Wissensdatenbank: Zertifikate und TLS
Informationen zu Zertifikaten
Gepostet von Andreas Wolske an 08 Oktober 2015 08:20

Laufzeit von Zertifikaten

Das CA/Browser Forum, ein Branchengremium bestehend aus Zertifizierungsstellen (CAs) sowie den Herstellern von Webbrowsern und Betriebssystemen, hat entschieden, dass die maximale Gültigkeit von Zertifikaten auf zwei Jahre bzw. 825 Tage reduziert wird. Bisher betrug die maximale Gültigkeit für Domain Validated (DV) und Organization Validated (OV) Zertifikate drei Jahre (39 Monate). Extended Validation (EV) Zertifikate sind schon immer auf eine Laufzeit von maximal zwei Jahren (27 Monate) beschränkt.
Am 1. März 2018 treten neue Anforderungen der CA/B Forum Baseline Requirements in Kraft, die die maximale Gültigkeit von SSL/TLS Zertifikaten auf 825 Tage (bzw. 27 Monate) verringern.

Ab 26. Februar 2018 können keine öffentlich vertrauenswürdigen Zertifikate mit einer Gültigkeit von 3 Jahren mehr ausgestellt werden. Öffentlich vertrauenswürdige Zertifikate werden dann mit einer maximalen Laufzeit von 2 Jahren (825 Tage) ausgestellt.

Wozu wird ein Zertifikat benötigt?

Mit Verschlüsselungverfahren wie TLS oder früher SSL werden vertrauliche Daten sicher verschlüsselt übertragen.
SSL steht dabei für "Secure Sockets Layer", TLS für "Transport Layer Security". Damit wird eine verschlüsselte Verbindung zwischen Browser und Server ermöglicht, so dass vertrauliche Informationen auf dem Weg durchs Internet nicht von Dritten mitgelesen werden können. Das ist z.B. bei derÜbertragung von Passwörtern, geschäftlichen oder privaten Daten wichtig.
Eine TLS- bzw. SSL-Verbindung erkennt man an dem zusätzlichen "s" für "secure" hinter dem sonst üblichen "http" bei einer Internetadresse oder dem Schloss-Symbol im Browser.
Das Zertifikat stellt dabei wichtige Informationen zur Identität der Kommunikationspartner und Funktionen zur Verschlüsselung der Daten bereit. Das Zertifikat wird von einer sog. CA (Certificate Authority) ausgestellt. Die CA bestätigt dabei die Echtheit des Zertifikates und des Inhabers.

Welche Zertifikate kann ich bei managedhosting.de bestellen?

Organisationsvalidierte Zertifikate (Klasse 3)

  • Einzelserver Zertifikat name.domain.tld - 1 Jahr
  • Einzelserver Zertifikat name.domain.tld - 2 Jahre
  • Wildcardzertifikat *.domain.tld - 1 Jahr
  • Wildcardzertifikat *.domain.tld - 2 Jahre

Organisationsvalidierte Zertifikate - PCI Compliant (Klasse 3)

  • e-Commerce SSL Zertifikat name.domain.tld - 1 Jahr
  • e-Commerce SSL Zertifikat name.domain.tld - 2 Jahre

Zertifikate mit erweiterter Validierung (EV)

  • Extended Validated SSL name.domain.tld - 1 Jahr
  • Extended Validated SSL name.domain.tld - 2 Jahre

E-Mail validierte Zertifikate (Klasse 2)

  • Domain only SSL Zertifikat name.domain.tld - 2 Jahre
  • Domain only SSL Zertifikat *.domain.tld - 2 Jahre

Was ist ein sogenanntes "Klasse 3 Zertifikat"?

Zertifikate von anerkannten Zertifizierungsstellen gewährleisten neben der Verschlüsselung für Zertifikate der Klasse 3 auch die Identität des Zertifikatinhabers. Mit einen Klick auf das Schloss-Symbol beim Browser können die überprüften Inhaberdaten des Zertifikats angezeigt und z.B. mit dem Impressum der Website verglichen werden. Zertifikate der Klasse 2 enthalten keine Angaben zur Identität des Inhabers, werden also bei der Ausstellung nur per E-Mail oder Token von der CA überprüft. Der Antragsteller muss bei Klasse 2 Zertifikaten nachweisen, dass er Kontrolle übder die Domain hat (E-Mail, DNS) für die das Zertifikat ausgestellt werden soll.

  • Zertifikate der Klasse 1 werden für Personen ausgestellt, die eine gültige E-Mail-Adresse nachweisen können. Zertifikate der Klasse 1 eignen sich für digitale Signaturen, Verschlüsselung und die elektronische Zugriffssteuerung bei nicht kommerziellen Transaktionen, für die kein Identitätsnachweis erforderlich ist. Anwendungsfälle sind die Verschlüsselung persönlicher E-Mails oder die Signatur selbst erstellter Dokumente. Für Organisationen sind Zertifikate der Klasse 1 i. d. R. nicht verfügbar.
  • Zertifikate der Klasse 2 werden für Personen und Geräte ausgestellt. Persönliche Zertifikate eignen sich für digitale Signaturen, Verschlüsselung und die elektronische Zugriffssteuerung bei Transaktionen, bei denen ein Identitätsnachweis auf Grundlage von Informationen in der validierenden Datenbank ausreicht. Gerätezertifikate der Klasse 2 eignen sich für die Geräteauthentifizierung, Nachrichten-, Software- und Inhaltsintegrität und die Verschlüsselung zur Sicherung der Vertraulichkeit. Als Nachweis kann eine Bestätigungs- E-Mail, ein Eintrag im DNS oder eine Prüfsummendatei auf einem öffentlich per http:// erreichbaren FQDN.
  • Zertifikate der Klasse 3 werden für Personen, Organisationen, Server, Geräte und Administratoren für Zertifizierungsstellen und Stammzertifizierungsstellen (Root Authorities, RAs) ausgestellt. Persönliche Zertifikate der Klasse 3 eignen sich für digitale Signaturen, Verschlüsselung und die Zugriffssteuerung bei Transaktionen, bei denen ein Identitätsnachweis erforderlich ist. Serverzertifikate der Klasse 3 eignen sich für die Serverauthentifizierung, Nachrichten-, Software- und Inhaltsintegrität und die Verschlüsselung zur Sicherung der Vertraulichkeit.

Warum verwenden wir Zertifikate von Comodo?

Über 99,3 Prozent der Browser vertrauen auf Comodo-Zertifikate. Auch Zertifikate sind eine Vertrauenssache. Nur Stammzertifikate von etablierten Zertifikat- Herausgebern wie z.B. Comodo sind auf allen gängigen Browsern und zahlreichen anderen Anwendungen vorinstalliert, so dass die Zertifikate ohne manuelle Bestätigung durch den Benutzer vom Browser automatisch als vertrauenswürdig erkannt werden.

Was ist ein Trustlogo?

Viele Internetnutzer können die Identität einer Website nicht über die Anzeige des Zertifikats überprüfen. Hierzu sind die TrustLogos von Comodo eine große Hilfe. Das TrustLogo ist ein kleines dynamisches Bild (rote Ecke unten rechts im Browserfenster) oder eine auf der Website fix eingebundene Grafik. Beim Überfahren des Trustlogos mit der Maus (oder Klick auf das TrustLogo) öffnet sich ein kleines Fenster und die Inhaberdaten des Zertifikats werden bei der Zertifizierungsstelle in Echtzeit abgerufen und angezeigt.

Wozu dient ein EV- Zertifikat?

Ein EV-Zertifikat - EV steht für "Extended Validation" - bietet eine maximale Identitätsgarantie, die von aktuellen Browsern in der Adresszeile grün angezeigt wird. "Extended Validated" bedeutet so viel wie "erweiterte Überprüfung" und steht für die höchst mögliche Identitätsüberprüfung, wie sie nach internationalen Standard z.Z. bei Zertifikaten möglich ist. Dieser Sicherheitsstandard wird von den Browsern der jüngsten Generation besonders honoriert: Sie wechseln i.d.R. die Farbein der Adresszeile auf Grün und zeigen den Firmenamen an. Der Besucher einer Website kann so auf einen Blick die Identität der Website feststellen und sich auf deren Richtigkeit verlassen. Die Richtlinien zur Vergabe von EV- Zertifikaten können Sie auf der Webseite des CAB-Forums herunterladen: https://cabforum.org/wp-content/uploads/EV-V1_6_1.pdf.

Intermediate - Zertifikate

Für die Installation des Zertifikates benötigen Sie folgende Komponenten:

  • den Private Key
  • das Zertifikat
  • das bzw. die Intermediate Zertifikat(e)

Wenn die Zwischenzertifikate von der ausstellenden CA nicht mit dem eigentlichen Zertifikat ausgeliefert wurden (was normalerweise der Fall ist), bietet die jeweilige Zertifizierungsstelle eine Möglichkeit an, die nötigen Intermediate - Zertifikate herunterzuladen. Bei managedhosting.de kommen hauptsächlich Zertifikate von COMODO oder GeoTrust zum Einsatz.

Weiterführende Informationen

Let's Encrypt

Let’s Encrypt ist eine Zertifizierungsstelle, die Ende 2015 in Betrieb gegangen ist und kostenlose X.509-Zertifikate für Transport Layer Security (TLS) anbietet. Dabei ersetzt ein automatisierter Prozess die bisher gängigen komplexen händischen Vorgänge bei der Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten für verschlüsselte Websites.

Die von Let's Encrypt ausgestellten Zertifikate können für alle gängigen Verfahren wie https, tls, imaps, pop3s etc. eingesetzt werden..

managedhosting.de unterstützt die Verwendung von durch Let's Encrypt ausgestellten Zertifikaten in allen Standardprodukten und Dienstleistungen. CertBot zur automatisierten Ausstellung und Verwaltung von Let's Encrypt Zertifikaten ist auf allen Systemen standardmäßig vorinstalliert. Neben CertBot gibt es noch etliche andere Clients, die je anch Anforderung verwendet werden können.

Zertifikatsformate

EndungInhaltFormat

PEM

Zertifikate und/oder private Schlüsser. Mehrere Abschnitte können unter Beachtung der Reihenfolge in einer Datei zusammengefasst werden.

DER Base64

REQ

RFC2986 PKCS #10: Certification Request Syntax Specification Version 1.7

DER oder Base64

CER

Enthält das Zertifikat bestehend aus den Daten (Name, Gültigkeitsdauer, Ausstellende CA, Fingerprint etc.

X509
DER oder Base64

CRT

Binäres Zertifikat

X.509
binary

PFX/P12

Mit Kennwort geschützter PKCS#12 Kontainer enthält Zertifikate und private schlüssel

 

P7B/P7C

PKCS#7 Datenstruktur, die Certifikate, revocation Liste (CRL) etc enthalten kann
RFC 2315 PKCS 7: Cryptographic Message Syntax Version 1.5

 

CRL

Enthält die Liste der zurückgezogenen Zertifikate
RFC3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

 

SST

Microsoft proprietäres Speicherformat für Zertifikate

 

Erneuerung und Ablauferinnerung

Von uns ausgestellte Zertifikate werden, gleich welcher Art sie sind, auch von uns überwacht. 

Die Erneuerung von allen Zertifikaten mit Ausnahme von Let's Encrypt bedarf der Zustimmung und Beauftragung durch den Endkunden. Entsprechende Erinnerungen werden von uns bzw. der CA rechtzeitig vor Ablauf verschickt: 60 Tage, 30 Tage, 4 Wochen, 14 Tage, 7 Tage.

Für von Kunden angelieferte (nicht von uns ausgestellte) Zertifikate können wir aktuell keine standardmäßige Überwachung anbieten. Eine individuelle Benachrichtigung z. Bsp. per CertWatch kann jederzeit beauftragt werden. Jedoch werden wir nicht automatisch aktiv.

 

 

 

(12 Stimme(n))
Hilfreich
Nicht hilfreich

 

Unsere Produkte und Dienstleistungen:
 
[ PaaS for Cloud Native Apps ] [ PaaS for e-Commerce ] [ PaaS for Webapplications ] [ IaaS & vCloud Director ]
[ Private- & Hybrid- Clouds ] [ veeam Cloud Connect ] [ Site Recovery Manager ] [ vCloud Availability ]
[ Zimbra Collaboration ] [ Filecloud ] [ Nextcloud ]