Ein digitales Zertifikat ist eine Möglichkeit, die Identität eines Besitzers eines öffentlichen Schlüssels zu bestätigen. Normalerweise ist eine Drittorganisation, die als CA (Certification Authority) bezeichnet wird, für die Bestätigung oder Bindung der Identität eines Inhabers eines digitalen Zertifikats verantwortlich. Es wird verwendet, um eine sichere Kommunikation zwischen zwei Parteien herzustellen, die einander unbekannt sind oder mangelndes Vertrauen haben. Ein digitales Zertifikat kann sicherstellen, dass die Person, mit der Sie kommunizieren möchten, tatsächlich die Person ist, für die sie sich ausgibt.
Der Hauptgrund für die Verwendung eines digitalen Zertifikats besteht also darin, Vertrauen zwischen zwei Parteien aufzubauen, die sicher kommunizieren möchten.
Wie wird Vertrauen mithilfe eines digitalen Zertifikats aufgebaut?
Wir können die Identität einer unbekannten Person überprüfen, wenn eine bekannte Organisation die Identität dieser Person bestätigt. Im Falle eines digitalen Zertifikats bestätigt die Zertifizierungsstelle oder Zertifizierungsstelle die Identität des Zertifikatsinhabers, in einfachen Worten, eine Zertifizierungsstelle bietet einen Beglaubigungsserver an, um hinreichende Sicherheit zu geben, dass der Inhaber des Zertifikats authentisch ist.
Ein digitales Zertifikat enthält in verschlüsselter Form den öffentlichen Schlüssel des Zertifikatsinhabers.
Praktische Anwendung des digitalen Zertifikats
E-Commerce-Websites verwenden ein digitales Zertifikat, um ihren Käufern zu versichern, dass sie so sind, wie sie es vorgeben.
Basiskomponenten digitaler Zertifikate
Verschlüsselter öffentlicher Schlüssel des Zertifikatsinhabers, Identitätsinformationen des Inhabers.
Erstellung digitaler Zertifikate
Benutzer A möchte beispielsweise sicher mit Benutzer B kommunizieren. Und Benutzer B benötigt ein digitales Zertifikat für die sichere Kommunikation. Zunächst muss Benutzer B ein digitales Zertifikat von einer Zertifizierungsstelle (Certificate Authority) erwerben. Um ein Zertifikat zu erhalten, verwenden Benutzer B den folgenden Prozess:
- Um ein digitales Zertifikat zu erhalten, sendet Benutzer B zum ersten Mal eine Anfrage an RA (Registration Authority). RA ist für die Überprüfung der Identität des Anforderers verantwortlich und stellt kein Zertifikat aus. B kann seinen Führerschein, sein Geschäftsdokument oder andere Identitätsinformationen verwenden, um seine Identität gegenüber der RA nachzuweisen. Sobald die RA mit den Identitätsinformationen von B zufrieden ist, sendet sie im Namen von Benutzer B die Anforderung an die Zertifizierungsstelle, ein digitales Zertifikat auszustellen.
- CS erstellt das digitale Zertifikat unter Verwendung des öffentlichen Schlüssels von B und anderer Identitätsinformationen. Der Standard zum Erstellen dieses Zertifikats ist x.509. Wenn die Zertifizierungsstelle den öffentlichen Schlüssel im Auftrag des Benutzers erstellt hat, muss sie den privaten Schlüssel sicher an B senden.
- Die Zertifizierungsstelle signiert das Zertifikat mit einem eigenen privaten Schlüssel, um die Authentizität, Integrität und Nichtablehnung des digitalen Zertifikats sicherzustellen. Schließlich sendet die Zertifizierungsstelle das Zertifikat an B zurück, mit dem eine sichere Kommunikation hergestellt werden kann.
Die obigen Schritte stellen sicher, dass der Benutzer B über ein digitales Zertifikat verfügt, mit dem ein anderer Benutzer A mit B kommunizieren kann. Um eine Kommunikation zu starten, die das digitale Zertifikat von B verklagt, führt A die folgenden Schritte aus:
- A sendet eine Anforderung für das digitale Zertifikat von B an ein Zertifikatsrepository, das auch als öffentliches Verzeichnis bezeichnet wird und Teil der Zertifizierungsstelle ist.
- Wenn A das Zertifikat von B empfängt, überprüft es es mit Hilfe des Webbrowsers, indem es die digitale Signatur der Zertifizierungsstelle anhand des öffentlichen Schlüssels der Zertifizierungsstelle überprüft. Dann verwendet A den vom Zertifikat bereitgestellten öffentlichen Schlüssel von B, um die Nachricht zu verschlüsseln.
- Wenn B die verschlüsselte Nachricht empfängt, verwendet es seinen eigenen privaten Schlüssel, um die Nachricht zu entschlüsseln. Denken Sie daran, dass niemand außer A diese Nachricht entschlüsseln kann, da der private Schlüssel von A für niemanden freigegeben ist.
Einige bekannte Zertifizierungsstellen:
- VeriSign
- Thawte
- Comodo Limited
- DigiCert
- Network Solutions, LLC
Wie überprüfe ich ein digitales Zertifikat?
Sie verwenden beispielsweise Firefox Mozilla, um eine E-Commerce-Website zu durchsuchen, und möchten ein Produkt kaufen. Wenn Sie zur Checkout-Seite gehen, klicken Sie mit der rechten Maustaste auf diese Seite und wählen Sie „Seiteninformationen anzeigen“.
Klicken Sie anschließend auf die Registerkarte „Sicherheit“ und dann auf „Zertifikat anzeigen“. Überprüfen Sie die „ausgestellt an“ und „ausgestellt von“ und andere nützliche Parameter, die die Website-Adresse und den Namen der Zertifizierungsstelle anzeigen müssen. stellen Sie sicher, dass der Domainname der besuchten Site mit dem Namen des im Zertifikat genannten CN-Namens übereinstimmt. Überprüfen Sie auch die Gültigkeitsdauer dieses Zertifikats.
Wichtige Punkte, an die Sie sich erinnern sollten:
CA: Eine Zertifizierungsstelle unterstützt nur den öffentlichen Schlüssel, dh authentifizieren Sie den Besitzer des Zertifikats, um den Man of the Middle-Angriff zu verhindern.
RA: die Registrierungsstelle überprüft nur die Identität des Benutzers, der ein Zertifikat erhalten möchte. Nach der Überprüfung sendet die RA die Anforderung zur Ausstellung des Zertifikats an die Zertifizierungsstelle. RA kann niemals ein Zertifikat ausstellen, sondern die Validierungslast der Zertifizierungsstelle verringern.
x.509: Es ist ein Standard zum Erstellen eines digitalen Zertifikats, das mehrere Felder enthält, z. B. den Namen des Ausstellers (Name der Zertifizierungsstelle), die Version, die Seriennummer, die digitale Signatur, die Gültigkeitsdauer usw. Die Zertifizierungsstelle verwendet die x.509-Vorlage zum Erstellen eines Zertifikats.