Was ist die SSL-Zertifikatskette?Und wie funktioniert es?

0 Kommentare

Die SSL-Zertifikatskette enthält mehrere Zertifikate, um Vertrauen zwischen Browser und Client herzustellen.

Im Folgenden erfahren Sie mehr über diese Kettenzertifikate und wie die "Kette des Vertrauens" funktioniert.

Als Website-Betreiber wissen Sie, dass ein SSL/TLS-Zertifikat eine Voraussetzung für erfolgreiches Online-Geschäft ist.Neben der Steigerung des Vertrauens und dem Schutz der Datensicherheit trägt es auch dazu bei, das Ranking Ihrer Website in den Augen von Google zu verbessern.Aber das SSL-Zertifikat wird nicht im Bubbling ausgeführt;Es ist Teil der Kette namens SSL-Zertifikate.Die Kette ist ein unverzichtbarer Bestandteil einer groß angelegten Public-Key-Infrastruktur, die eine sichere Online-Kommunikation über das unsichere Internet ermöglicht.

Aber was genau ist eine Zertifikatskette?Warum ist Vertrauensbildung so wichtig?Wir werden die verschiedenen Komponenten der Kette aufschlüsseln, was ihre Regeln sind und wie sie als Teil einer größeren Public-Key-Infrastruktur zusammenarbeiten.

Was ist eine SSL-Zertifikatskette?

Was ist also die Zertifikatskette von SSL und TLS?Die Zertifikatskette umfasst das Stammzertifikat, ein oder mehrere Zwischenzertifikate und das Server-(Blatt-)Zertifikat.Wenn Sie nicht wissen, was einige davon sind, machen Sie sich keine Sorgen.Dies ist unser Ziel hier - um zu helfen, diese Begriffe auf sinnvolle Weise aufzuschlüsseln. 

Wenn Sie hierher kommen, kennen Sie möglicherweise bereits das Serverzertifikat, da es sich um das Zertifikat handelt, das Sie für die Website gekauft haben.Dadurch wird das Vorhängeschloss-Symbol in der URL-Leiste vor Ihrer Domain angezeigt.Dies ist auch der Grund, warum "HTTPS" in Ihrer URL angezeigt wird.

Wenn Sie auf das Vorhängeschloss der sicheren Seite klicken, sehen Sie die Details des SSL-Zertifikats.Der Screenshot unten gibt Ihnen eine Vorstellung davon, was Sie sehen.Auf SectigoStore.com sehen Sie beispielsweise den Namen der Organisation, die das Zertifikat ausgestellt hat.In diesem Fall handelt es sich um Rapid Web Services LLC, [USA].

Grafik der SSL-Zertifikatskette: Screenshot des Website-Vorhängeschlosses mit den Organisationsinformationen des SSL/TLS-Zertifikats
Im obigen Screenshot-Beispiel sehen Sie ein Vorhängeschloss vor unserer Website-Domain.Dieses Vorhängeschloss zeigt an, dass die Website eine sichere verschlüsselte Verbindung verwendet.Dies zeigt an, dass die Site ein SSL/TLS-Zertifikat verwendet.

Das sagen wir normalerweise, wenn wir über SSL/TLS-Zertifikate sprechen.Die anderen beiden Zertifikate in der Kette sind hilfreich, um Vertrauen in diese Serverzertifikate herzustellen.

Das SSL-Zertifikat wird von einem seriösen und vertrauenswürdigen Dritten ausgestellt, der als Zertifizierungsstelle, Zertifizierungsstelle oder CA (Abkürzung) bezeichnet wird.Die Zertifizierungsstelle stellt das Zertifikat jedoch nicht direkt an die Website aus.Mit einer Vertrauenskette oder Zertifikatskette kann der Prozess schneller und einfacher gestaltet werden.

Die Vertrauenskette ist wie ein Baum...

Diagramm, das den Baum der Vertrauenskette in SSL/TLS darstellt
Eine Illustration einer Zertifikatskette hat die Form eines Baumes.Die Wurzel des Baums repräsentiert das Wurzelzertifikat, der Stamm und die Zweige repräsentieren die Zwischenzertifikate und die Blätter repräsentieren die Serverzertifikate.

Um zu verstehen, wie diese Zertifikate zusammenarbeiten, stellen Sie sich einen Baum vor.Ein Baum hat Wurzeln, einen Stamm und die dazugehörigen Äste und Blätter.Die Struktur der Zertifikatskette unterscheidet sich nicht vom Baum.

Das Wurzelzertifikat ist wie ein Baum die Basis, auf der alle anderen Zertifikate basieren.So wie ein Baum viele Zweige hat, kann eine CA mehr als ein Zwischenzertifikat von einem Stammzertifikat ausstellen.Die gleiche Analogie gilt für Blätter, die Serverzertifikate darstellen.

Wenn wir das SSL-Zertifikat dieser Site weiter erkunden, werden wir viel lernen.Klicken Sie daher auf "Zertifikat"Option, Sie sehen ein Popup-Fenster, wie unten gezeigt:

verwandte Frage  HIPAA-Konformitätserklärung
SSL-Trust-Chain-Grafik: Screenshot der SSL/TLS-Zertifikatsinformationen der Website
Um die SSL-Zertifikatskette anzuzeigen, müssen Sie zunächst das Zertifikatsfenster öffnen.konventionellIhr Etikett enthält einige grundlegende Informationen zum Zertifikat.Um genauere Informationen anzuzeigen, müssen Sie auf "Einzelheiten"Tab. 

Dieses Bild zeigt Ihnen Informationen über das Zertifikat, z. B. den Zweck des Zertifikats, die Person, die das Zertifikat ausgestellt hat (Zertifizierungsstelle), die Site, die das Zertifikat ausgestellt hat und das Ablaufdatum.

Darüber hinaus werden Sie zu den detaillierten Informationen des Zertifikats weitergeleitet, die Ihnen helfen, das Protokoll und den Algorithmus des Zertifikats zu verstehen.Es zeigt den Algorithmus, der zum Verschlüsseln des öffentlichen Schlüssels verwendet wird, und stellt auch den öffentlichen Schlüssel der Site bereit.         

Nun kommen wir zum nächsten Teil, dem Zertifizierungspfad.Im Kontext dieses Artikels ist dies der wichtigste Teil des Zertifikatsinformationsartikels.Wenn Sie auf "Zertifizierungspfad", sehen Sie das Stammzertifikat, das Zwischenzertifikat und das Serverzertifikat.

Grafik der SSL-Zertifikatskette: Screenshot der Vertrauenskette der Website
Das Bild oben zeigtZertifizierungspfadScreenshot von: Root-Zertifikat, Zwischenzertifikat und Serverzertifikat.

Auf dem Bild oben sehen wir:

  • Das Stammzertifikat ist " Sectigo (ehemals Comodo CA)."Dies ist ein selbstsigniertes Zertifikat, das das CA-Zwischenzertifikat signiert.
  • Das Zwischenzeugnis ist " COMODO RSA erweiterter Authentifizierungs-Sicherheitsserver CA"."Das Zertifikat fungiert als Vermittler (dh Zwischenhändler) zwischen dem Wurzelzertifikat und dem Serverzertifikat.Daher verwendet das Zwischenzertifikat seinen eigenen privaten Schlüssel, um das Serverzertifikat zu signieren, um den privaten Schlüssel des Stammzertifikats zu schützen.
  • Das Serverzertifikat ist " www.secigostore.com ".Dies ist der Zertifikatstyp, den Sie auf dem Webserver installieren, der normalerweise als SSL/TLS-Zertifikat bezeichnet wird.
Ein Diagramm der Vertrauenskette, das angibt, dass das Stammzertifikat das Zwischenzertifikat signiert und dann das Zwischenzertifikat das Serverzertifikat signiert
Dieses hierarchische Strukturdiagramm zeigt die Vertrauenskette in der Form, wie ein Zertifikat das nächste Zertifikat signiert, beginnend bei der Wurzel und bis zum endgültigen SSL-Zertifikat.

Da das Blattzertifikat vom mittleren Zweig stammt und der mittlere Zweig von der Wurzel, wird davon ausgegangen, dass der zuvor beschriebene Baum auf dem Kopf steht.Im obigen Screenshot befindet sich im Grunde die Wurzel des Baumes oben und die Blätter unten.

Verstehen Sie die verschiedenen Teile der SSL-Zertifikatskette

Die folgende Abbildung veranschaulicht die SSL-Zertifikatskette und detaillierte Informationen zur Signierungsstelle:

Ein hierarchisches Diagramm, das zeigt, wie die SSL-Zertifikatskette funktioniert und bildet a
Das Flussdiagramm zeigt die drei Arten von Zertifikaten und die Beziehung zwischen ihnen.

In diesem Abschnitt werden wir nicht nur zerlegenWurzelzertifikat und ZwischenzertifikatUnterschied zwischen,Und auchabbauenServerzertifikat.

Root-Zertifikat

Ein Root-Zertifikat (auch als Trusted Root bezeichnet) ist ein Zertifikat, das direkt von einer Zertifizierungsstelle ausgestellt wird.Im Gegensatz zu anderen Zertifikaten wird das Stammzertifikat von der CA selbstsigniert.Der private Schlüssel des Stammzertifikats ist der Schlüssel zum Signieren anderer Zertifikate in der SSL-Zertifikathierarchie.

verwandte Frage  Alles über IP-Spoofing – was Sie wissen müssen

CA stellt nur wenige Root-Zertifikate aus, weshalb diese streng geschützt sind.Tatsächlich sind diese Root-Zertifikate in der Regel im „Trust Store“ von Browsern und Betriebssystemen vorinstalliert.Das Stammzertifikat gilt als das wichtigste in der Zertifikatskette, da alle Parteien vereinbaren, der Zertifizierungsstelle zu vertrauen, die das Stammzertifikat ausgestellt hat.Wenn die CA, die das Root-Zertifikat ausgestellt hat, nicht vertrauenswürdig ist oder widerrufen wird (dh sie wird nicht mehr als vertrauenswürdig angesehen), bricht die gesamte Kette zusammen.

Um diese Zertifikate zu schützen, insbesondere wenn es umZertifikat widerrufenLage, Die Stammzertifizierungsstelle verwendet normalerweise eine Zwischenzertifizierungsstelle, um etwas Platz zwischen ihrem vertrauenswürdigen Stammzertifikat und dem endgültigen Serverzertifikat zu platzieren.Sie stellen das Blatt-(Server-)Zertifikat der Website nie direkt von ihrem Stammzertifikat aus, da dies zu riskant ist.

Zwischenzeugnis

Das Zwischenzertifikat fungiert als Puffer zwischen dem Wurzelzertifikat und dem Serverzertifikat der Endeinheit.Es wird mit dem privaten Schlüssel des Root-Zertifikats signiert, das es ausgestellt hat.Auf diese Weise wird das Vertrauen des Zwischenzertifikats hergestellt.ZwischenzeugnisAusstellerIst der Aussteller, der das SSL/TLS (Server)-Zertifikat signiert hat, undThemaIst die Site oder Organisation, die ihre Identität nachweist.

Es kann mehr als ein Zwischenzertifikat geben, aber Sie können ohne mindestens ein Zwischenzertifikat keine Zertifikatskette besitzen.

Serverzertifikat

Die CA stellt ein Serverzertifikat (auch Blattzertifikat genannt) an die Domäne aus, die der Benutzer abdecken möchte.Die Leute sprechen darüber, wenn sie über SSL/TLS-Zertifikate sprechen.Nachdem das Zertifikat ordnungsgemäß auf dem Server installiert wurde,URL-AnfangWird zeigen"HTTPS" statt "HTTP".HTTPS bedeutet, dass Ihre Website ein sicheres Verschlüsselungsprotokoll verwendet, kein unsicheres Protokoll.Außerdem wird in der URL-Leiste vor Ihrem Domainnamen ein Vorhängeschloss angezeigt.

Wie funktioniert die Zertifikatskette?

Die Zertifikatskette in SSL/TLS wird auch Vertrauenskette genannt.Der Grund dafür ist, dass ein Browser, der das SSL-Zertifikat Ihrer Website empfängt, seine Legitimität überprüfen muss.

Dazu beginnt es mit dem Serverzertifikat und gibt es dann an das Stammzertifikat zurück, um Vertrauen aufzubauen.Es verwendet den öffentlichen Schlüssel des Zertifikats, um die Signatur abzugleichen, und überprüft dann den öffentlichen Schlüssel und die Signatur des Zwischenzertifikats auf die gleiche Weise.Dies tut er so lange, bis er schließlich das Root-Zertifikat erreicht, das der Browser in seinem Truststore speichert.

Wenn ein Zertifikat in dieser Kette nicht verifiziert werden kann, wird die Kette unterbrochen und die Verifizierung schlägt fehl.Der Browser warnt den Benutzer vor dem Zertifikat.Kennen Sie diese hässlichen "unsicheren" und "Ihre Verbindung ist nicht privat"-Nachrichten?

Screenshots
Ein Beispiel für eine "unsichere" Nachricht, die auf einer Website angezeigt wird, auf der kein SSL/TLS-Zertifikat vorhanden ist.

Ja, so.Damit die Vertrauenskette funktioniert, muss daher sichergestellt sein, dass keine Glieder in der Kette unterbrochen werden.

Hörst du mir noch zu?Dann kann ich noch einen Schritt weiter gehen und Ihnen erklären, wie die Zertifikatskette funktioniert.Danach können wir die Technologie und den Prozess hinter den Kulissen besprechen – Public Key Infrastructure (oder PKI).

verwandte Frage  RusVPN-Rezension

So funktioniert der Verifizierungsprozess der Vertrauenskette

Wenn der herkömmlichen Hierarchie gefolgt wird, authentifiziert die Root-CA die Zwischen-CA, die wiederum das Serverzertifikat signiert.Wie nutzen Menschen also die Vertrauenskette zur Verifizierung?

Wenn ein Benutzer Ihre Website besucht, sendet der Server ihm ein Zertifikat.Es prüft verschiedene Informationen wie:

  • Die Entität, die das Zertifikat und das Objekt ausgestellt hat.
  • Wann das Zertifikat ausgestellt wurde und wie lange es gültig ist.
  • Wenn es eine gültige digitale Signatur hat.
  • Ob das Zertifikat gesperrt wurde.

Um zu überprüfen, ob das Zertifikat legitim ist, muss es die Vertrauenskette überprüfen.Hier startet der Browser vom Serverzertifikat und überprüft alle Zertifikate, einschließlich des Root-Zertifikats.Der gebräuchlichste Prozess zur Überprüfung der Zertifikatskette wird umgekehrt.Dies bedeutet, dass zuerst die Informationen des Serverzertifikats mit dem Zwischenzertifikat des ausstellenden Zertifikats und dann das Zwischenzertifikat mit dem Wurzelzertifikat des ausstellenden Zertifikats verglichen werden müssen.

Wenn alle Zertifikate ausgecheckt sind und andere für eine sichere Verbindung erforderliche Prozesse abgeschlossen sind, lädt die Website ein Vorhängeschloss-Symbol oder „HTTPS“ in die URL-Leiste.Andernfalls wird eine Warnung ausgegeben.

Was ist PKI?

Da PKI ein so komplexes und detailliertes Thema ist, geben wir Ihnen hier einen schnellen Überblick.Public-Key-Infrastruktur ist ein allgemeiner Begriff, der den Rahmen von Prozessen, Strategien und Technologien beschreibt, die eine sichere Verschlüsselung in öffentlichen Kanälen ermöglichen.Es basiert auf Kryptographie mit öffentlichem Schlüssel, die komplexe mathematische Algorithmen verwendet, um die Verschlüsselung und Entschlüsselung von Nachrichten im Internet zu erleichtern.

Diese Algorithmen sind Teil des PKI-Frameworks.Mit der Entwicklung der Technologie werden Algorithmen im Laufe der Zeit immer komplexer.

PKI verwendet Schlüsselpaare zum Verschlüsseln und Entschlüsseln von Daten.Die Art des verwendeten Schlüssels hängt von der Art der verwendeten Verschlüsselung ab.Die symmetrische Verschlüsselung verwendet beispielsweise einen einzelnen Schlüssel zum Verschlüsseln und Entschlüsseln von Daten.(Dies erfordert, dass sowohl der Sender als auch der Empfänger dieselbe Kopie desselben Schlüssels haben.) Andererseits gibt es bei der asymmetrischen Verschlüsselung zwei eindeutige (aber mathematisch verwandte) Schlüssel: den öffentlichen Schlüssel und den privaten Schlüssel .Jeder kann einen öffentlichen Schlüssel verwenden, um Daten zu verschlüsseln.Andererseits entschlüsselt der private Schlüssel die Daten, die geschützt werden müssen, um einen Datenverlust zu verhindern.

Die Verwendung von zwei eindeutigen, aber mathematisch verwandten Schlüsseln hilft den Clients der Site-Besucher, sichere Nachrichten zu übermitteln, ohne sich über unbefugten Zugriff oder Datenmanipulation Gedanken machen zu müssen.(Oft als Man-in-the-Middle-Angriff oder MitM bezeichnet.)

Fazit

Das SSL/TLS-Zertifikat gewährleistet die Sicherheit der Website durch die Verwendung des sicheren HTTPS-Protokolls.Die Vertrauenskette ist für die Realisierung dieses Sicherheitsprotokolls unerlässlich.Durch die Baumstruktur der Zertifikatskette können Sie schnell und sicher Kontakt mit dem Server aufnehmen.Darüber hinaus kann es das Zertifikat leicht zu seinem ursprünglichen Stammverzeichnis zurückverfolgen, um herauszufinden, ob es legal ist.Dies ist eine Win-Win-Situation für alle.  

Diesen Beitrag teilen

Das könnte Sie auch interessieren:

Geben Sie Anmerkung