Zertifikatsdienstleister (CSP)

Ein Zertifikatsdienstleister (Certificate Service Provider CSP) bietet Dienstleistungen im Bereich der Zertifikatsausstellung und elektronischen Signaturen an, wo er als vertrauenswürdiger Dritter fungiert. Der CSP stellt sicher, dass Zertifikatanforderungen überprüft, Zertifikate ausgestellt, gefälschte Zertifikate widerrufen und Informationen zu gesperrten Zertifikaten veröffentlicht werden.

Vertrauenswürdiger Drittanbieter (TTP)

Ein CSP ist ein Beispiel für einen vertrauenswürdigen Dritten oder eine Trusted Third Party (TTP). Eine TTP ermöglicht die Zusammenarbeit zwischen zwei Parteien, die einander unbekannt sind, wo diese Parteien dem Urteil der TTP vertrauen. Auf diese Weise spielt ein TTP eine zentrale Rolle in der Public Key Infrastruktur, indem es die Zuverlässigkeit der unbekannten Parteien garantiert.

Zertifizierungsstelle (CA)

Eine Zertifizierungsstelle (auch Certificate Authority oder CA genannt) stellt digitale Zertifikate an andere Parteien aus. Dabei bestätigt die CA, dass das Zertifikat zu der Person, Organisation, Server oder Einheit gehört, die im Zertifikat eingetragen ist. Dies geschieht durch die Verwendung eines eigenen (Root-) Zertifikats, um den öffentlichen Schlüssel zu unterzeichnen. Wichtig ist hierbei, dass der Benutzer sowohl die Signatur der Zertifizierungsstelle kontrollieren kann als auch die Tatsache, dass die CA den Besitzer des Zertifikats überprüft.

Die Stammzertifikate dieser CA's sind standardmäßig in allen gängigen Browsern enthalten. Diese Zertifikate stellen sicher, dass Webseiten, die über ein SSL Zertifikat verfügen die mit den Rootzertifikaten verbunden sind, automatisch von Standard-Browsern vertraut werden.

Modell des Vertrauens

Ein CA verwendet ein selbst signiertes Stammzertifikat welches verwendet werden kann, um mehrere Stamm- und Zwischenzertifikate auszustellen. In der daraus resultierenden Baumstruktur der Zertifikate genießen alle Zwischenzertifikate das gleiche Vertrauen wie die Stamm CA. Mit ihrer Stamm CA kann ein CA ein oder mehrere Zwischenzertifikate signieren, was wiederum dem CA erlaubt, andere Zertifikate zu signieren (für Endbenutzer). Die Unterzeichnung durch ein CA kann als eine notariell beglaubigte Identifikationserklärung angesehen werden, da die CSP als TTP in der PKI-Infrastruktur fungiert. Im Falle von SSL vertrauen die Webbrowser den CA Stammzertifikaten und dabei alle Zwischenzertifikate, die zu diesen Stammzertifikaten gehören. Dies spiegelt die Bedeutung einer vertrauenswürdigen Stamm CA und die Konsequenzen wider, wenn das Stammzertifikat in die falschen Hände fällt.

Arten von CSP

Es ist möglich, dass Institutionen oder Regierungen als CSP fungieren oder ihre eigenen Zertifizierungsstellen verwalten können. Darüber hinaus ist es möglich, dass kommerzielle CSPs Zertifikate an Dritte verkaufen. Xolphin ist ein Beispiel für ein CSP und verkauft die folgenden kommerziellen CA Marken:

Das linke Bild zeigt die Marktanteile von SSL Anbieter in den Niederlanden; Das rechte Bild die Marktanteile von EV (Extended Validation) Zertifikate pro Lieferant in den Niederlanden (Stand Mitte 2012). Auffällig ist, dass die EV Zertifikate von Symantec, im Vergleich zu dem Gesamtanteil von Symantec, sehr gut repräsentiert sind. Allerdings haben Symantec EV Zertifikate, die ursprünglich die häufigste EV SSL Zertifikat darstellten, im Jahr 2012 Marktanteile verloren. Dies geschah zum Vorteil von EV Zertifikate von GeoTrust und Comodo, wobei Comodo den stärksten Anstieg zu verzeichnen hatte. Diese Verschiebung im Jahr 2012 kann zurückgeführt werden auf den Übergang von VeriSign zu Symantec und dem erhöhten Preisbewusstsein der SSL Kunden.

Marktanteile

Registrierungsstelle (RA)

Eine RA ist für die Bearbeitung von Zertifikatsanträgen und die Validierung der Identität der Bewerber zuständig. Zertifikate können ausgegeben werden, nachdem diese Validierung erfolgreich abgeschlossen wurde. Die meisten CSPs sind sowohl CA als auch RA, aber es ist möglich, die RA-Funktion (teilweise) an Dritte auszulagern. Xolphin ist ein Beispiel für einen solchen Dritten und fungiert als Registrierungsstelle.

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.