Was sind Zertifikate?

Digitale Zertifikate dienen dazu, Namen (und andere Eigenschaften) mit Entitäten (Personen oder Computern) zu verknüpfen. In dieser Funktion ähneln Sie Ausweisen, und müssen deshalb gewisse Anforderungen in Bezug auf die "Echtheit" erfüllen.

Digitale Zertifikate sind für alle praktischen Belange eng mit den privaten Schlüsseln (auch: geheime Schlüssel, private keys; stellen Sie sich der Einfachheit halber den geheimen Schlüssel als Passwort mit ca. 500 Zeichen Länge vor) verknüpft: ein Zertifikat besagt zum Beispiel: "Die CAU beglaubigt zum Tag X, dass Frau Mustermann existiert, am Institut Y arbeitet, die Mailadresse mustermann@y.uni-kiel.de hat, und den Besitz eines gewissen privaten Schlüssels mit (öffentlichem) Gegenpart z nachgewiesen hat; diese Bescheinigung gilt ab Tag X für 3 Jahre."

Geschickte mathematische Methoden ermöglichen dann insbesondere zwei Dinge: Sie können mit dem "Gegenpart z" (bekannt als öffentlicher Schlüssel, public key) einen Text, zum Beispiel eine eMail, oder ihre Überweisung im Onlinebanking, so verschlüsseln, dass der geheime private Schlüssel notwendig ist, um sie zu lesen; außerdem können Sie mit Ihrem geheimen privaten Schlüssel einen Text so unterschreiben, dass jeder, der den öffentlichen Gegenpart z kennt, nachprüfen kann, dass der Text, die Unterschrift und der Schlüssel "zusammenpassen". Eine digitale Unterschrift bezeugt also auch den Text selbst, es gibt keine "Blankounterschriften".

Sie erkennen, wie zentral die Rolle des privaten Schlüssels bei diesen Verfahren ist – im Gegensatz zu Ausweisen, bei denen man dem Foto einigermaßen ähnlich sehen muss, ist jeder, der im Besitz des privaten Schlüssels ist, un-unterscheidbar vom rechtmäßigen Besitzer. Dementsprechend werden Sie beim Erhalt so eines Zertifkates verpflichtet, den privaten Schlüssel vor Dritten geheimzuhalten und jeden möglichen Verlust, Diebstahl, Kopie umgehend zu melden, damit das Zertifikat widerrufen und somit nutzlos wird.

Andersherum ist das Zertifikat selbst nicht geheim: jede von Ihnen unterschriebene Mail enthält diese Information, und neu ausgestellte Zertifikate werden in öffentlichen Listen bekanntgegeben. Dies dient einerseits dazu, Ihnen direkt verschlüsselte Mails schicken zu können, denn dazu benötigt man den "Gegenpart z" aus dem Zertifikat; anderseits ist es zum Beispiel für die CAU von höchstem Interesse, wenn irgendjemand anders sich von irgendjemandem bescheinigen ließe, dass er die Webadresse "www.uni-kiel.de" besäße.

Denn ebenso wie bei Ausweisen ist die Echtheit von Zertifikaten nur relativ zu sehen: Sie vertrauen "meinem Ausweis", weil Sie daran glauben, dass niemand außer "der Passbehörde" glaubhafte Ausweise ausstellen kann (Ausweise sind schwer zu fälschen) und "die Passbehörde" nur wahrheitsgemäße Ausweise ausstellt (Der Aussteller ist vertrauenswürdig).

Im weltumspannenden Internet gibt es keine verbindliche "Passbehörde", sondern einen groben Konsens von Browser- und Betriebssystemherstellern, solchen "Passbehörden" (Certificate Authorities, CAs) zu vertrauen, die sich den Regeln eines Dachverbandes (CA/Browser Forum) unterwerfen. Diese Passbehörden können wiederum ihr Geschäft an Dritte weiterdelegieren; jede CA kann im Prinzip jeden Namen und jede Webadresse beglaubigen. (Am Beispiel der CAU heißt dies: wir sind bis Mitte 2019 im Grundsatz eine eigenständige CA. Die Vertrauenswürdigkeit unserer Zertifikate wird uns von der DFN-PKI beglaubigt. Die Vertrauenswürdigkeit der Bestätigung durch die DFN-PKI wird ihr durch T-Systems, eine Tochterfirma der Deutschen Telekom beglaubigt. Betriebssystem- und Browserhersteller vertrauen allen von T-Systems direkt oder indirekt autorisierten Zertifikaten. Seit Mitte 2019 werden wir an der CAU Zertifikate direkt als Kunden der DFN-PKI beantragen, sind dann also keine eigenständige "Passbehörde" mehr. Auch vorher war es schon so, dass wir, wie die meisten deutschen Hochschulen, unseren CA-Betrieb komplett an die DFN-PKI zurückausgelagert hatten.) Seit Ende 2021 werden neue Zertifikate über die neue Verbindung zu Geant TCS ausgestellt. Die Vertrauenswürdigkeit der Zertifikate wird durch den Dienstleister Sectigo mit der Wurzelzertifikat von UserTRUST in den Browsern und den Betriebssystemen hergestellt.

Es werden drei verschiedenen Stufen einer digitalen Signatur unterschieden, eine einfache elektronische Signatur, fortgeschrittene elektronisch Signatur und qualifizierte elektronische Signatur. Es handelt sich bei den herausgegebenen persönlichen Zertifikaten um eine fortgeschrittene elektronisch Signatur für E-Mails. Die Ausgabe von höherwertigen Zertifikaten z.B. für die Signatur von PDF-Dokumenten erfordert einen deutlich höheren Aufwand auf beiden Seiten und erfordert eine persönliche Beratung.