Was ist ein Zwischenzertifikat und wie funktioniert es?

Zuletzt aktualisiert am von Dionisie Gitlan
What Is an Intermediate Certificate

Wenn Sie sich mit digitaler Sicherheit beschäftigen, werden Sie auf den Begriff Zwischenzertifikat stoßen. Aber was ist ein Zwischenzertifikat und warum ist es so wichtig? Lassen Sie uns den Begriff aufschlüsseln und verstehen, wie Zwischenzertifikate in den SSL/TLS-Rahmen und die breitere Public Key Infrastructure (PKI) passen.

Inhaltsübersicht

  1. Was ist ein Zwischenzertifikat?
  2. Wie funktioniert ein Zwischenzertifikat?
  3. Die Bedeutung von Zwischenzertifikaten in SSL/TLS
  4. Root-Zertifikate vs. Zwischenzertifikate vs. SSL-Zertifikate
  5. Arten von Zwischenzertifikaten
  6. So erhalten Sie ein Zwischenzertifikat
  7. Häufige Verwendungszwecke für Zwischenzertifikate
Holen Sie sich noch heute SSL-Zertifikate

Was ist ein Zwischenzertifikat?

Ein Zwischenzertifikat steht in der SSL/TLS-Zertifikatshierarchie zwischen dem Stammzertifikat und den Endbenutzerzertifikaten. Seine Hauptaufgabe besteht darin, das Vertrauen von der Stammzertifizierungsstelle (CA) zum endgültigen Zertifikat zu überbrücken, das von der Endeinheit, wie einer Website oder einer Anwendung, verwendet wird. Technisch gesehen handelt es sich um eine Datei, die einen öffentlichen Schlüssel, eine Signatur der ausstellenden Behörde und andere Metadaten enthält.

Um dies zu veranschaulichen, stellen Sie sich eine Zertifikatskette vor. An ihrer Spitze steht das Stammzertifikat – einevertrauenswürdige Instanz, die nicht alle Zertifikate direkt signiert. Stattdessen stellt sie Zwischenzertifikate aus, die wiederum Zertifikate für Endbenutzer ausstellen. Diese Hierarchie hilft, digitale Zertifikate effizienter zu verwalten und zu sichern.

Wie funktioniert ein Zwischenzertifikat?

So funktioniert ein Zwischenzertifikat innerhalb des SSL/TLS-Protokolls:

  1. Ausstellung: Die Stammzertifizierungsstelle (CA) stellt Zwischenzertifikate aus. Diese werden nicht direkt auf Webservern verwendet sondern stellen eine Verbindung zwischen der Stammzertifizierungsstelle und den Endteilnehmerzertifikaten her.
  2. Zertifikatssignierungsanfrage (CSR): Wenn eine Website ein Zertifikat benötigt, erstellt sie eine CSR und sendet sie an die CA. Die CSR enthält Informationen wie den öffentlichen Schlüssel und organisatorische Details.
  3. Signieren und Verifizieren: Die Zertifizierungsstelle prüft die CSR und stellt die Zwischenzertifikate(CA-Bündel) und das Endbenutzerzertifikat aus. Die Zwischenzertifikate werden mit dem privaten Schlüssel der Stammzertifizierungsstelle signiert, um ihre Legitimität sicherzustellen.
  4. Vertrauenskette: Die zwischengeschaltete Zertifizierungsstelle signiert das Endbenutzerzertifikat. Browser oder Clients können dieses Zertifikat über die Kette bis zum Stammzertifikat zurückverfolgen, um das Vertrauen zu bestätigen.
  5. Aufbau von Vertrauen: Wenn ein Benutzer eine Verbindung zu einer sicheren Website herstellt, überprüft sein Browser die gesamte Kette – vom Endbenutzerzertifikat über die Zwischenzertifizierungsstelle bis hin zum Stammzertifikat. Wenn alle Zertifikate gültig und vertrauenswürdig sind, ist die Verbindung sicher.
  6. Widerruf und Erneuerung von Zertifikaten: CAs können Zwischen- und Endbenutzerzertifikate widerrufen und erneuern, wenn sie gefährdet oder abgelaufen sind. Browser überprüfen den Widerrufsstatus über Certificate Revocation Lists (CRLs) oder das Online Certificate Status Protocol (OCSP ), um sicherzustellen, dass die Zertifikate gültig sind.

Die Bedeutung von Zwischenzertifikaten in SSL/TLS

Zwischenzertifikate sind aus mehreren Gründen wichtig:

  • Erhöhte Sicherheit: Durch die Verwendung von Zwischenzertifikaten kann die Stammzertifizierungsstelle ihr Zertifikat sicher halten. Wenn ein Zwischenzertifikat kompromittiert wird, bleibt das Stammzertifikat intakt.
  • Effiziente Verwaltung: Zwischenzertifikate rationalisieren die Verwaltung einer großen Anzahl von Zertifikaten. Sie ermöglichen eine effektive Delegation der Ausstellung von Zertifikaten und verringern die Gefährdung des Stammzertifikats.
  • Flexibilität und Kontrolle: Mit mehreren zwischengeschalteten CAs können Unternehmen verschiedene Zertifizierungspfade für unterschiedliche Anforderungen erstellen. Diese Einrichtung ermöglicht eine bessere Kontrolle und Flexibilität bei der Verwaltung von Zertifikaten.

Root-Zertifikate vs. Zwischenzertifikate vs. SSL-Zertifikate

Das Verständnis der Unterschiede zwischen Stamm- und Zwischenzertifikaten kann Ihnen bei der Behebung verschiedener SSL-bezogener Probleme helfen.

  • Root-Zertifikate: Diese von der Stammzertifizierungsstelle ausgestellten Zertifikate sind die obersten Zertifikate, die in den Stammspeichern der wichtigsten Browser und Betriebssysteme gespeichert sind. Sie sind selbstsigniert und schaffen die höchste Vertrauensstufe.
  • Zwischenzertifikate: Diese werden von der Stammzertifizierungsstelle oder einer anderen Zwischenzertifizierungsstelle ausgestellt. Sie dienen als Brücke im Zertifizierungspfad und werden zum Signieren von Endbenutzerzertifikaten verwendet.
  • SSL-Zertifikate: Diese auf Webservern installierten Zertifikate werden von einer zwischengeschalteten CA ausgestellt. Sie verschlüsseln Daten zwischen dem Server und dem Client.

Arten von Zwischenzertifikaten

Es gibt verschiedene Arten von Zwischenzertifikaten:

  • Einzelne Zwischen-CA: Eine einfache CA, die Zertifikate für bestimmte Zwecke oder Einrichtungen ausstellt.
  • Kreuzsignierte Zertifikate: Von mehreren Stammzertifizierungsstellen signierte Zwischenzertifikate, um die Kompatibilität zwischen verschiedenen Stammspeichern zu gewährleisten.
  • Andere Zwischenzertifikate: Ausgestellt für spezielle Anwendungsfälle oder von verschiedenen Zwischenzertifizierungsstellen mit unterschiedlichen Rollen und Autoritäten. Sectigo stellt zum Beispiel verschiedene Arten von Zwischenzertifikaten für bestimmte Zwecke aus. Ein Beispiel ist die Code Signing Intermediate CA, die ausschließlich für die Ausstellung von Zertifikaten für Code Signing verwendet wird. Dieses Zwischenzertifikat stellt sicher, dass Software und Anwendungen verifiziert und sicher sind.
Sparen Sie 10% bei SSL-Zertifikaten

So erhalten Sie ein Zwischenzertifikat

CAs stellen Zwischenzertifikate für Organisationen aus, die ihre eigenen untergeordneten CAs verwalten. Normale Benutzer erstellen oder beantragen sie normalerweise nicht.

Um eine solche zu erhalten, müssen Sie eine Beziehung zu einer vertrauenswürdigen CA haben, die es Ihnen erlaubt, als untergeordnete CA zu agieren.

Wenn Sie eine Organisation sind, die eine Public Key Infrastructure (PKI) verwaltet, können Sie ein Zwischenzertifikat bei einer CA beantragen. Oft müssen Sie die Sicherheit Ihrer Systeme und Ihre Absicht, Zertifikate verantwortungsvoll auszustellen, nachweisen.

Wenn ein Endbenutzerzertifikat ausgestellt wird, stellt die Zertifizierungsstelle häufig ein CA-Bundle zur Verfügung, das die Zwischenzertifikate enthält, die erforderlich sind, um eine Vertrauenskette vom Endbenutzerzertifikat zum Stammzertifikat herzustellen. Dieses Bündel wird auf dem Server installiert und ermöglicht es den Browsern, das Zertifikat ordnungsgemäß zu validieren, selbst bei älteren Versionen.

Häufige Verwendungszwecke für Zwischenzertifikate

Zertifizierungsstellen verwenden Zwischenzertifikate, um ihre Stammzertifikate zu schützen, während sie Zertifikate an Kunden ausstellen. So werden sie eingesetzt:

  • Vertrauen delegieren: Stammzertifikate werden selten direkt verwendet, da die Kompromittierung eines Stammzertifikats das Vertrauen in die gesamte Zertifizierungsstelle untergraben würde. Zwischenzertifikate fungieren als Vermittler, die Endbenutzerzertifikate im Namen der Stammzertifizierungsstelle signieren und das Stammzertifikat bewahren.
  • Zertifikatsverkettung: Wenn eine Zertifizierungsstelle ein Zwischenzertifikat ausstellt, verknüpft sie es zwischen dem Stammzertifikat und dem endgültigen Zertifikat, das eine Website oder ein Server verwendet. Durch diese Kette wird die Authentizität des Zertifikats von Browsern und Systemen überprüft.
  • Ausstellen verschiedener Arten von Zertifikaten: Mit Zwischenzertifikaten können Zertifizierungsstellen Zertifikate für verschiedene Zwecke erstellen und verwalten (z. B. SSL/TLS für Websites, Code Signing, E-Mail-Sicherheit), ohne das Stammzertifikat zu gefährden.

Wo Zwischenzertifikate verwendet werden

  • Öffentliche CA-Infrastrukturen: Große CAs wie Let’s Encrypt, DigiCert und andere stellen SSL/TLS-Zertifikate über Vermittler aus. Diese Praxis gewährleistet, dass die Stammzertifikate der CA sicher bleiben.
  • Private PKI-Systeme: Unternehmen mit internen Public Key-Infrastrukturen (PKIs) verwenden Zwischenzertifikate, um das Vertrauen innerhalb ihrer Organisation zu verwalten. Sie können Zwischenzertifikate für verschiedene Abteilungen oder Anwendungen ausstellen, die jeweils für das Signieren ihrer Endbenutzerzertifikate verantwortlich sind.
  • Untergeordnete CAs: Große Organisationen können von einer primären CA Zwischenzertifikate erhalten. Diese Organisationen können als untergeordnete CAs fungieren und Zertifikate für bestimmte Domänen oder Dienste ausstellen.

Intermediate CA-Zertifikat in Aktion

Stellen Sie sich ein Online-Geschäft vor, das SSL/TLS zur Sicherung von Transaktionen verwendet. So funktionieren die Zwischenzertifikate:

  1. Root CA: Stellt Zwischenzertifikate für vertrauenswürdige CAs aus.
  2. Zwischenzertifizierungsstelle: Signiert das SSL-Zertifikat für den Webserver des Shops.
  3. Endbenutzer-Zertifikat: Es wird auf dem Server installiert und verschlüsselt die Daten zwischen dem Server und den Benutzern.
  4. Verifizierung: Die Browser der Benutzer verfolgen das SSL-Zertifikat über das Zwischenzertifikat zum Stammzertifikat zurück und bestätigen so die Sicherheit der Verbindung.

Unterm Strich

Zusammenfassend lässt sich sagen, dass Zwischenzertifikate einen sicheren und überprüfbaren Zertifizierungspfad in der SSL/TLS-Verschlüsselung gewährleisten. Sie stellen sicher, dass die digitalen Zertifikate, die die Webkommunikation sichern, zuverlässig und vertrauenswürdig sind. Wenn Sie die Rolle der Zwischenzertifikate verstehen, können Sie Ihre digitale Umgebung besser verwalten und sichern, egal ob Sie IT-Experte, Webentwickler oder ein Neuling im Bereich der Cybersicherheit sind.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Jetzt bestellen
A detailed image of a dragon in flight
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.

Verwandte Beiträge
Überprüfen eines SSL-Zertifikats in Linux mit OpenSSL
So überprüfen Sie ein SSL-Zertifikat unter Linux mit OpenSSL
Was ist OpenSSL
Was ist OpenSSL? Wie funktioniert OpenSSL?
Was ist Port 443?
Was ist Port 443 und wie verwendet man ihn?
OCSP-Heftung
Was ist OCSP Stapling und wie wird es verwendet?
Perfect Forward Secrecy
Was ist perfekte Geheimhaltung in der Cybersicherheit?