Hintergrund: Zertifikate und Zertifizierungsstellen

Das CC-PKI betreibt für die Fraunhofer-Gesellschaft mehrere sogenannte Zertifizierungsstellen aus verschiedenen PKIs (Public Key Infrastrukturen), um die unterschiedlichen benötigten Zertifikatstypen für Fraunhofer zur Verfügung zu stellen.

 

Eine Zertifizierungsstelle stellt digitale Zertifikate für Personen oder Systeme (z. B. Webserver) aus und macht damit eine Zusicherung, zu wem ein bestimmter kryptographischer Schlüssel (sogenannter Public Key) gehört. Zertifizierungsstellen arbeiten nach bestimmten Regeln (beschrieben in einer Zertifizierungsrichtlinie / Certificate Policy bzw. Erklärung zum Zertifizierungsstellenbetrieb / Certification Practice Statement), die besagen, welche Aussagekraft und insbesondere welches Sicherheitsniveau die ausgestellten Zertifikate haben.

 

Jede Zertifizierungsstelle ist einer PKI zugeordnet. Mit PKI ist die zugehörige Infrastruktur und der Teilnehmerkreis gemeint, für den die Zertifizierungsstelle Zertifikate ausstellt. Die PKIs lassen sich jeweils anhand der Zielgruppe und des Sicherheitsniveaus unterscheiden. Eine Zertifizierungsstelle wird auch als Certification Authority (CA) bezeichnet.

 

Grundsätzlich lassen sich Zertifizierungsstellen danach unterscheiden, ob die ausgestellten Zertifikate global anerkannt sind oder nicht. Globale Anerkennung bedeutet, dass die ausgestellten Zertifikate ohne weiteres Zutun in allen gängigen Betriebssystemen und Anwendungen (Browser, E-Mail-Client) akzeptiert und als sicher angezeigt werden. Zertifizierungsstelllen ohne globale Anerkennung sind hingegen nicht per se als vertrauenswürdig in Betriebssystemen und Anwendungen eingestuft, sondern die Entscheidung hierüber wird dem Benutzer überlassen. Bei fehlender Konfiguration werden die Zertifikate zunächst pauschal als ungültig / nicht vertrauenswürdig eingestuft.

 

Fraunhofer verwendet sowohl Zertifikate aus global anerkannten Zertifizierungsstellen, als auch solche, die aus sichereren und vertrauenswürdigen Zertifizierungsstellen ohne globale Anerkennung stammen, und daher zunächst entsprechend im Betriebssystem bzw. den Anwendungen als vertrauenswürdig konfiguriert werden müssen. Dies ist Fraunhofer-weit im Allgemeinen bereits geschehen, im Außenraum aber nicht unbedingt, weshalb es dort gegebenenfalls zu Warnhinweisen kommen kann.