Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Education Center
    2. Zertifikate

Widerruf des Zertifikats

Geschrieben vonAditi Goel 05 Minuten
Widerruf des Zertifikats
Inhaltsverzeichnis

Im Bereich der Cybersicherheit ist Vertrauen das A und O. Da Unternehmen und Privatpersonen zunehmend auf digitale Kommunikation und Transaktionen angewiesen sind, ist der Bedarf an sicheren und vertrauenswürdigen Verbindungen wichtiger denn je. SSL/TLS-Zertifikate spielen eine zentrale Rolle beim Aufbau dieses Vertrauens, verschlüsseln Daten während der Übertragung und ermöglichen sichere Verbindungen. Was passiert jedoch, wenn ein Zertifikat kompromittiert oder nicht mehr vertrauenswürdig ist? Hier kommt der Zertifikatswiderruf ins Spiel. Wir untersuchen das Konzept des Zertifikatswiderrufs, seine Bedeutung und wie er zur Aufrechterhaltung einer sicheren digitalen Umgebung eingesetzt wird.

Was ist eine Zertifikatssperrung?

Unter Zertifikatssperrung versteht man die Ungültigkeitserklärung eines SSL/TLS-Zertifikats vor seinem Ablaufdatum. Ein widerrufenes Zertifikat kann nicht mehr für sichere Verbindungen verwendet werden und wird von Webbrowsern und anderen Client-Anwendungen nicht mehr als vertrauenswürdig eingestuft. Eine Sperrung ist erforderlich, wenn der private Schlüssel eines Zertifikats kompromittiert wurde, die Identität des Zertifikatsinhabers nicht mehr gültig ist oder Zweifel an der Integrität des Zertifikats bestehen.

Der Widerruf von Zertifikaten ist unerlässlich, um potenzielle Sicherheitsverletzungen zu verhindern und Benutzer davor zu schützen, sich unwissentlich mit Websites oder Diensten zu verbinden, die ihre Vertrauenswürdigkeit verloren haben. Widerrufene Zertifikate müssen durch neue, gültige Zertifikate ersetzt werden, um die sichere Kommunikation wiederherzustellen.

Wann wird die Zertifikatssperrung verwendet?

  • Kompromittierter privater Schlüssel

    Einer der Hauptgründe für den Widerruf eines Zertifikats ist die Kompromittierung des privaten Schlüssels. Gelangt ein privater Schlüssel in die falschen Hände, können böswillige Akteure ihn nutzen, um sichere Kommunikation zu entschlüsseln und sich sogar als rechtmäßiger Zertifikatsinhaber auszugeben. Um solche Szenarien zu verhindern, widerruft die Zertifizierungsstelle (CA) das kompromittierte Zertifikat und macht den privaten Schlüssel für die weitere Kommunikation unbrauchbar.

  • Änderung des Status des Zertifikatsinhabers

    Zertifikate können ungültig werden, wenn sich der Status des Zertifikatsinhabers ändert. Beispielsweise verlässt ein Mitarbeiter, der Zugriff auf das Zertifikat eines Unternehmens hatte, das Unternehmen, wodurch das Zertifikat nicht mehr vertrauenswürdig ist. In solchen Fällen kann das Zertifikat widerrufen werden, um unbefugten Zugriff zu verhindern.

  • Erkennung gefälschter Zertifikate

    In einigen Fällen können aufgrund von Fehlern oder böswilligen Aktivitäten betrügerische Zertifikate ausgestellt werden. Zertifizierungsstellen überwachen aktiv verdächtige oder nicht autorisierte Zertifikate. Wenn diese erkannt werden, werden sie sofort widerrufen, um die Integrität der Public-Key-Infrastruktur zu wahren.

  • Ablauf des Zertifikats

    Obwohl es sich nicht um einen Widerruf im herkömmlichen Sinne handelt, gelten Zertifikate nach ihrem Ablaufdatum als ungültig. Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) oder das Online Certificate Status Protocol (OCSP) können Aufschluss darüber geben, ob ein Zertifikat abgelaufen oder noch gültig ist.

Wie führe ich eine Zertifikatssperrung durch?

Um ein Zertifikat zu stornieren, müssen Sie einen Zertifikatsmanager auswählen. Dies geschieht, indem Sie einem Benutzer oder einer Gruppe die Berechtigung zum Ausstellen und Verwalten von Zertifikaten bei der ausstellenden Zertifizierungsstelle (CA) erteilen. Der CA-Administrator, ein Benutzer mit der Berechtigung „CA verwalten“, ist für die Einrichtung dieser Berechtigung verantwortlich. Führen Sie die folgenden Schritte aus, um die richtigen Berechtigungen festzulegen:

  • Öffnen Sie die Zertifizierungsstellenkonsole über die Verwaltungstools.
  • Klicken Sie mit der rechten Maustaste auf CAName (wobei CAName der Name der Zertifizierungsstelle ist) und wählen Sie im Menü „Eigenschaften“ aus.
  • Wechseln Sie im Fenster „CAName-Eigenschaften“ zur Registerkarte „Sicherheit“. Stellen Sie sicher, dass das Konto des Benutzers oder einer Gruppe, der er angehört, über die Berechtigung „Zertifikate ausstellen und verwalten“ verfügt.

Wenn Sie über die erforderlichen Berechtigungen verfügen, führen Sie diese Schritte aus, um ein Zertifikat zu widerrufen.

  • Öffnen Sie die Zertifizierungsstellenkonsole über die Verwaltungstools.
  • Erweitern Sie CAName in der Konsolenstruktur und klicken Sie auf Ausgestellte Zertifikate.
  • Suchen Sie im Detailbereich das Zertifikat, das Sie widerrufen möchten. Klicken Sie mit der rechten Maustaste darauf, gehen Sie zu „Alle Aufgaben“ und wählen Sie „Zertifikat widerrufen“.
  • Wählen Sie aus den Optionen im Fenster „Zertifikatssperrung“ den entsprechenden Grundcode aus und klicken Sie auf „Ja“.
  • Überprüfen Sie, ob das kürzlich widerrufene Zertifikat jetzt im Abschnitt „Widerrufene Zertifikate“ sichtbar ist.

Wie identifiziere ich widerrufene Zertifikate?

Die Public Key Infrastructure (PKI) bietet drei Möglichkeiten, um festzustellen, ob ein Zertifikat widerrufen wurde:

  • Basis-CRL

    Die Zertifikatsperrliste (CRL) enthält die Seriennummern der von der Zertifizierungsstelle gesperrten Zertifikate, die mit dem privaten Schlüssel der Zertifizierungsstelle signiert sind. Wenn Sie das Zertifikat einer Zertifizierungsstelle mit einem neuen Schlüsselpaar erneuern, verwaltet die Zertifizierungsstelle zwei separate CRLs – eine für jedes von der Zertifizierungsstelle verwaltete Schlüsselpaar. Alle Versionen des Microsoft Windows-Betriebssystems erkennen Basis-CRLs.

  • Delta-Zertifikatssperrliste

    Diese enthält nur die Seriennummern der Zertifikate, die von der Zertifizierungsstelle seit der letzten Veröffentlichung der Basis-CRL widerrufen wurden. Auch hier gilt: Wird das Zertifikat der Zertifizierungsstelle mit einem neuen Schlüsselpaar erneuert, werden für jedes CA-Schlüsselpaar separate Delta-CRLs geführt. Mit Delta-CRLs können Sie Widerrufsinformationen schneller veröffentlichen und kleinere Updates von Clientcomputern herunterladen.

  • OCSP

    Das Online Certificate Status Protocol (OCSP) bietet einen Antwortdienst, der entweder eine direkte Verbindung zu einer CA-Datenbank herstellen oder die von der CA veröffentlichten Basis- und Delta-CRLs überprüfen kann, um den Widerrufsstatus eines bestimmten Zertifikats zu bestimmen.

Zertifikatsverwaltung

Verhindern Sie Zertifikatsausfälle, optimieren Sie IT-Vorgänge und erreichen Sie Agilität mit unserer Zertifikatsverwaltungslösung.

Demo buchen

Wie kann Encryption Consulting helfen?

Encryption Consulting bietet eine spezialisierte Lösung zur Verwaltung des Zertifikatslebenszyklus CertSecure ManagerVon der Erkennung und Bestandsaufnahme bis hin zu Ausstellung, Bereitstellung, Erneuerung, Widerruf und Berichterstellung. CertSecure bietet eine umfassende Lösung. Intelligente Berichterstellung, Warnmeldungen, Automatisierung, automatische Bereitstellung auf Servern und Zertifikatsregistrierung sorgen für zusätzliche Raffinesse und machen CertSecure zu einem vielseitigen und intelligenten Tool.

Fazit

Vertrauen und Sicherheit sind grundlegende Säulen für digitale Kommunikation und Transaktionen in der sich ständig weiterentwickelnden Cybersicherheitslandschaft. SSL/TLS-Zertifikate sind unerlässlich, um dieses Vertrauen aufzubauen, die Datenverschlüsselung zu gewährleisten und sichere Verbindungen zwischen Benutzern und Servern zu ermöglichen. Der Widerruf von Zertifikaten ist jedoch angesichts möglicher Kompromittierungen oder des Verlusts der Vertrauenswürdigkeit ein kritischer Prozess.

Durch den Widerruf eines Zertifikats werden SSL/TLS-Zertifikate vor ihrem Ablaufdatum ungültig. Ein widerrufenes Zertifikat ist nicht mehr für den Aufbau sicherer Verbindungen geeignet und wird von Webbrowsern und anderen Client-Anwendungen nicht mehr als vertrauenswürdig eingestuft. Gründe für den Widerruf eines Zertifikats sind beispielsweise die Gefährdung des privaten Schlüssels, Statusänderungen des Zertifikatsinhabers, die Erkennung betrügerischer Zertifikate oder das Ablaufdatum des Zertifikats.

Durch den sofortigen Widerruf kompromittierter oder nicht vertrauenswürdiger Zertifikate können Zertifizierungsstellen und -organisationen potenzielle Sicherheitsverletzungen verhindern und Benutzer vor dem Zugriff auf unsichere Websites oder Dienste schützen. Widerrufene Zertifikate müssen durch neue, gültige Zertifikate ersetzt werden, um die sichere Kommunikation wiederherzustellen.

Entdecken

Weitere Themen