Stammzertifikat

Ein Stammzertifikat identifiziert eine Zertifizierungsstelle (CA). Mit diesem Stammzertifikat signiert eine CA ein oder mehrere untergeordnete Zertifikate, die die SSL-Zertifikate der Endbenutzer signieren. Ein Webbrowser enthält eine Liste mit Stammzertifikaten von vertrauenswürdigen CAs. Diese Liste kann je nach Browser variieren, in den meisten Fällen hat sie etwa 600 Root-Zertifikate. Als Benutzer können Sie diese Liste manuell ändern, indem Sie Stammzertifikate löschen oder hinzufügen. Im Folgenden ein Auszug aus der Microsoft Management Console:

Stammzertifikat

Browser vertrauen diesen Stammzertifikaten. Daher werden die Zertifikate der Endbenutzer, die vom Zwischenzertifikat (das direkt vom Stammzertifikat signiert wurde) signiert, automatisch als vertrauenswürdig eingestuft. Dies nennen wir eine 'Vertrauenskette' oder eine 'Zertifikatshierarchie'. Das Bild unten zeigt die Hierarchie für das Zertifikat für www.sslcertificaten.nl (Sie können das Zertifikat ansehen, indem Sie darauf doppelklicken, um es zu öffnen).

Zertifikatshierarchie

Für ein korrekt funktionierendes SSL-Zertifikat ist ein gut unterstütztes Stammzertifikat wichtig. Stammzertifikate haben eine lange Lebensdauer von beispielsweise 20 Jahren.

Zuvor war es üblich, dass Stammzertifikate Endbenutzerzertifikate direkt ohne Zwischenzertifikate signierten. Heutzutage verwenden alle CAs ein oder mehrere Zwischenzertifikate. Comodo verwendet für jeden Zertifikatstyp ein anderes Zwischenzertifikat. Da das Stammzertifikat nicht mehr zum signieren verwendet werden muss, muss es nicht online sein - dies macht es weniger anfällig für Missbrauch. Wenn das Stammzertifikat kompromittiert wird, werden alle untergeordneten Zertifikate unbrauchbar. Das erklärt auch, warum eine Zertifizierungsstelle mehrere Zwischenzertifikate verwendet: Wenn ein Zwischenzertifikat kompromittiert wird, wirkt sich dies nicht auf die anderen Zwischenzertifikate aus.

Aufgrund des Übergangs von der SHA-1 zur SHA-2-Verschlüsselung verwenden heutzutage alle CAs SHA-2-Zwischenzertifikate.

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.