Redirecting you to
Blog-Beitrag Jan. 07, 2021

Was ist ein X.509-Zertifikat und wie funktioniert es?

Ein X.509-Zertifikat ist ein digitales Zertifikat, das auf dem weithin akzeptierten X.509-Standard der Internationalen Fernmeldeunion (ITU) basiert, der das Format von PKI-Zertifikaten (Public Key Infrastructure) definiert. Sie werden für die Verwaltung von Identität und Sicherheit in der Internetkommunikation und in Computernetzwerken verwendet. Sie sind unauffällig und allgegenwärtig, und wir begegnen ihnen jeden Tag bei der Nutzung von Websites, mobilen Anwendungen, Online-Dokumenten und verbundenen Geräten.

Inhaltsverzeichnis

Eine der strukturellen Stärken des X.509-Zertifikats ist die Verwendung eines Schlüsselpaars, das aus einem öffentlichen Schlüssel und einem privaten Schlüssel besteht. In der Kryptografie wird das Paar aus öffentlichem und privatem Schlüssel zum Ver- und Entschlüsseln einer Nachricht verwendet, wodurch sowohl die Identität des Absenders als auch die Sicherheit der Nachricht selbst gewährleistet wird. Der häufigste Anwendungsfall einer X.509-basierten PKI ist die Transport Layer Security (TLS)/Secure Socket Layer (SSL), die die Grundlage des HTTPS-Protokolls bildet, das sicheres Surfen im Internet ermöglicht. Das X.509-Protokoll wird aber auch bei der Code-Signierung für die Anwendungssicherheit, bei digitalen Signaturen und anderen wichtigen Internet-Protokollen eingesetzt.

Versionsgeschichte

Die erste Version des X.509-Standards wurde 1988 veröffentlicht. Um die Regeln für die Ausstellung von Zertifikaten zu formalisieren, entwickelte der Telecommunication Standardization Sector der ITU (ITU-T) ein hierarchisches System für Distinguished Names, das sich an den Regeln für elektronische Verzeichnisdienste für X.500 orientierte und von den Systemen inspiriert wurde, die für die weltweite Zuweisung von Telefonnummern verwendet werden, aber auf die flexibleren organisatorischen Anforderungen des Internets anwendbar sind.

1996 wurde die Version 3 des Standards durch die Hinzufügung mehrerer Erweiterungen, die auch heute noch verwendet werden, um die Ausweitung und neue Anwendungen der Internetnutzung zu unterstützen, umfassend aktualisiert.

Die Version 9 ist die aktuelle Version des Standards und wurde im Oktober 2019 definiert.

Darüber hinaus hat die Arbeitsgruppe für Public-Key-Infrastrukturen der Internet Engineering Task Force (IETF), bekannt als PKIX, den X.509 v3-Zertifikatsstandard bei der Entwicklung ihres eigenen Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile-Standards (RFC 5280) angepasst.

Die Vorteile von X.509-Zertifikaten

Da X.509-Zertifikate den sicheren Nachrichtenaustausch und das Surfen im Internet erleichtern, bietet ihre Verwendung erhebliche Vorteile für Unternehmen.

Vertrauen schaffen

Digitale Zertifikate, auch bekannt als Public-Key-Zertifikate, ermöglichen es Einzelpersonen, Organisationen und sogar Geräten, in der digitalen Welt Vertrauen aufzubauen. Als Grundlage für alle digitalen Identitäten sind X.509-Zertifikate allgegenwärtig und unverzichtbar für jeden verbundenen Prozess, von Websites über Anwendungen bis hin zu Endgeräten und Online-Dokumenten. Ohne diese Zertifikate könnten wir zum Beispiel nicht darauf vertrauen, dass www.amazon.com tatsächlich die Website von Amazon ist.

Dieses Maß an Vertrauen wird sowohl durch die Funktionsweise von X.509-Zertifikaten als auch durch die Art und Weise, wie sie ausgestellt werden, geschaffen. Die Architektur der Schlüsselverwendung ermöglicht es Zertifikaten, dies zu verifizieren:

  1. Ein öffentlicher Schlüssel gehört zu dem Hostnamen/der Domäne, der Organisation oder der Person, die im Zertifikat enthalten ist

  2. Es wurde von einer öffentlich vertrauenswürdigen ausstellenden Zertifizierungsstelle (CA), wie Sectigo, oder selbst signiert.

Wenn ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde, kann der Zertifikatsnutzer darauf vertrauen, dass der Zertifikatsinhaber oder der Hostname/die Domäne validiert wurde, während selbstsignierten Zertifikaten in geringerem Maße vertraut werden kann, da der Inhaber vor der Ausstellung keiner zusätzlichen Validierung unterzogen wird.

Skalierbarkeit ermöglichen

Ein weiterer Vorteil dieses zertifikatsbasierten Ansatzes für die Identität ist die Skalierbarkeit. Die PKI-Architektur ist so skalierbar, dass sie Milliarden von Nachrichten sichern kann, die täglich von Unternehmen über ihre eigenen Netze und über das Internet ausgetauscht werden. Dies wird dadurch ermöglicht, dass öffentliche Schlüssel weit und offen verteilt werden können, ohne dass böswillige Akteure in der Lage sind, den zur Entschlüsselung der Nachricht erforderlichen privaten Schlüssel zu ermitteln.

Wie funktionieren X.509-Zertifikate?

Der X.509-Standard basiert auf einer Schnittstellenbeschreibungssprache, der Abstract Syntax Notation One (ASN.1), die Datenstrukturen definiert, die plattformübergreifend serialisiert und deserialisiert werden können. Das X.509-Zertifikatsformat nutzt ASN und verwendet ein zugehöriges öffentliches und privates Schlüsselpaar, um eine Nachricht zu verschlüsseln und zu entschlüsseln.

Die Grundlage der Public-Key-Infrastruktur

Der öffentliche Schlüssel besteht aus einer Reihe von Zufallszahlen und kann zur Verschlüsselung einer Nachricht verwendet werden. Nur der vorgesehene Empfänger kann diese verschlüsselte Nachricht entschlüsseln und lesen, und sie kann nur mit Hilfe des zugehörigen privaten Schlüssels, der ebenfalls aus einer langen Kette von Zufallszahlen besteht, entschlüsselt und gelesen werden. Dieser private Schlüssel ist geheim und nur dem Empfänger bekannt. Da der öffentliche Schlüssel für die ganze Welt einsehbar ist, werden öffentliche Schlüssel mit Hilfe eines komplexen kryptografischen Algorithmus erstellt, um sie mit einem zugehörigen privaten Schlüssel zu koppeln, indem zufällige Zahlenkombinationen unterschiedlicher Länge erzeugt werden, damit sie nicht durch einen Brute-Force-Angriff ausgenutzt werden können. Die gebräuchlichsten Algorithmen zur Erzeugung öffentlicher Schlüssel sind:

  • Rivest–Shamir–Adleman (RSA)

  • Elliptische Kurven-Kryptographie (ECC)

  • Algorithmus für digitale Unterschriften (DSA)

Die Schlüsselgröße oder Bitlänge der öffentlichen Schlüssel bestimmt die Stärke des Schutzes. So werden beispielsweise 2048-Bit-RSA-Schlüssel häufig in SSL-Zertifikaten, digitalen Signaturen und anderen digitalen Zertifikaten verwendet. Diese Schlüssellänge bietet ausreichend kryptografische Sicherheit, um Hacker davon abzuhalten, den Algorithmus zu knacken. Standardisierungsorganisationen wie das CA/Browser Forum definieren Grundanforderungen für unterstützte Schlüsselgrößen.

Abbildung: X.509-Zertifikate verwenden ein öffentliches und ein privates Schlüsselpaar für die Authentifizierung der Identität und die Sicherheit der Internetkommunikation und der Computernetzwerke.

X.509-Zertifikate arbeiten mit öffentlichen und privaten Schlüsselpaaren für die Identitätsauthentifizierung und sichere Internetkommunikation

X.509 certificates use a related public and private key pair for identity authenticatX.509-Zertifikate verwenden ein öffentliches und ein privates Schlüsselpaar für die Identitätsauthentifizierung und die Sicherheit von Internetkommunikation und Computernetzwerkenion and security for internet communications and computer networking

Felder für die Ausstellung

X.509-Zertifikatsfelder enthalten Informationen über die Identität, auf die das Zertifikat ausgestellt ist, sowie über die Identität der ausstellenden Zertifizierungsstelle. Zu den Standardfeldern gehören:

  • Version - die X.509-Version, die für das Zertifikat gilt

  • Seriennummer - die von der CA vergebene eindeutige Seriennummer, die das Zertifikat von anderen unterscheidet

  • Algorithmusinformationen - der kryptografische Algorithmus, den der Aussteller zum Signieren des Zertifikats verwendet

  • Emittentenname - der Name der CA, die das Zertifikat ausstellt

  • Gültigkeitsdauer des Zertifikats - Datum und Uhrzeit, ab dem das Zertifikat gültig ist und als vertrauenswürdig eingestuft werden kann

  • Subject distinguished name - der Name der Identität, für die das Zertifikat ausgestellt wird

  • Subject Public Key Information - der öffentliche Schlüssel, der mit der Identität verbunden ist

Abbildung: X.509-Zertifikate verwenden ein öffentliches und ein privates Schlüsselpaar zur Identitätsauthentifizierung und zur Sicherheit von Internetkommunikation und Computernetzwerken

Gemeinsame digitale Zertifikatserweiterungen

Zusätzlich zu den Standardinformationsfeldern wurden in der Version 3 von X.509 mehrere Erweiterungen definiert, die darauf abzielen, erweiterte Möglichkeiten für die Nutzung des Internets durch Client-Anwendungen zu unterstützen. Zwei gängige X.509-Zertifikatserweiterungen, die heute verwendet werden, sind Subject Alternative Name und Key Usage.

  • Die Erweiterung Subject Alternative Name ermöglicht es, dass auch andere Identitäten mit dem öffentlichen Schlüssel eines Zertifikats verknüpft werden können. Dazu können andere Domänen, DNS-Namen, E-Mail-Adressen und IP-Adressen gehören. Aufgrund dieser Erweiterung werden von CAs angebotene Zertifikate mit mehreren Domänen häufig als SAN-Zertifikate bezeichnet.

  • Die Schlüsselverwendung schränkt die Verwendung der Schlüssel auf bestimmte Zwecke ein, z. B. „nur zum Signieren“.

Digitale Zertifikate verwenden hierarchische Vertrauensketten

Um das Vertrauen in eine Identität weiter zu festigen, werden oft mehrere digitale Zertifikate kombiniert, um eine hierarchische Vertrauenskette aufzubauen, die eine Reihe von Überprüfungsebenen bietet. Wie bereits erwähnt, muss jedes von einer ausstellenden Zertifizierungsstelle als Teil des X.509-Verifizierungsprozesses signiert werden. Die CA wird benannt und im Stamm des Zertifikats gespeichert. Zusätzliche Zwischenzertifikate können in die Vertrauenskette aufgenommen werden und müssen validiert werden.


Wenn beispielsweise ein Webbrowser-Client das Zertifikat liest, muss er in der Lage sein, dem hierarchischen Pfad der Zertifizierung zu folgen, einschließlich aller Zwischenzertifikate, die für die Validierung erforderlich sind und die rekursiv mit der Stammzertifizierungsstelle verknüpft sind, die im Vertrauensspeicher des Clients aufgeführt ist, was zu einer vollständigen Vertrauenskette führt.
Abbildung: SSL/TLS-Zertifikate kombinieren häufig Zwischenzertifikate von CAs, um eine hierarchische Vertrauenskette zu schaffen.


Zertifikatswiderrufslisten (CRLs)

Der X.509-Standard definiert auch die Verwendung einer Zertifikatswiderrufsliste, in der alle digitalen Zertifikate aufgeführt sind, die von der ausstellenden Zertifizierungsstelle vor dem geplanten Ablaufdatum widerrufen wurden.

Diesen widerrufenen Zertifikaten sollte nicht mehr vertraut werden.

CRLs bieten eine einfache Möglichkeit, Informationen über diese ungültigen Zertifikate zu verbreiten. Ihre Verwendung wird jedoch von beliebten Webbrowsern und -clients zunehmend zugunsten des Online Certificate Status Protocol (OCSP) und des OCSP Stapling vernachlässigt, die vollständige Widerrufsfunktionen bieten.

PKI-Zertifikatskodierung

Ein bemerkenswertes Element, das im X.509-Standard nicht definiert ist, ist die Art und Weise, wie der Zertifikatsinhalt für die Speicherung in Dateien kodiert werden sollte.

Es gibt zwei Kodierungsschemata, die üblicherweise für die Speicherung digitaler Zertifikate in Dateien verwendet werden:

  • Distinguished Encoding Rules (DER) ist am weitesten verbreitet, da das Schema die meisten Datenobjekte anspricht. Mit DER kodierte Zertifikate sind Binärdateien und können von Texteditoren nicht gelesen, aber von Webbrowsern und vielen Client-Anwendungen verarbeitet werden.

  • Privacy Enhanced Mail (PEM) ist ein verschlüsseltes E-Mail-Kodierungsschema, das zur Umwandlung von DER-kodierten Zertifikaten in Textdateien verwendet werden kann.

Allgemeine Anwendungen der X.509-Infrastruktur für öffentliche Schlüssel

Viele Internetprotokolle stützen sich auf X.509, und es gibt viele Anwendungen der PKI-Technologie, die tagtäglich genutzt werden, darunter die Sicherheit von Webservern, digitale Signaturen und das Signieren von Dokumenten sowie digitale Identitäten.

Webserver-Sicherheit mit SSL/TLS-Zertifikaten

PKI ist die Grundlage für die Protokolle Secure Sockets Layer (SSL) und Transport Layer Security (TLS), die die Basis für sichere HTTPS-Browserverbindungen bilden. Ohne SSL-Zertifikate oder TLS zum Aufbau sicherer Verbindungen könnten Cyberkriminelle das Internet oder andere IP-Netzwerke mit einer Vielzahl von Angriffsvektoren, wie z. B. Man-in-the-Middle-Angriffen, ausnutzen, um Nachrichten abzufangen und auf deren Inhalt zuzugreifen.

Digitale Signaturen und Unterzeichnung von Dokumenten

PKI-basierte Zertifikate können nicht nur zur Sicherung von Nachrichten, sondern auch für digitale Signaturen und die Unterzeichnung von Dokumenten verwendet werden.

Digitale Signaturen sind eine spezielle Art der elektronischen Signatur, die PKI nutzt, um die Identität des Unterzeichners und die Integrität der Signatur und des Dokuments zu authentifizieren. Digitale Signaturen können in keiner Weise verändert oder vervielfältigt werden, da die Signatur durch die Generierung eines Hashes erstellt wird, der mit dem privaten Schlüssel des Absenders verschlüsselt wird. Durch diese kryptografische Überprüfung wird die Signatur mathematisch an die ursprüngliche Nachricht gebunden, um sicherzustellen, dass der Absender authentifiziert ist und die Nachricht selbst nicht verändert wurde.

Code signing

Mit Code Signing können Anwendungsentwickler eine zusätzliche Sicherheitsebene schaffen, indem sie Anwendungen, Treiber und Softwareprogramme digital signieren, so dass die Endbenutzer überprüfen können, dass der erhaltene Code nicht von Dritten verändert oder manipuliert wurde. Um zu überprüfen, ob der Code sicher und vertrauenswürdig ist, enthalten diese digitalen Zertifikate die Signatur des Softwareentwicklers, den Firmennamen und einen Zeitstempel.

E-Mail-Zertifikate

S/MIME-Zertifikate validieren E-Mail-Absender und verschlüsseln E-Mail-Inhalte zum Schutz vor immer raffinierteren Social Engineering- und Spear Phishing-Angriffen. Durch die Ver-und Entschlüsselung von E-Mail-Nachrichten und -Anhängen sowie die Überprüfung der Identität stellen S/MIME-E-Mail-Zertifikate sicher, dass die E-Mails authentisch und unverändert sind.

SSH-Schlüssel

SSH-Schlüssel sind eine Form von X.509-Zertifikaten, die eine sichere Zugangsberechtigung für das Secure Shell (SSH)-Protokoll darstellen. Da das SSH-Protokoll für die Kommunikation in Cloud-Diensten, Netzwerkumgebungen, Dateiübertragungs-Tools und Konfigurationsmanagement-Tools weit verbreitet ist, verwenden die meisten Unternehmen SSH-Schlüssel, um die Identität zu authentifizieren und diese Dienste vor unbeabsichtigter Nutzung oder bösartigen Angriffen zu schützen. Diese Schlüssel verbessern nicht nur die Sicherheit, sondern ermöglichen auch die Automatisierung von verbundenen Prozessen, Single Sign-On (SSO) sowie Identitäts- und Zugriffsmanagement in dem Umfang, den heutige Unternehmen benötigen.

Digitale Identitäten

Digitale X.509-Zertifikate bieten auch eine effektive Authentifizierung digitaler Identitäten. Da sich Daten und Anwendungen über herkömmliche Netzwerke hinaus auf mobile Geräte, öffentliche und private Clouds sowie Geräte des Internets der Dinge ausweiten, wird die Sicherung von Identitäten wichtiger denn je. Und digitale Identitäten müssen nicht auf Geräte beschränkt sein; sie können auch zur Authentifizierung von Personen, Daten oder Anwendungen verwendet werden. Digitale Identitätszertifikate, die auf diesem Standard basieren, ermöglichen es Unternehmen, die Sicherheit zu verbessern, indem sie Passwörter ersetzen, die von Angreifern immer geschickter gestohlen werden können.

Wie erhalte ich ein X.509-Zertifikat?

Eine wichtige Komponente beim Einsatz von X.509-Zertifikaten ist eine vertrauenswürdige Zertifizierungsstelle oder ein vertrauenswürdiger Agent, der Zertifikate ausstellt und die öffentlichen Schlüssel veröffentlicht, die mit den privaten Schlüsseln der Personen verknüpft sind. Ohne diese vertrauenswürdige Zertifizierungsstelle wäre es für Absender unmöglich zu wissen, dass sie tatsächlich den richtigen öffentlichen Schlüssel verwenden, der mit dem privaten Schlüssel des Empfängers verknüpft ist, und nicht den Schlüssel eines böswilligen Akteurs, der beabsichtigt, vertrauliche Informationen abzufangen und für schändliche Zwecke zu verwenden.

Vertrauenswürdige Zertifizierungsstellen von Drittanbietern wie Sectigo fungieren als Zertifizierungsstellen, aber viele Unternehmen und Technologieanbieter entscheiden sich auch dafür, als ihre eigene Zertifizierungsstelle zu fungieren. Sie können sich auch für die Verwendung selbst signierter Zertifikate entscheiden. In jedem Fall muss der Zertifizierungsstelle vertraut werden, dass sie die Identität aller Absender, deren öffentliche Schlüssel sie veröffentlicht, überprüft und für sie bürgt, dass diese öffentlichen Schlüssel tatsächlich mit den privaten Schlüsseln der Absender verknüpft sind und dass sie die Informationssicherheit innerhalb ihrer eigenen Organisation sicherstellt, um böswillige Angriffe abzuwehren.

Verwaltung von X.509-Zertifikaten

Einer der kritischsten Aspekte von x.509-Zertifikaten ist die effektive Verwaltung dieser Zertifikate in großem Maßstab mithilfe von Automatisierung. Ohne gute Mitarbeiter, Prozesse und Technologien setzen sich Unternehmen dem Risiko von Sicherheitsverletzungen, Ausfällen, Markenschäden und Ausfällen kritischer Infrastrukturen aus.

Entdecken Sie, wie Sie mit Sectigo Certificate Manager (SCM) Pro die Lebenszyklen öffentlicher und privater digitaler Zertifikate einfach verwalten können. Wir bieten auch eine SCM-Unternehmenslösung an, mit der Sie alle menschlichen und maschinellen Identitäten im gesamten Unternehmen von einer einzigen Plattform aus schützen können.