Besuchen Sie Keyfactor auf der RSA Conference™ 2024 | 6. bis 9. Mai | Erfahren Sie mehr

Der Unterschied zwischen Root-Zertifikaten und Zwischenzertifikaten

Wenn Sie dabei sind, ein SSL -Zertifikat für Ihre Website zu erwerben, werden Sie wahrscheinlich auf zwei Begriffe stoßen - Stammzertifikate und Zwischenzertifikate. Es liegt auf der Hand, dass man diese beiden Begriffe verwechseln kann.

Der grundlegende Unterschied zwischen Stammzertifikaten und Zwischenzertifikaten ist zunächst einmal die Wurzel. A Stammzertifizierungsstelle hat ihre eigenen vertrauenswürdigen Wurzeln in den Vertrauensspeichern der wichtigsten Browser. Eine Zwischenzertifizierungsstelle oder Unterzertifizierungsstelle hingegen stellt ein Zwischenzertifikat aus, da sie keine Wurzeln in den Vertrauensspeichern der Browser hat. Die Wurzeln der Zwischenzertifizierungsstelle verweisen also auf eine vertrauenswürdige Stammzertifizierungsstelle.

Nun, war das zu viel Information zum Verdauen? Keine Sorge. In diesem Artikel werden wir alles im Detail erklären. Aber lassen Sie uns zuerst die Grundlagen auffrischen. 

Root-CA-Zertifikat
Inhaltsübersicht

Wie funktioniert SSL ?

Infrastruktur für öffentliche Schlüssel

SSL basiert im Wesentlichen auf der Implementierung eines Paares aus privatem und öffentlichem Schlüssel. Die Daten einer Website werden auf der Grundlage eines privaten Schlüssels verschlüsselt, und nur Betrachter mit dem richtigen öffentlichen Schlüssel können auf die Website zugreifen. Der öffentliche Schlüssel wird an die Besucher in Form einer Zertifikatsdatei verteilt, die jedes Mal verwendet wird, wenn ein Benutzer versucht, auf eine Website zuzugreifen. 

Wenn das Zertifikat einer Website nicht gültig ist, bedeutet dies, dass die Website nicht ordnungsgemäß überprüft wurde und eine potenzielle Bedrohung darstellt. Es gibt verschiedene Zertifizierungsstufen, die eine Website in Anspruch nehmen kann, jeweils mit unterschiedlichen Vertrauensstufen und Validierungsverfahren. 

Die Zertifikate werden von entsprechenden Zertifizierungsstellen ausgestellt, die selbst prüfen, ob die Website, die ein SSL -Zertifikat beantragt, echt ist oder nicht. Und jedes Zertifikat hat ein Ablaufdatum, nach dem es als ungültig gilt und erneuert werden muss, um die Schutzfunktionen von SSL weiterhin nutzen zu können. 

Wie Sie sehen, ist SSL ein Mechanismus, der es den Nutzern ermöglicht zu wissen, ob die Website, mit der sie sich verbinden, von einer Zertifizierungsstelle ordnungsgemäß validiert wurde und tatsächlich die echte Website ist, auf die sie zugreifen wollen. Ohne SSL gibt es keine Verschlüsselung, und es besteht die Gefahr von Datenschutzverletzungen und Sicherheitslücken. 

Digitale Signaturen

Sie können digitale Signaturen als digitale Informationen betrachten, die eine bestimmte Zertifikatsdatei verifizieren. Dies ist vergleichbar mit der Beglaubigung physischer Dokumente durch einen qualifizierten Notar. In der SSL Zertifikatskette wird jede Komponente, sei es ein Zertifikat oder ein öffentlicher Schlüssel, mit einem eigenen Zertifikat signiert. 

Wenn SSL von einem Browser geladen wird, erhalten die Websites die Zertifikate und den mit der Website verbundenen öffentlichen Schlüssel. Nach dem Empfang prüft die Browser-Applikation die Echtheit des Zertifikats mit Hilfe des öffentlichen Schlüssels. Sie prüft die digitale Signatur der Zertifikatsdatei und verweist auf das Zertifikat, das sie signiert hat. Dieser Prozess der Überprüfung digitaler Signaturen wird fortgesetzt, bis das letzte Zertifikat in der Zertifikatskette erreicht ist. 

Zertifikat-Ketten

Der öffentliche Schlüssel oder der Prozess der Zertifikatsausstellung besteht aus vielen sicherheitsrelevanten Diensten, die die ordnungsgemäße Verwendung der Paare öffentlicher/privater Schlüssel erzwingen. Im Verlauf des Prozesses wird eine Kette von Zertifikaten verwendet, die für den Endnutzer möglicherweise nicht zugänglich ist. Diese Zertifikatskette wird auch als die Kette des Vertrauens oder der Zertifizierungspfad.

Jede Zertifikatskette enthält eine Liste von Zertifikaten, darunter das endgültige Endbenutzerzertifikat und ein oder mehrere CA-Zertifikate (Zertifizierungsstelle) sowie ein selbstsigniertes Zertifikat. Jedes Zertifikat hat die folgenden Eigenschaften:

  • Die Angaben zum Aussteller des Zertifikats. Dieser Wert stimmt mit dem Betreff des nächsten Zertifikats in der Kette überein, mit Ausnahme des letzten Zertifikats in der Kette. 
  • Ein geheimer Schlüssel für das nächste Zertifikat in der Kette wird verwendet, um jedes Zertifikat zu signieren. Auch hier gilt, dass das letzte Zertifikat in der Kette nicht mit diesem geheimen Schlüssel signiert werden muss. 
  • Das letzte Zertifikat einer Zertifikatskette unterscheidet sich, wie bereits erwähnt, von den anderen Zertifikaten. Es wird als Vertrauensanker bezeichnet und wird immer von einer vertrauenswürdigen Instanz wie einer gültigen Zertifizierungsstelle (CA) ausgestellt. Es wird allgemein als CA-Zertifikat bezeichnet. Nur eine überprüfte und äußerst vertrauenswürdige Zertifizierungsstelle kann solche Stammzertifikate ausstellen, da sie die Vertrauensanker in einer Zertifikatskette sind.


Angenommen, eine Zertifikatskette kann nicht auf ein gültiges Stammzertifikat zurückverweisen. In diesem Fall wird sie als ungültig betrachtet, und die Endbenutzeranwendung wird die entsprechende Website nicht als vertrauenswürdige Quelle betrachten.

Hierarchie der Zertifikate

Die Zertifikatskette oder Vertrauenskette definiert die Verbindung zwischen Ihren aktuellen SSL Zertifikaten und der vertrauenswürdigen CA. Damit ein SSL -Zertifikat als gültig angesehen werden kann, muss es auf eine gültige CA zurückgeführt werden können. 

Wenn Sie das Zertifikat einer neuen Website speichern, mit der Sie eine Verbindung herstellen möchten, können Sie das Zertifikat für weitere Details einsehen und die Zertifikatshierarchie abrufen. Das erste Zertifikat, das Sie besitzen, ist das Stammzertifikat, gefolgt von Zwischenzertifikaten, und das letzte Zertifikat sollte auf eine gültige Zertifizierungsstelle verweisen. 

Wurzel-Zertifikat

Dabei handelt es sich um eine digitale Zertifikatsdatei, die von der Zertifizierungsstelle ausgestellt wird und zu allen Websites gehört, die den Schutz SSL verwenden. Ihr Webbrowser Anwendung lädt diese Datei herunter und speichert sie in einem Vertrauensspeicher. Alle Stammzertifikate werden von den Zertifizierungsstellen, die sie ausstellen, sorgfältig bewacht.

Zwischenzeugnis

Sie stehen in der Zertifikatshierarchie nach dem Stammzertifikat. Sie sind wie Zweige von Stammzertifikaten, die als Vermittler zwischen den Stammzertifikaten und den öffentlichen Server-Zertifikaten für die Öffentlichkeit ausgestellt werden. In den meisten Fällen gibt es nur ein Zwischenzertifikat für die Zertifikatskettes, aber es ist auch möglich, mehrere Zwischenzertifikate zu finden.

Server-Zertifikat

Dies ist das Zertifikat, das von der CA für die Domäne ausgestellt wurde, die das Protokoll SSL implementieren muss. 

Da Zertifikatsketten verwendet werden, um das Endbenutzerzertifikat daraufhin zu überprüfen, ob es tatsächlich von einer vertrauenswürdigen Zertifizierungsstelle stammt, enthält jedes Zertifikat in einer Kette eine digitale Signatur, die dem nächsten Zertifikat in der Verknüpfung entspricht, das zum Vertrauensanker-Zertifikat führt. Das Erreichen des Vertrauensanker-Zertifikats bedeutet, dass dem Endbenutzer-Zertifikat vertraut werden kann, da es auf einen von einer CA ausgestellten Vertrauensanker zurückgeführt werden kann. 

Wurzelprogramm

Wie Sie sehen können, ist das Stammzertifikat der wichtigste Teil einer Vertrauenskette, da es zur Validierung eines Endbenutzerzertifikats verwendet wird. A Root-Programm hilft bei der Verwaltung der Stammzertifikate und ihrer öffentlichen Schlüssel auf dem Gerät an einem bestimmten Ort, dem so genannten Stammspeicher.

Der Speicherort und die Implementierung dieses Root-Speichers können je nach Betriebssystem des Geräts oder je nach verwendeter Drittanbieter-App unterschiedlich sein. Einige der beliebtesten Root-Programme werden bereitgestellt von:

  • Microsoft
  • Apfel
  • Google
  • Mozilla


Auch wenn die tatsächliche Umsetzung bei diesen Root-Programmen variieren kann, folgen sie alle einigen strengen Richtlinien und Vorschriften, die von den Basisanforderungen des CA/B-Forums festgelegt wurden. Einige Root-Programme können auch zusätzliche Einschränkungen für die Validierung der Zertifikatsdateien festlegen.

Warum ist ein Root-Zertifikat wichtig?

Ein Wurzelzertifikat ist der kritischste Teil des SSL Protokolls, da jedes Zertifikat, das mit seinem privaten Schlüssel Informationen signiert ist, von allen Browsern ohne weiteres als vertrauenswürdig eingestuft wird. Daher ist besondere Vorsicht geboten, um sicherzustellen, dass eine gültige Zertifizierungsstelle das Stammzertifikat tatsächlich ausstellt. Es ist das Stammzertifikat, das den Vertrauensfaktor schafft, der einer Website Glaubwürdigkeit verleiht.

Eine gültige Zertifizierungsstelle muss mehrere Überprüfungen und Konformitätsverfahren durchlaufen, um als vertrauenswürdig genug für die Ausstellung von Stammzertifikaten eingestuft zu werden. Durch ein Stammzertifikat wird also der Vertrauensanker für eine Zertifizierungsstelle geschaffen, der in direktem Zusammenhang mit den Websites steht, die die von der Zertifizierungsstelle bereitgestellten signierten Sicherheitszertifikate nutzen. 

Warum werden Zwischenzertifikate verwendet?

Während das Stammzertifikat an sich ausreicht, um die Sicherheit von SSL zu gewährleisten, verwenden die meisten CAs in der Praxis Zwischenzertifikate. Der Grund dafür sind die praktischen Aspekte, die mit der Erlangung der für die Ausstellung einer CA erforderlichen Qualifikationen verbunden sind. 

In den meisten Fällen beginnt eine CA mit der Ausstellung von Cross-Zertifikaten. Diese digitalen Zertifikate werden von einer CA ausgestellt, die auf den öffentlichen Schlüssel eines von einer anderen etablierten CA ausgestellten Stammzertifikats verweist. 

Eine Zertifizierungsstelle, die ihre Tätigkeit gerade erst aufgenommen hat, verfügt möglicherweise noch nicht über die erforderlichen Qualifikationen, um ein Stammzertifikat auszustellen. Daher wird sie die Dienste einer anderen, bereits etablierten Zertifizierungsstelle in Anspruch nehmen und deren Zertifikate mit einem gültigen Stammzertifikat verknüpfen, wodurch eine Vertrauenskette entsteht. Ein einzelnes vertrauenswürdiges Stammzertifikat wird mit mehreren anderen Zwischenzertifikaten mit Gegenzertifikaten verknüpft, so dass die Benutzer eine gültige Vertrauenskette für ihre SSL Implementierung erhalten können. 

Sobald die CA die erforderliche Validierung erhält und als vertrauenswürdig eingestuft wird, um ihre eigenen Stammzertifikate auszustellen, wird sie den Vertrauensanker durch ihre eigenen Stammzertifikate ersetzen. Und die entsprechenden Stammzertifikate werden dem Stammzertifikatspeicher hinzugefügt. 

Zwischenzertifikate dienen also dazu, die Lücke zwischen einer Zwischen-CA und einem vertrauenswürdigen Stammzertifikat zu schließen. Sie werden verwendet, um wachsenden CA-Unternehmen die Möglichkeit zu geben, Fuß zu fassen und einen Kundenstamm aufzubauen. Nach ordnungsgemäßer Validierung stellen sie ihre eigenen Stammzertifikate aus und vervollständigen so die Vertrauenskette ohne die Hilfe einer anderen CA. 

Einige weitere Gründe, warum Zwischenzertifikate verwendet werden, sind im Folgenden aufgeführt 

  • Zwischenzertifikate tragen dazu bei, die Anzahl der verwendeten Stammzertifikate zu kontrollieren, und helfen, Sicherheitsrisiken und Betrug zu vermindern. Da immer mehr Benutzer SSL Sites einrichten, steigt die Anzahl der Root-CAs ebenfalls zunehmen. Eine zu große Anzahl von Stammzertifizierungsstellen kann jedoch zu ernsthaften Sicherheitsrisiken führen, die durch Zwischenzertifikate behoben werden sollen. Sie bieten den Stammzertifizierungsstellen die Möglichkeit, einen Teil der Verantwortung für die Ausstellung von Zertifikaten an Zwischenzertifizierungsstellen zu delegieren, indem sie Zwischenzertifikate bereitstellen, die ein Stammzertifikat ersetzen.
  • Zwischenzertifikate können in großer Zahl repliziert werden, ohne dass der Sicherheitsrahmen beeinträchtigt wird, und tragen zum Aufbau der Vertrauenskette bei. 
  • Sie helfen bei der skalierbaren Implementierung des SSL Netzwerks. 


Fast alle vertrauenswürdigen CAs verwenden Zwischenzertifikate, da sie eine zusätzliche Sicherheitsebene darstellen und helfen, Sicherheitsvorfälle angemessen zu behandeln. Im Falle eines Sicherheitsangriffs muss nur das Zwischenzertifikat widerrufen werden, anstatt das Stammzertifikat und alle damit verbundenen Zertifikate, die damit signiert wurden, zu widerrufen.

Indem nur das betreffende Zwischenzertifikat widerrufen wird, ist nur die Gruppe von Zertifikaten betroffen, die sich in derselben Kette wie das Zwischenzertifikat befinden, wodurch die Kosten und Auswirkungen des Sicherheitsvorfalls minimiert werden.

What Makes a Root Certificate Special?

Ein Vertrauensanker oder das Wurzelzertifikat ist ein spezieller Typ von SSL Zertifikat des Formats X.509. Er kann selbst existieren oder auch zur Ausstellung anderer Zwischenzertifikate verwendet werden. Hier sind einige weitere Merkmale einer Root-CA, die sie besonders machen. 

  • Die Lebensdauer einer Root-CA ist viel länger als die eines regulären TLS/SSL Zertifikats. Sie kann bis zu 25 Jahre betragen, verglichen mit der üblichen, auf 1 oder 2 Jahre begrenzten Lebensdauer eines regulären Zertifikats. 
  • Jede vertrauenswürdige CA kann über verschiedene Stammzertifikate verfügen, die sich in ihren Attributen, wie z. B. der verwendeten digitalen Signatur, unterscheiden. Die Zertifikateigenschaften können in den Root-Store-Anwendungen eingesehen werden. 
  • Durch das Stammzertifikat wird ein öffentlicher Schlüssel signiert und andere Zertifikate werden validiert. Lässt sich ein Zwischenzertifikat nicht auf ein Stammzertifikat zurückführen, wird es als ungültig betrachtet. 


Eine CA, die zur Ausstellung von Stammzertifikaten berechtigt ist, muss strenge Vorschriften und Regeln einhalten, um den Status zu erhalten, der sie zur Ausstellung von Stammzertifikaten berechtigt. Eine Root-CA muss sich in zwei bestimmten Bereichen qualifizieren, um zur Ausstellung von Root-Zertifikaten berechtigt zu sein.

Soziales Vertrauen

  • Soziales Vertrauen bezieht sich auf die verschiedenen Prüfungen, Regeln, Vorschriften und die öffentliche Kontrolle, denen sich die zuständige Behörde unterziehen muss, um als vertrauenswürdig zu gelten. Es kann sich auch auf die Markenbildung und das Image der Behörde auf dem Markt beziehen.

 

Technisches Vertrauen

  • Technisches Vertrauen bezieht sich darauf, wie technisch stark und sicher die Stammzertifizierungsstelle in Bezug auf ihre Zertifikatsimplementierungen und Sicherheitsmaßnahmen ist. Nur eine technisch starke CA ist in der Lage, das für ein langfristiges Funktionieren erforderliche soziale Vertrauen zu erlangen. 

How to Know the Difference Between the Root Certificate and an Intermediate Certificate

Ob es sich bei einem Zertifikat um ein Stammzertifikat oder ein Zwischenzertifikat handelt, lässt sich ganz einfach feststellen, indem man sich die Details des Stammzertifikats ansieht. Hier erfahren Sie, wie Sie die Details eines Zertifikats herausfinden können.  

Klicken Sie auf das Zertifikat aus dem Root Store und öffnen Sie es, um die Details anzuzeigen. 

Gehen Sie zum Pfad der Zertifikatsüberprüfung. Sie können die verschiedenen Ebenen des Zertifikatspfads sehen. Sie können auch weitere Details wie die Zertifizierungsstelle, die das Zertifikat ausgestellt hat, die Zertifizierungsstelle, auf die das Zertifikat ausgestellt ist, und die Lebensdauer des Zertifikats erfassen. 

Hier sind die Markierungen, die zeigen, dass ein Zertifikat ein Stammzertifikat ist. 

  • Der Zertifikatspfad enthält nur eine Ebene. 
  • Die Werte issued to und issued by verweisen auf dieselbe CA. 
  • Das Zertifikat hat eine Gültigkeitsdauer von mehr als zwei Jahren. Die Gültigkeit eines Stammzertifikats beträgt in der Regel bis zu 25 Jahre, während Zwischenzertifikate nur etwa ein oder zwei Jahre gültig sind. 


Die Windows Root Store-Anwendung erleichtert die Unterscheidung zwischen den Zertifikaten, da sie diese in verschiedenen Kategorien auflistet. Die Stammzertifikate finden Sie unter "Vertrauenswürdige Stammzertifizierungsstellen" und die Zwischenzertifikate unter "Zwischenzertifizierungsstellen". 

More Implications of the Chained Root System

Obwohl die verkettete Wurzel-Implementierung die am häufigsten verwendete ist, bringt sie auch gewisse Komplikationen bei der Implementierung mit sich.

  • Die Installation von Chained Root kann ein komplexer Prozess sein, da die Zwischenzertifikate auf jeden Server und jede Anwendung geladen werden müssen, die ein Zertifikat in der Kette verwendet. 
  • Verkettete Stammzertifikate sind stark von dem Vertrauensanker abhängig, mit dem sie verkettet sind. Zwischenzertifikate haben keine Kontrolle über das Stammzertifikat. Würde die Stammzertifizierungsstelle ihren Betrieb einstellen, müssten auch die Zwischenzertifizierungsstellen, auf die sie angewiesen sind, mit ihr untergehen. 
  • Eine weitere Komplikation bei der Implementierung von Zwischenzertifikaten ist die Lebensdauer der Zertifikate. Im Allgemeinen haben Stammzertifikate eine vergleichsweise viel längere Lebensdauer von 25 Jahren. Und bei Zwischenzertifikaten muss das Ablaufdatum immer niedriger angesetzt sein als das ihres Vertrauensankers. Dies kann die Installation noch komplizierter machen, denn wenn das Ablaufdatum eines Stammzertifikats bald abläuft, müssen alle Zwischenzertifikate vor diesem Datum ablaufen. 


Zweifellos ist die Verwaltung von Zertifikaten und das Verständnis aller damit verbundenen technischen Aspekte eine Herausforderung. Jetzt nicht mehr. Vertrauen Sie Keyfactor alle Ihre Bedürfnisse in Bezug auf Sicherheitszertifikate an und entspannen Sie sich! Kontaktieren Sie uns noch heute, um mehr zu erfahren.

Have any questions about certificates? Find out how the Keyfactor platform can modernize your PKI, prevent certificate outages, and much more.

Demo anfordern