ihrer Zertifikate mit den einzelnen Browsern extrem hoch. Neuere CAs sind dementsprechend nicht in der Lage, diese Kompatibilitätsstufen zu erreichen, da sie ihre Roots lediglich in den neueren Browsertypen installieren können. Der einzige Weg für diese CAs, die angestrebte Kompatibilitätsstufe zu erlangen, ist es, ihre Zertifikate mit der Root einer CA zu signieren, die bereits die erwünschte Kompatibilitätsstufe erreicht hat. (Dieses Verkettungsverfahren wird als "Chaining" bezeichnet.) |
| Der Hauptnachteil bei Nutzung einer Chained CA liegt darin, dass sie selbst nicht Eigentümer der Root ist, die sie zur Ausstellung ihrer Zertifikate nutzt. Vom Blickwinkel der Zertifikatkunden aus betrachtet kann dies zu potentiellen Problemen führen, da ihre Zertifikate risikoanfällig sind und eventuell ungültig werden können, falls die Bedingungen des Chaining-Vertrags nicht eingehalten oder durch einen Eigentümerwechsel der Root nachteilig betroffen werden. |
