Ablauf einer Schlüssel-Zertifizierung
Wie bereits einführend beschrieben, wenden sich Schlüsselinhaber zur Zertifizierung ihes Schlüssels an eine Certification Authoriry. Diese prüft ob die Schlüssel-Angaben tatsächlich stimmen. Nach dieser Überprüfung unterschreibt die Certification Authority die Angaben sowie den eigentlichen Schlüssel als gesamte Einheit, in digitaler Form.
Die Überprüfung der Angaben kann dabei, in Abhängigkeit der Certification Authority, in unterschiedlichen Stufen bzw. unterschiedlicher Gründlichkeit stattfinden. Die einzelnen Certification Authorities unterteilen die unterschiedlichen Gründlichkeitsstufen bei der Überprüfung in Klassen: Class1, Class2, ... . Welche Form der Überprüfung in einer Class X tatsächlich stattfindet ist nicht normiert, und muss in den Policies der jeweiligen CA (sozusagen der AGBs) nachgelesen werden. Allgemein gilt nur, dass eine höhere Class auch einer gründlicheren Überprüfung der Angaben entspricht.
Die meistgenutzte Überprüfungsvariante für X.509-Zertifikate wird bei allen CAs als Class 1 bezeichnet. Bei der Überprüfung der Angaben zu einem Schlüssel wird dabei zwischen einem "Server-Zertifikat" und einem "personenbezogenen Zertifikat" unterschieden.
- Server-Zertifikat, Class1
- Diese Zertifikate werden für alle möglichen Serverdienste, z.B. für Webserver, Mailserver, ..., verwendet. Dabei ist das Zertifikat auf den Servernamen ausgestellt, also z.B. "www.lehrerfortbildung-bw.de". Das Zertifikat enthält zwar evtl. noch weitere Angaben, z.B. den Betreiber des Servers, aber ein Class 1 Zertifikat bestätigt normalerweise ausschließlich die Domain, hier also "lehrerfortbildung-bw.de". Zur Überprüfung des Zertifizierungs-Antrags wird einfach eine Mail an einer der typischen Administrator-Mailadressen einer Domain gesandt, also z.B. webmaster@lehrerfortbildung-bw.de. In der Mail sind dann weitere Anweisungen enthalten: Z.B. dass man nun einen bestimmten URL aufrufen soll, und dort evtl. noch eine zufällige Buchstabe-, Zahlenkombination eingeben muss die dann auch in der Mail enthalten ist (die sogenannte Challenge). Wird dieser Vorgang korrekt ausgeführt (Response), ist das für die CA die Bestätigung, dass der Domain-Inhaber den Antrag gestellt hat, und stellt nun das Class 1 Zertifkat aus - häufig auch als Domain Validated Zertifikat bezeichnet.
- Personenbezogenes Zertifikat, Class 1
- Diese Zertifikate werden für E-Mail-Signaturen oder die Verschlüsselung von E-Mails eingesetzt. Sie können aber auch für den zertifikatsbasierenden Login auf Websites verwendet werden. Die Überprüfung findet hier analog zu Server-Zertifikaten statt. Allerdings wird hier die Kontroll-E-Mail (Challenge) an die E-Mail-Adresse die im Schlüssel enthalten ist gesendet. Führt der Empfänger wieder alle Schritte korrekt aus (Response), ist die Überprüfung abgeschlossen und das Zertifikat wird ausgestellt.
In beiden Fällen wird also ein Class 1 Zertifikat überprüft indem der Antragsteller automatisiert eine Mail erhält und die darin enthaltenen Anweisungen ausführt - Challenge-Response-Verfahren! Mit etwas Übung ist der gesamte Vorgang in 2 Minuten erledigt!
Erst bei höheren Zertifikatsklassen (Class 2, Class 3, Extended Validation) finden gründlichere Überprüfungen statt. Typische Varianten dieser Klassen sind:
- Überprüfung der postalischen Adresse des Antragsstellers
- Ein Fax mit dem Briefkopf des Antragsstellers, typischerweise eine Firma, muss an die CA übermittelt werden
- ...
- Der Antragssteller, bzw. eine vertretungsberechtigte Person, muss persönlich bei der CA erscheinen und Prokura, Handelsregisterauszug, ... vorlegen
Weiter: Die Zertifizierungsstelle CAcert