Zertifikate in der IT – Teil 2: Technische Grundlagen, Vertrauensketten und die Rolle von Root-Cas

IT-Grundlagen 22. April 2025

Zertifikate sind ein zentraler Bestandteil der IT-Sicherheit – sei es für verschlüsselte Verbindungen, digitale Signaturen oder Authentifizierungsprozesse. Doch wie genau funktionieren Zertifikate eigentlich? Was unterscheidet ein vertrauenswürdiges Zertifikat von einem unsicheren? Und warum spielt die Wahl der Zertifizierungsstelle (CA) eine entscheidende Rolle?
In diesem Beitrag werfen wir einen Blick auf den Aufbau von Zertifikaten, die Vertrauensketten und die wichtige Rolle von Root-CAs.

1. Der Aufbau eines Zertifikats

Ein digitales Zertifikat ist eine Datei, die bestimmte Informationen enthält, darunter:

Den öffentlichen Schlüssel des Zertifikatsinhabers
Den Namen und weitere Identitätsdaten (z. B. Domainname für Webserver, Benutzername für Zertifikate zur Anmeldung)
Die Gültigkeitsdauer (Start- und Ablaufdatum)
Die Zertifizierungsstelle (CA), die das Zertifikat ausgestellt hat
Die digitale Signatur der ausstellenden CA

Die digitale Signatur ist dabei der Schlüssel zum Vertrauen: Sie stellt sicher, dass das Zertifikat nicht gefälscht wurde und von einer vertrauenswürdigen Stelle stammt.

2. Die Zertifikatskette: Warum Root-CAs entscheidend sind

Zertifikate stehen nicht isoliert da – sie sind Teil einer Hierarchie von Vertrauensstellungen.

Dieses Modell wird als Public Key Infrastructure (PKI) bezeichnet und besteht aus mehreren Ebenen:

Root Certificate Authority (Root-CA)
Die oberste Instanz der Vertrauenskette. Root-CAs werden direkt in Betriebssystemen und Browsern als vertrauenswürdig hinterlegt.
Intermediate Certificate Authority (Intermediate-CA)
Da Root-CAs zu wertvoll sind, um sie direkt für jede Signatur zu verwenden, gibt es Zwischenzertifizierungsstellen (Intermediate-CAs), die die eigentliche Arbeit übernehmen.
End-Entity-Zertifikate
Das sind die eigentlichen Zertifikate, die für Server, Benutzer oder Anwendungen ausgestellt werden.

Ein Zertifikatsvertrauenspfad sieht z. B. so aus:

Ein Server-Zertifikat ist von einer Intermediate-CA signiert.
Diese Intermediate-CA wurde wiederum von einer Root-CA signiert.
Das System prüft, ob die Root-CA im vertrauenswürdigen Zertifikatsstore hinterlegt ist – wenn ja, wird das Zertifikat als vertrauenswürdig akzeptiert.

Dieses Modell sorgt für eine klare Trennung von Verantwortung und ermöglicht es, bei Sicherheitsproblemen gezielt einzelne Zwischenstellen auszutauschen.

3. Root-CAs: Wer kontrolliert das Vertrauen?

Root-CAs sind die Grundlage für Vertrauen im Internet. Doch wer entscheidet eigentlich, welche Root-CAs vertrauenswürdig sind?

Wer betreibt Root-CAs?

Root-CAs werden von großen, international anerkannten Organisationen betrieben. Dazu gehören:

DigiCert
Sectigo (ehemals Comodo)
GlobalSign
Entrust
Let’s Encrypt (kostenlose Zertifikate)

Auch staatliche Organisationen und große Unternehmen betreiben eigene Root-CAs – z. B. für nationale digitale Identitäten oder Unternehmens-IT.

Wie werden Root-CAs verwaltet?

Root-CAs werden in sogenannten Root Stores hinterlegt. Diese werden von großen Softwareanbietern gepflegt:

Microsoft Windows (Windows Root Certificate Program)
Mozilla Firefox (NSS - Network Security Services)
Apple macOS & iOS
Google Chrome & Android (Chromium Root Store)

Jede dieser Plattformen verwaltet ihre eigene Liste an vertrauenswürdigen Root-Zertifikaten und entscheidet, welche hinzugefügt oder entfernt werden.

Fallen Root-CAs aus dem Vertrauen?

Ja – und das passiert häufiger, als viele denken. Gründe für den Entzug einer Root-CA sind unter anderem:

Sicherheitsverstöße (z. B. gefälschte Zertifikate)
Missbrauch von Zertifikaten (z. B. unberechtigtes Ausstellen für Domains Dritter)
Veraltete Algorithmen (z. B. SHA-1 wurde aus den Root Stores entfernt)

Beispiele:

Symantec's Root-Zertifikate wurden 2017 von Google Chrome und Mozilla Firefox entfernt, weil Symantec unsichere Praktiken bei der Ausstellung von Zertifikaten hatte.
WoSign und StartCom wurden 2016 aus allen großen Browsern entfernt, weil sie unrechtmäßige Zertifikate für Google-Domains ausgestellt hatten.

Root-CA-Listen werden also kontinuierlich aktualisiert – Zertifikate, die auf veralteten oder kompromittierten CAs basieren, werden dadurch ungültig.

4. Private CAs: Warum Unternehmen eigene Zertifikate ausstellen

Neben den großen öffentlichen CAs gibt es auch private Zertifizierungsstellen. Unternehmen nutzen diese für:

Interne Server & Dienste (z. B. interne Websites oder APIs)
VPN- und WLAN-Authentifizierung (z. B. EAP-TLS)
S/MIME & E-Mail-Verschlüsselung

Ein Unternehmen kann z. B. eine eigene Root-CA betreiben, die dann alle internen Systeme und Benutzerzertifikate signiert. Diese private Root-CA muss auf allen Unternehmensgeräten als vertrauenswürdig hinterlegt werden, damit die Zertifikate funktionieren.

Self-Signed Zertifikate: Eine Sonderform

Ein self-signed Zertifikat ist ein Zertifikat, das sich selbst signiert – also keine höhere CA besitzt.
Typische Einsatzfälle:

Testumgebungen, Entwicklungssysteme
Produktionssysteme (weil sie nicht automatisch als vertrauenswürdig gelten)

Self-signed Zertifikate sind kein Sicherheitsproblem an sich, aber sie müssen manuell als vertrauenswürdig hinterlegt werden – was bei vielen Geräten oder Benutzern unpraktisch sein kann.

5. Fazit

Zertifikate und deren Handling sind komplex, aber unverzichtbar für eine sichere Kommunikation in der IT. Das Vertrauen in ein Zertifikat basiert immer auf der Zertifikatskette, die über Root-CAs, Intermediate-CAs und End-Entity-Zertifikate aufgebaut wird.

Root-CAs sind die oberste Vertrauensinstanz im Internet und werden von Microsoft, Apple, Mozilla & Co. verwaltet.
Zwischenfälle können dazu führen, dass CAs aus den vertrauenswürdigen Stores entfernt werden.
Private CAs und self-signed Zertifikate haben ihren Platz – erfordern aber eine manuelle Verwaltung.

Im nächsten Teil werfen wir einen genaueren Blick auf die unterschiedlichen Zertifikatsformate, ihre Eigenschaften und warum es so viele davon gibt.

Wie kann Comp4U unterstützen?

Die Verwaltung und Integration von Zertifikaten kann komplex sein – von der Einrichtung einer eigenen PKI bis zur Absicherung öffentlicher Webanwendungen.
Wir helfen Ihnen dabei, die richtige Strategie für Ihre Umgebung zu finden und Zertifikate sicher zu verwalten.
Kontaktieren Sie uns unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. oder +49 6103 9707-500 für eine unverbindliche Beratung.

Zertifikate in der IT

Cybersecurity

Managed Services

1st-Level-Support bis strategische Beratung

Informationssicherheit

Unternehmen

Fachbeiträge

Neuigkeiten zu IT-Themen und Comp4U

Zertifikate in der IT – Teil 2: Technische Grundlagen, Vertrauensketten und die Rolle von Root-Cas

1. Der Aufbau eines Zertifikats

2. Die Zertifikatskette: Warum Root-CAs entscheidend sind

3. Root-CAs: Wer kontrolliert das Vertrauen?

Wer betreibt Root-CAs?

Wie werden Root-CAs verwaltet?

Fallen Root-CAs aus dem Vertrauen?

4. Private CAs: Warum Unternehmen eigene Zertifikate ausstellen

Self-Signed Zertifikate: Eine Sonderform

5. Fazit

Wie kann Comp4U unterstützen?

Zertifikate in der IT - Alle Beiträge

Initial Access – Der erste Zugang in einen Cyberangriff | MITRE ATT&CK Reihe - Teil 3

Reconnaissance – Die erste Phase eines Cyberangriffs | MITRE ATT&CK Reihe - Teil 1

DORA und NIS2 im Vergleich – Welche Anforderungen gelten für Ihr Unternehmen?

BGP und die unsichtbaren Risiken – Route Leaks und BGP Hijacking | Teil 2

Das MITRE ATT&CK Framework – Struktur und Phasen von Cyberangriffen

Adresse

Kontakt

Fernwartung