Root- und Zwischenzertifikate – Was ist der Unterschied?

Zuletzt aktualisiert am von Dionisie Gitlan
Root and Intermediate Certificates

Auf den ersten Blick scheint ein SSL-Zertifikat einfach zu sein. Sie installieren es auf Ihrem Server, um die sensiblen Daten Ihrer Besucher zu schützen, und es funktioniert einwandfrei bis zum Ablaufdatum. Die meisten Web-Besitzer befassen sich nur selten mit den technischen Aspekten von SSL/TLS.

Sie überlassen die Konfiguration und Erneuerung der Zertifikate den Fachleuten. Vielen wird der Unterschied zwischen Stammzertifikaten und Zwischenzertifikaten egal sein, aber wenn Sie Ihr Zertifikat selbst installieren wollen, sollten Sie den Mechanismus dahinter kennen.

Inhaltsübersicht

  1. Stamm-, Zwischen- und Serverzertifikate
  2. Wurzel-Programme und Wurzel-Speicher
  3. Infrastruktur für öffentliche Schlüssel
  4. Digitale Signaturen
  5. Was ist die SSL-Vertrauenskette?
  6. Was ist ein Root-SSL-Zertifikat?
  7. Was ist ein SSL-Zwischenzertifikat?
  8. Was ist ein Server-SSL-Zertifikat?
  9. Was ist der Unterschied zwischen einem Stammzertifikat und einem Zwischenzertifikat?
  10. Wie kann man feststellen, ob ein Zertifikat ein Stamm- oder Zwischenzertifikat ist?

Stamm-, Zwischen- und Serverzertifikate

Benutzer ohne Vorkenntnisse, die es vorziehen, ein SSL-Zertifikat selbst zu installieren, werden eine Überraschung erleben. In dem Moment, in dem sie den ZIP-Archivordner öffnen, den die Zertifizierungsstelle (CA) per E-Mail geschickt hat, entdecken sie nicht eine, sondern mehrere SSL-Dateien.

Das eine ist das Serverzertifikat, das für Ihre Domäne ausgestellt wurde, das andere ist das Zwischenzertifikat, und schließlich gibt es noch das Stammzertifikat. Das Zwischenzertifikat verbindet Ihr Serverzertifikat mit dem Stammzertifikat. Zusammen bilden sie die SSL-Vertrauenskette. Fehlt eine Komponente in der Kette, trauen die Browser dem SSL-Zertifikat des Servers nicht und geben eine HTTPS-Warnung aus.

Moment, was? Serverzertifikate, Zwischenzertifikate, Stammzertifikate, Vertrauenskette – das ist alles ein bisschen zu viel für Anfänger. In diesem Artikel erklären wir Ihnen den Unterschied zwischen Stammzertifikaten und Zwischenzertifikaten und warum sie für die Funktionsweise von SSL/TLS so wichtig sind. Doch zunächst ein paar Worte zu der Struktur, die sie alle zusammenhält.

Wurzel-Programme und Wurzel-Speicher

Das Root-Zertifikat ist ein entscheidendes Element der gesamten SSL/TLS-Architektur, da es das Endbenutzerzertifikat validiert und alles in Ordnung hält. Das Hacken eines Root-Zertifikats ist das schlimmste Szenario, da es alle Zwischen- und Serverzertifikate gefährdet.

Um Root-Zertifikate und ihre öffentlichen Schlüssel effizienter und sicherer zu verwalten, haben die führenden Technologieunternehmen Root-Programme entwickelt, die nicht nur strengen Richtlinien und Vorschriften folgen, sondern auch einen Root-Speicher enthalten.

Der Root-Speicher umfasst vorab heruntergeladene Root-Zertifikate (und ihre öffentlichen Schlüssel), die im Betriebssystem des Geräts oder in Software von Drittanbietern wie Webbrowsern verbleiben. Hier sind ein paar Beispiele für beliebte Root-Programme.

  • Apfel
  • Google
  • Mozilla
  • Microsoft

Auch wenn nicht alle Root-Programme die gleichen Anforderungen stellen, halten sie sich doch strikt an die Grundanforderungen des CA/B-Forums.

Infrastruktur für öffentliche Schlüssel

Die Public Key Infrastructure (PKI) ist die Grundlage der SSL-Branche, da sie die komplizierten Prozesse hinter der Ausstellung von Zertifikaten und der Benutzervalidierung ausführt. Öffentliche und private Schlüssel arbeiten zusammen, um sensible Daten über ein Netzwerk zu ver- und entschlüsseln.

Die SSL-Zertifikate enthalten den öffentlichen Schlüssel, während der Ursprungsserver über den privaten Schlüssel verfügt. Wenn Browser versuchen, eine Verbindung zu Servern herzustellen, verwendet der SSL-Handshake die Kryptographie mit öffentlichen Schlüsseln, um den Ursprungsserver zu identifizieren und Daten auszutauschen. Wenn das SSL-Zertifikat der Website nicht gültig ist, ist die Verbindung nicht sicher. Erfahren Sie mehr über SSL-Zertifikate und wie sie funktionieren.

Digitale Signaturen

Digitale Signaturen sind fortgeschrittene elektronische Signaturen, die eine Identitätsprüfung über einen Schlüssel oder ein Zertifikat erfordern. Im Zusammenhang mit SSL können Sie sich diese als digitale Zertifizierung vorstellen.

Wie Sie im Diagramm der SSL-Vertrauenskette sehen, signiert ein Stammzertifikat ein Zwischenzertifikat digital und gibt einen Teil seines Vertrauens an das Zwischenzertifikat weiter. Letztere ist automatisch vertrauenswürdig, da die Signatur direkt von der Wurzel stammt.

Ein Browser verwendet den öffentlichen Schlüssel, um digitale Signaturen zu überprüfen und das Serverzertifikat (Endbenutzerzertifikat) zu authentifizieren. Er prüft jedes Zertifikat innerhalb der SSL-Vertrauenskette bis hin zum endgültigen Root-Zertifikat, das im Root-Store des Browsers vorinstalliert ist. Wenn der Browser alle Kettenzertifikate erkennen kann, wird er Ihrem SSL-Zertifikat nicht trauen.

Was ist die SSL-Vertrauenskette?

Kommen wir noch einmal auf die Vertrauenskette zurück und betrachten wir das Gesamtbild. Die SSL-Vertrauenskette ist eine geordnete Liste von Zertifikaten, mit deren Hilfe der Empfänger (ein Webbrowser) überprüfen kann, ob der Absender (Ihr sicherer Server) und die Zertifizierungsstelle zuverlässig sind.

Die folgende Abbildung veranschaulicht, wie die Vertrauenskette funktioniert:

Bildnachweis: Yanpas – CC BY-SA 4.0

Sie können die Vertrauenswürdigkeit der SSL-Kette auch überprüfen, indem Sie auf das Vorhängeschloss einer beliebigen Website klicken und die Registerkarte Zertifizierungspfad auswählen. Wenn Sie sich den Zertifizierungspfad von SSL Dragon ansehen, sehen Sie von oben nach unten das Stammzertifikat, das Zwischenzertifikat und das Serverzertifikat (SSL Dragon verwendet ein Cloudflare SSL-Zertifikat als Teil des CDN-Service).

Nachdem Sie nun die Vertrauenskette kennen, wollen wir die einzelnen Elemente unter die Lupe nehmen.

Was ist ein Root-SSL-Zertifikat?

Ein Root-SSL-Zertifikat steht an der Spitze der Vertrauenshierarchie und ist das Rückgrat der Public Key Infrastructure. Root-SSL-Zertifikate werden von vertrauenswürdigen Zertifizierungsstellen unterzeichnet. Wer entscheidet, welche CA vertrauenswürdig ist? Kurz gesagt, Browser und Anwendungen, weil sie einen Root Store in ihrem Installationspaket enthalten.

Ein Root-Store ist eine Liste von vorab heruntergeladenen, vertrauenswürdigen Root-Zertifikaten von verschiedenen CAs. Wenn beispielsweise das Root-Zertifikat der Zertifizierungsstelle nicht im Root-Store von Google enthalten ist, kennzeichnet Chrome die Website, die diese Zertifizierungsstelle verwendet, als nicht sicher. Hier erfahren Sie mehr über Zertifizierungsstellen und wer sie reguliert.

Ein Stammzertifikat wird zur Ausstellung anderer Zertifikate verwendet. Würden die privaten Root-Schlüssel gestohlen, könnten Cyber-Kriminelle ihre eigenen vertrauenswürdigen Zertifikate fälschen. Infolgedessen müssten alle bestehenden Zertifikate, die von der gehackten Zertifizierungsstelle signiert wurden, widerrufen werden. Wenn mit dem Stammzertifikat etwas schief geht, wird die Zertifizierungsstelle schnell aus allen Stammzertifikatsspeichern entfernt und hört auf zu existieren.

Um das Undenkbare zu verhindern, wenden die CAs strenge Sicherheitsverfahren an. Sie speichern den CA-Schlüssel in einem einzigartigen Hardware-Sicherheitsmodul. Außerdem befindet sich das physische Computergerät in einem verschlossenen Tresor mit Stahltüren und Wachen.

Im Gegensatz zu kommerziellen Zertifikaten haben Root-Zertifikate eine viel längere Lebensdauer. Hier ist die Gültigkeitsdauer von Sectigo (ehemals Comodo CA) ECC. Wie Sie sehen können, läuft sie im fernen Jahr 2038 aus.

Was ist ein SSL-Zwischenzertifikat?

Die Ausstellung eines SSL-Zertifikats für den Endbenutzer direkt vom Stammzertifikat ist zu gefährlich. Um sich weiter zu schützen, haben die Zertifizierungsstellen eine weitere Sicherheitsebene geschaffen – das Zwischenzertifikat.

Die Stammzertifizierungsstelle signiert die Zwischenzertifizierungsstelle mit ihrem privaten Schlüssel, und die Zwischenzertifizierungsstelle wiederum verwendet ihren privaten Schlüssel, um SSL-Zertifikate für die Allgemeinheit auszustellen. Das Zwischenzertifikat oder die Zwischenzertifikate (einige CAs verwenden mehrere Zwischenzertifikate zwischen dem Stammzertifikat und dem Endbenutzerzertifikat) fungieren als Vertrauensverbindung.

Die Browser benötigen sie, um die Stammzertifizierungsstelle zu identifizieren und das Serverzertifikat zu akzeptieren. Aus diesem Grund kann Ihr SSL-Installationsordner ein Zwischenzertifikat zusammen mit Ihrem Primärzertifikat enthalten. Zwischenzertifikate haben auch eine längere Gültigkeit als Endbenutzer-SSL-Zertifikate, obwohl sie kürzer ist als die Gültigkeit eines Stammzertifikats.

Was ist ein Server-SSL-Zertifikat?

Ein Server-SSL-Zertifikat, auch primäres SSL-Zertifikat oder Endbenutzerzertifikat genannt, wird von einer Zertifizierungsstelle für Ihren Domainnamen ausgestellt. Es prüft die Domaininhaberschaft und, je nach Validierungsstufe, den rechtlichen Status eines Unternehmens.

Serverzertifikate werden von Zwischenzertifikaten signiert, die von den Stammzertifikaten stammen. Server-SSL-Zertifikate haben eine einjährige Gültigkeit und sind die Zertifikate, die jeder erhält, der SSL bestellt.

Um Ihre Website zu verschlüsseln und HTTPS zu aktivieren, müssen Sie ein SSL-Zertifikat auf Ihrem Server installieren. Daher auch der Name – Server-SSL-Zertifikate.

Was ist der Unterschied zwischen einem Stammzertifikat und einem Zwischenzertifikat?

Der Vergleich zwischen Stammzertifikat und Zwischenzertifikat läuft auf die hierarchische Position in der Vertrauenskette hinaus. Ohne Stammzertifikate oder Root-CAs gibt es keine Zwischenzertifikate oder Serverzertifikate.

Der Unterschied zwischen Stammzertifikaten und Zwischenzertifikaten ist folgender:

1. Ihr Gesamtwert

Root-Zertifikate sind das Herzstück des gesamten SSL-Ausstellungsverfahrens. Wenn ein Root-Zertifikat kompromittiert wird, könnte dies die ausstellende Zertifizierungsstelle in den Bankrott treiben. Andererseits sind Zwischenzertifikate zwar auch wichtig, aber letztlich nur Zwischenstufen und haben ein geringeres Gewicht in der Kette des Vertrauens.

2. Sequenz der digitalen Signatur

Das Stammzertifikat verwendet den privaten Schlüssel, um das Zwischenzertifikat zu signieren, während letzteres denselben Schlüssel verwendet, um andere Zwischenzertifikate und das Serverzertifikat zu signieren.

3. Verfahren der Erteilung

Die Zertifizierungsstelle signiert das Stammzertifikat, das dann in die Stammspeicher verschiedener Anwendungen und Programme aufgenommen wird. Um ihre Root-Zertifikate besser zu schützen, verwenden CAs Zwischenzertifikate, die als “Vermittler” zwischen Root- und Server-Zertifikaten fungieren.

4. Lebenserwartung

Stammzertifikate haben eine Lebensdauer von 10 bis 20 Jahren, während Zwischenzertifikate aus Sicherheitsgründen eine kürzere Gültigkeit haben. Je weiter man sich in der Vertrauenskette bewegt, desto geringer wird die SSL-Gültigkeit, und die Endbenutzer-Zertifikate haben nur eine Lebensdauer von einem Jahr.

5. Speicherprotokoll

Root-Zertifikate befinden sich in einem kugelsicheren Hardware-Sicherheitsmodul, hinter verschlossenen Türen und unter 24/7-Überwachung. Die Zwischenzertifikate werden auf Ihrem Server im Installationsverzeichnis gespeichert.

Wie kann man feststellen, ob ein Zertifikat ein Stamm- oder Zwischenzertifikat ist?

Sie können ein Stammzertifikat von einem Zwischenzertifikat unterscheiden, indem Sie das Zertifikat selbst untersuchen. Wenn die Felder Ausgestellt von und Ausgestellt von identisch sind, handelt es sich um ein Stammzertifikat, da nur eine gültige Zertifizierungsstelle vertrauenswürdige Stammzertifikate ausstellen kann; andernfalls ist es ein Zwischenzertifikat.

Eine weitere Möglichkeit, sie zu unterscheiden, wäre die Prüfung des Zertifizierungspfads. Das Zertifikat, das am Anfang der Liste erscheint, ist das Stammzertifikat, gefolgt von den Zwischen- und Serverzertifikaten. Wie bereits erwähnt, haben Stammzertifikate die längste Gültigkeitsdauer, daher können Sie beim Vergleich von Stamm- und Zwischenzertifikaten auch das Datum betrachten

Letzte Worte

Hoffentlich haben Sie nun verstanden, was ein digitales Zertifikat wirklich sicher macht. Wenn Sie den Unterschied zwischen Stammzertifikaten und Zwischenzertifikaten verstehen, haben Sie das SSL/TLS-Rätsel gelöst. Die SSL-Vertrauenskette ist einer der Gründe, warum SSL-Zertifikate allgegenwärtig und effizient sind. Die andere ist die High-End-Verschlüsselung, die selbst für den intelligentesten Hacker unmöglich zu knacken ist.

Häufig gestellte Fragen

Wie erhält man die Stamm- und Zwischenzertifikate?

Wenn Sie ein SSL-Zertifikat bestellen, liefert die CA die Installationsdateien in einem archivierten ZIP-Ordner. Darin finden Sie das Serverzertifikat, das für Ihre Domain ausgestellt wurde, und eine CA-Bundle-Datei, die die Stamm- und Zwischenzertifikate enthält. Einige CAs senden die Stamm- und Zwischenzertifikate in separaten Textdateien

Link kopieren

Wie kann man die Stamm- und Zwischenzertifikate identifizieren?

Sie brauchen die Stamm- und Zwischenzertifikate bei der Konfiguration Ihres SSL-Zertifikats nicht zu identifizieren, wenn Sie sie in einer CA-Bundle-Datei erhalten haben. Öffnen Sie die Datei mit einem beliebigen Texteditor, und Sie werden feststellen, dass alle Zertifikate in der richtigen Reihenfolge enthalten sind. Wenn Sie das Stammzertifikat und das Zwischenzertifikat in separaten Dateien erhalten haben, überprüfen Sie den Dateinamen, da er zur einfachen Identifizierung das Wort “Stamm” oder “Zwischenzertifikat” enthalten muss.

Link kopieren

Wie können Stamm- und Zwischenzertifikate kombiniert werden?

Um die Stamm- und Zwischenzertifikate zu kombinieren, müssen Sie alle (mit Ausnahme des Serverzertifikats) in der Reihenfolge der Überprüfung verketten. Am schnellsten geht es, wenn Sie den Inhalt Ihres Stammzertifikats kopieren und unter den Zwischenzertifikaten einfügen. Die kombinierte Datei wird die folgende Reihenfolge haben:

  • Zwischenzeugnis 1
  • Zwischenzeugnis 2
  • Root-Zertifikat, um die Vertrauenskette zu vervollständigen.

Link kopieren

Wie kann man das fehlende Zwischen- oder Stammzertifikat reparieren?

Wenn ein Stammzertifikat fehlt, besteht die Lösung darin, zunächst die vertrauenswürdige Stammzertifizierungsstelle herunterzuladen und dann erneut zu versuchen, das Zertifikat zu installieren. Um den Fehler “Zwischenzertifikat fehlt” zu beheben, stellen Sie sicher, dass Sie alle für Ihren Server erforderlichen SSL-Installationsschritte befolgt haben, einschließlich des Hochladens der Zwischenzertifikate in der richtigen Reihenfolge und im richtigen Dateiformat.

Link kopieren

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Jetzt 10 % sparen!
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.

Verwandte Beiträge
What Is a CA Bundle
Was ist ein CA-Bündel in SSL und wie wird es erstellt?
Certificate Authority
Was ist eine Zertifizierungsstelle und wie funktionieren CAs?
What Is a CAA Record
Was ist ein CAA-Datensatz und wie funktioniert er?
SSL Warranty
Was ist eine SSL-Zertifikatsgarantie und wie funktioniert sie?
Dangers of Self-Signed Certificates
Sind selbstsignierte Zertifikate sicher? Was sind die Risiken?