Tipp: Weitere Informationen zur digitalen Signatur finden Sie in unserem Ratgeber zu diesem Thema.
Was ist eine Zertifizierungsstelle (Certificate Authority)?
Manche elektronischen Signaturen brauchen digitale Zertifikate, um rechtsgültig zu sein. Eine Zertifizierungsstelle (Certificate Authority, CA), oft auch Certificate Services Provider (CSP) oder Trust Service Provider (TSP) genannt, stellt solche digitalen Zertifikate aus. Doch welche Zertifizierungsstellen gibt es? Welche digitalen Zertifikate stellen sie aus? Und welche Voraussetzungen müssen sie dafür erfüllen? Diese und weitere Antworten rund um Zertifizierungsstellen finden Sie in diesem Artikel.
Definition: Zertifizierungsstelle für digitale Zertifikate
Eine Zertifizierungsstelle, engl. Certificate Authority (CA) ist eine vertrauenswürdige Organisation, die auf Basis der Public-Key-Infrastruktur (PKI) digitale Zertifikate ausstellt und sie Personen, Organisationen oder Objekten zum Identitätsabgleich zuordnet. Sobald die Zertifizierungsstelle die Identität eines Antragstellers überprüft hat, generiert sie ein digitales Zertifikat, das sie mit ihrer privaten Schlüsseldatei (Private Key) digital signiert.
Definition: Zertifizierungsstelle für Zeitstempeldienste
Eine Zertifizierungsstelle kann neben digitalen Zertifikaten und anderen Vertrauensdiensten auch Zeitstempeldienste anbieten. Ein Zeitstempel stellt sicher, dass eine elektronische Signatur zu dem Zeitpunkt geleistet wurde, zu dem das digitale Zertifikat gültig war. Bei einer qualifizierten elektronischen Signatur (QES) ist dieser Zeitstempel in einigen Ländern, unter anderem in der Schweiz, gesetzlich vorgeschrieben.
Wozu dient eine Zertifizierungsstelle für digitale Zertifikate?
Zertifizierungsstellen sind anerkannte und vertrauenswürdige Instanzen, die digitale Zertifikate erstellen und auf Authentizität überprüfen. Sie zeichnen außerdem alle Aktivitäten im Zusammenhang mit der Erstellung und Prüfung von digitalen Zertifikaten auf. Zudem verwalten und veröffentlichen sie Zertifikatssperrlisten und bieten Zeitstempeldienste an.
Digitale Zertifikate sind ein Identitätsnachweis. Sie sind vergleichbar mit einem Personalausweis in der nicht-digitalen Welt. Die Erstellung und Überprüfung von digitalen Zertifikaten findet unter den höchsten Sicherheitsvorgaben statt. Zertifizierungsstellen sind also Vertrauensdienste-Anbieter, die staatlich anerkannt sind und regelmäßig überprüft werden.
Wie funktioniert eine Zertifizierungsstelle?
Eine Zertifizierungsstelle vergibt digitale Zertifikate, damit Personen, Organisationen oder Objekte eine digitale Signatur erstellen können. Digitale Zertifikate werden mit Hilfe eines mathematischen Verschlüsselungsverfahrens (auch Public-Key-Verfahren genannt) erstellt.
Was ist ein Public Key und ein Private Key?
Das digitale Zertifikat ist ein Datensatz, der aus verschiedenen Informationen besteht, u. a. dem Namen und dem öffentlichen Schlüssel des Zertifikatsinhabers.
Der private Schlüssel ist nur der Person, Organisation oder dem Objekt (Webseite) bekannt und dient zur Erstellung der digitalen Signatur.
Was ist eine Vertrauenskette?
Die Zusammensetzung und Hierarchie innerhalb eines digitalen Zertifikats wird Vertrauenskette genannt. Die Vertrauenskette besteht aus den folgenden Teilen:
- Stammzertifikat der Zertifizierungsstelle
- mindestens einem Zwischenzertifikat, das als Isolierung zwischen Stammzertifikat und erstelltem Zertifikat (End-Entity-Zertifikat) dient
- erstelltes Zertifikat (End-Entity-Zertifikat), das zur Identitätsüberprüfung der Person, Organisation oder des Objekts genutzt wird
Was ist ein Stammzertifikat?
Um die Vertrauenskette herzustellen, unterschreibt die Zertifizierungsstelle ein Stammzertifikat, auch Wurzelzertifikat oder Root-Zertifikat genannt. Mit dem Stammzertifikat validiert die Zertifizierungsstelle alle Zertifikate, die sie ausstellt.
Was sind Certificate Policy (CP) und Certification Practice Statement (CPS)?
Eine Certificate Policy (Zertifikatsrichtlinie, CP) und die Certificate Practice Statement (Aussage über die Zertifizierungspraktiken, CPS) sind bei der Zertifizierungsstelle öffentlich einsehbare Dokumente, die beschreiben, wie die jeweilige Zertifizierungsstelle bei der Erstellung von Zertifikaten vorgeht. Die CP/CPS einer jeden Zertifizierungsstelle basieren auf den gesetzlich geregelten Verordnungen für Zertifizierungsdienste, ZertES in der Schweiz und eIDAS in der EU.
Welche Zertifizierungsstellen gibt es?
Weltweit gibt es zahlreiche Zertifizierungsstellen für verschiedene digitale Zertifikate. Je nach Anwendung eines Zertifikats kann der ausstellende Anbieter ein anderer sein. In der EU und in der Schweiz unterliegen diese Vertrauensdienste-Anbieter bestimmten gesetzlichen Regelungen.
Welche digitalen Zertifikate gibt es?
Alle digitalen Zertifikate dienen dem Zweck, die Identität von natürlichen oder juristischen Personen, also auch von Organisationen und Institutionen, oder von Objekten wie zum Beispiel einer Webseite nachzuweisen. Ein digitales Zertifikat von einer Zertifizierungsstelle ist somit der Personalausweis in der digitalen Welt.
Digitale Zertifikate werden beispielsweise eingesetzt bei:
- E-Mail-Signaturen: Das digitale Zertifikat in einer E-Mail gewährleistet die sichere Übertragung an den Empfänger und bestätigt, dass die E-Mail tatsächlich von dem angezeigten Absender stammt.
- Digitalen Signaturen: Bei einer digitalen Signatur, wie zum Beispiel der qualifizierten elektronischen Signatur (QES), bestätigt das digitale Zertifikat die Identität der unterzeichnenden Person oder des unterzeichnenden Unternehmens.
- Sicheren Webseiten (HTTPS): Webseiten nutzen das SSL-/TLS-Verschlüsselungsprotokoll, um ihre Daten sicher zu übertragen. Dieses digitale Zertifikat garantiert hier, dass der angezeigte Inhalt wirklich von der aufgerufenen Webseite stammt.
Welche Arten von Zertifizierungsstellen gibt es?
Für die verschiedenen digitalen Zertifikate gibt es unterschiedliche Zertifizierungsstellen:
- Stelle, die SSL-/TLS-Zertifikate für Webseiten ausstellt
- Zertifizierungsstelle für digitale Signaturen, die zur Identitätsprüfung von Personen oder Unternehmen dienen
- Vertrauensdienste-Anbieter, die qualifizierte Zertifikate ausstellen, die in der EU an die eIDAS-Verordnung angelehnt sind und zum Beispiel für die qualifizierte elektronische Signatur (QES) genutzt werden
- Zertifizierungsstelle für Zeitstempeldienste
Was sind akkreditierte Zertifizierungsstellen für qualifizierte E-Signaturen?
Akkreditierte Zertifizierungsstellen sind Vertrauensdienste-Anbieter, die vom Gesetzgeber als vertrauenswürdig eingestuft sind und qualifizierte Zertifikate ausstellen dürfen. Qualifizierte Zertifikate werden zum Beispiel bei der qualifizierten elektronischen Signatur (QES) eingesetzt.
Hier finden Sie jeweils die ausführliche Liste für die EU und die Liste für die Schweiz.
Welche Voraussetzungen muss eine Zertifizierungsstelle erfüllen?
Damit die qualifizierten Zertifikate einer Zertifizierungsstelle als vertrauenswürdig anerkannt werden, muss sich der Vertrauensdienste-Anbieter an die dafür geltenden Gesetze und technischen und administrativen Vorschriften halten.
Unterschreibt eine Person ein Dokument mit der qualifizierten elektronischen Signatur (QES), muss diese sicher sein und die Identität der Person nachweisen können. Denn die QES ist der persönlichen Unterschrift gleichgesetzt und hat die höchste Beweiskraft im Streitfall.
Somit muss ein qualifiziertes Zertifikat nach einem höheren Sicherheitsstandard erstellt werden. Diese Standards sind im Gesetz verankert, und zwar gilt in der EU die eIDAS-Verordnung und in der Schweiz das ZertES.
Beispiel: Zertifizierungsstelle für elektronische Signaturen
Swisscom ist ein Anbieter für Mobilfunk und Internet. Durch die Expertise in diesem Bereich beschäftigt sich Swisscom mit Cyber Security, also der Sicherheit im Internet. In diesem Zuge bietet Swisscom auch verschiedene digitale Zertifikate an, unter anderem auch für elektronische Signaturen (mehr zur elektronischen Signatur mit Swisscom-Zertifikat).
Wenn also eine Person oder Organisation Verträge oder andere Dokumente elektronisch signieren statt handschriftlich unterschreiben möchte, erhält sie bei Swisscom ein digitales Zertifikat, nach entsprechender Identitätsprüfung.
Personen oder Organisationen können noch einfacher eine digitale Signatur mit Zertifikat erstellen, indem sie einen E-Signatur-Anbieter auswählen, der diese Identitätsprüfung in seinen Service integriert hat, wie zum Beispiel Skribble.
Beispiel: Zertifizierungsstelle für SSL-Zertifikate
SSL-/TLS-Zertifikate sind digitale Zertifikate für die Sicherung von Webseiten. Je nach Fokus bieten die Zertifizierungsstellen aber auch andere digitale Zertifikate an.
Wenn Webseiten-Besitzer also ihre Webseiten nach den aktuellen Standards sichern möchten, kaufen sie sich digitale Zertifikate bei diesen Anbietern.
Dies geht in vielen Fällen über den eigenen Website-Hosting-Provider oder direkt bei einer Zertifizierungsstelle.
Zertifizierungsstelle: Schafft Vertrauen in der digitalen Welt
Möchte eine Organisation eine Zertifizierungsstelle (Certificate Authority) sein, muss sie gesetzliche Vorgaben erfüllen und wird auf ihre Vertrauenswürdigkeit geprüft. In der EU gilt zum Beispiel die eIDAS-Verordnung. Die eIDAS-Verordnung ist die rechtliche Grundlage für Vertrauensdienste und die elektronische Identifizierung. Somit ist per Gesetz festgelegt, welche Voraussetzungen eine Zertifizierungsstelle erfüllen muss, um digitale Zertifikate für beispielsweise elektronische Signaturen oder auch elektronische Siegel usw. vergeben zu dürfen.
Jetzt mit Skribble signieren! In wenigen Klicks zur ersten E-Signatur
Häufige Fragen
Die Root Certificate Authority ist in der Hierarchie der digitalen Zertifikate die höchste Ebene und dient als Vertrauensanker. Eine Root-CA ist also die Wurzel eines Zertifikats und macht ein digitales Zertifikat vertrauenswürdig und authentisch.