In der Geheimschrift sind ein öffentliches Schlüsselzertifikat (auch bekannt als ein Digitalzertifikat oder Identitätszertifikat) ein elektronisches Dokument, das eine Digitalunterschrift verwendet, um einen öffentlichen Schlüssel mit einer Identität - Information wie der Name einer Person oder einer Organisation, ihrer Adresse und so weiter zu binden. Das Zertifikat kann verwendet werden, um nachzuprüfen, dass ein öffentlicher Schlüssel einer Person gehört.

In einem typischen Schema der öffentlichen Schlüsselinfrastruktur (PKI) wird die Unterschrift von einer Zertifikat-Autorität (CA) sein. In einem Web des Vertrauensschemas ist die Unterschrift irgendeines der Benutzer (ein selbstunterzeichnetes Zertifikat) oder die anderen Benutzer ("Indossierungen"). In jedem Fall sind die Unterschriften auf einem Zertifikat Bescheinigungen durch den Zertifikat-Unterzeichner, dass die Identitätsinformation und der öffentliche Schlüssel zusammengehören.

Für die nachweisbare Sicherheit hat dieses Vertrauen auf etwas Äußerlichem zum System die Folge, dass sich jedes öffentliche Schlüsselzertifikat-Schema auf eine spezielle Einstellungsannahme wie die Existenz einer Zertifikat-Autorität verlassen muss.

Zertifikate können für mit Sitz in Unix Server mit Werkzeugen wie der Befehl von OpenSSL geschaffen werden. oder SuSE. Diese können verwendet werden, um ungeführte Zertifikate, Zertifikate von Certification Authority (CA) auszugeben, um andere Zertifikate zu führen, und Benutzer- und/oder Computerzertifikat bittet, durch den CA, sowie mehrer anderen unterzeichnet zu werden, Zertifikat hat Funktionen verbunden.

Ähnlich enthalten Microsoft Windows 2000 Server und Windows Server 2003 Certification Authority (CA) als ein Teil von Certificate Services für die Entwicklung von Digitalzertifikaten. Im Windows-Server 2008 kann der CA als ein Teil von Active Directory Certificate Services installiert werden. Der CA wird verwendet, um Zertifikate Benutzern und/oder Computern zu führen und zentral auszugeben. Microsoft stellt auch mehrere verschiedene Zertifikat-Dienstprogramme, solcher als SelfSSL.exe zur Verfügung, um ungeführte Zertifikate, und Certreq.exe zu schaffen, um zu schaffen und zu behaupten, dass Zertifikat bittet, durch den CA, und certutil.exe für mehrer anderen unterzeichnet zu werden, hat Zertifikat Funktionen verbunden.

Inhalt eines typischen Digitalzertifikats

Seriennummer: Verwendet, um das Zertifikat einzigartig zu identifizieren.

Thema: Die Person oder Entität haben sich identifiziert.

Unterschrift-Algorithmus: Der Algorithmus hat gepflegt, die Unterschrift zu schaffen.

Unterschrift: Die wirkliche Unterschrift, um nachzuprüfen, dass es aus dem Aussteller gekommen ist.

Aussteller: Die Entität, die die Information nachgeprüft hat und das Zertifikat ausgegeben hat.

Gültig - Von: Das Datum das Zertifikat ist zuerst davon gültig.

Gültig - Zu: Das Verfallsdatum.

Schlüsselgebrauch: Zweck des öffentlichen Schlüssels (z.B encipherment, Unterschrift, Zertifikat, das... unterzeichnet).

Öffentlicher Schlüssel: Der öffentliche Schlüssel.

Daumenabdruck-Algorithmus: Der Algorithmus, der an das Kuddelmuddel der öffentliche Schlüssel verwendet ist.

Daumenabdruck: Das Kuddelmuddel selbst, verwendet als eine abgekürzte Form des öffentlichen Schlüssels.

Klassifikation

Verkäufer hat Klassen definiert

VeriSign verwendet das Konzept von Klassen für verschiedene Typen von Digitalzertifikaten:

• Klasse 1 für Personen, die für die E-Mail beabsichtigt sind.
• Die Klasse 2 für Organisationen, für die der Beweis der Identität erforderlich ist.
• Die Klasse 3 für Server und das Softwareunterzeichnen, für das unabhängige Überprüfung und Überprüfung der Identität und Autorität von der herauskommenden Zertifikat-Autorität getan werden.
• Klasse 4 für Online-Geschäftstransaktionen zwischen Gesellschaften.
• Klasse 5 für private Organisationen oder Regierungssicherheit.

Andere Verkäufer können beschließen, verschiedene Klassen oder keine Klassen überhaupt zu verwenden, weil das im SSL Protokoll aber nicht angegeben wird, entscheiden sich die meisten wirklich dafür, Klassen in einer Form zu verwenden.

Gebrauch in der Europäischen Union

Die EU-Direktive 1999/93/EC über ein Gemeinschaftsfachwerk für elektronische Unterschriften definiert qualifiziertes Zertifikat des Begriffes als "ein Zertifikat, das den Anforderungen entspricht, die im Anhang I aufgestellt sind, und von einem Zertifikat-Dienstleister zur Verfügung gestellt wird, der die im Anhang II aufgestellten Forderungen erfüllt":

Qualifizierte Zertifikate müssen enthalten:

(a) eine Anzeige, dass das Zertifikat als ein qualifiziertes Zertifikat ausgegeben wird;

(b) die Identifizierung des Zertifikat-Dienstleisters und des Staates, in dem es gegründet wird;

(c) der Name des Unterzeichners oder eines Pseudonyms, das als solcher identifiziert werden soll;

(d) die Bestimmung für ein spezifisches Attribut des Unterzeichners, der, wenn wichtig, abhängig vom Zweck einzuschließen ist, zu dem das Zertifikat beabsichtigt ist;

(e) Daten der Unterschrift-Überprüfung, die Daten der Unterschrift-Entwicklung unter der Kontrolle des Unterzeichners entsprechen;

(f) eine Anzeige des Anfangs und Endes der Periode der Gültigkeit des Zertifikats;

(g) der Identitätscode des Zertifikats;

(h) die fortgeschrittene elektronische Unterschrift des Zertifikat-Dienstleisters, der es ausgibt;

(i) Beschränkungen auf das Spielraum des Gebrauches des Zertifikats, wenn anwendbar; und

(j) Grenzen auf dem Wert von Transaktionen, für die das Zertifikat, wenn anwendbar, verwendet werden kann.

Voraussetzungen des Anhangs II für Zertifikat-Dienstleister, die herauskommen, haben Zertifikate qualifiziert

Zertifikat-Dienstleister müssen:

(a) demonstrieren Sie die Zuverlässigkeit, die notwendig ist, um Zertifikat-Dienstleistungen zur Verfügung zu stellen;

(b) sichern Sie die Operation eines schnellen und sicheren Verzeichnisses und eines sicheren und unmittelbaren Revokationsdienstes;

(c) stellen Sie sicher, dass das Datum und Zeit, wenn ein Zertifikat ausgegeben oder widerrufen wird, genau bestimmt werden kann;

(d), prüfen Sie durch passende Mittel in Übereinstimmung mit dem nationalen Gesetz, der Identität und, wenn anwendbar, irgendwelche spezifischen Attribute der Person nach, der ein qualifiziertes Zertifikat ausgegeben wird;

(e) stellen Sie Personal an, die die Erfahrung, Erfahrung und für die Dienstleistungen notwendigen Qualifikationen vorausgesetzt dass, in der besonderen Kompetenz am Direktionsniveau, Gutachten in der elektronischen Unterschrift-Technologie und Vertrautheit mit richtigen Sicherheitsverfahren besitzen; sie müssen sich auch administrativ und Verwaltungsverfahren wenden, die entsprechend sind und anerkannten Standards entsprechen;

(f) verwenden Sie vertrauenswürdige Systeme und Produkte, die gegen die Modifizierung geschützt werden und die technische und kryptografische Sicherheit des von ihnen unterstützten Prozesses sichern;

(g) ergreifen Sie Maßnahmen gegen die Fälschung von Zertifikaten, und in Fällen, wo der Zertifikat-Dienstleister Daten der Unterschrift-Entwicklung, Garantie-Vertraulichkeit während des Prozesses erzeugt, solche Daten zu erzeugen;

(h) erhalten Sie genügend Finanzmittel aufrecht, in Übereinstimmung mit den Voraussetzungen zu funktionieren, die in der Direktive aufgestellt sind, insbesondere die Gefahr der Verbindlichkeit für Schäden zum Beispiel zu tragen, indem sie passende Versicherung erhalten;

(i) registrieren Sie die ganze relevante Information bezüglich eines qualifizierten Zertifikats seit einer passenden Zeitspanne insbesondere zum Zweck, Beweise des Zertifikats zu den Zwecken von Prozessen zur Verfügung zu stellen. Solche Aufnahme kann elektronisch getan werden;

(j) nicht versorgen oder kopieren Daten der Unterschrift-Entwicklung der Person, der der Zertifikat-Dienstleister Schlüsselverwaltungsdienstleistungen zur Verfügung gestellt hat;

(k) vor dem Eintreten in eine vertragliche Beziehung mit einer Person, die ein Zertifikat sucht, um seine elektronische Unterschrift zu unterstützen, informieren dass Person durch ein haltbares Mittel der Kommunikation der genauen Begriffe und Bedingungen bezüglich des Gebrauches des Zertifikats, einschließlich irgendwelcher Beschränkungen auf seinen Gebrauch, die Existenz eines freiwilligen Akkreditierungsschemas und Verfahren für Beschwerden und Streitansiedlung. Solche Information, die elektronisch übersandt werden kann, muss schriftlich und auf der redily verständlichen Sprache sein. Relevante Teile dieser Information müssen auch auf Anfrage erhältlich Dritten gemacht werden, die sich auf das Zertifikat verlassen;

(l) verwenden Sie vertrauenswürdige Systeme, um Zertifikate in einer nachprüfbaren Form so dass zu versorgen:

• nur Befugte können Einträge und Änderungen, machen
• Information kann für die Echtheit, überprüft werden
• Zertifikate sind für die Wiederauffindung in nur jenen Fällen öffentlich verfügbar, für die die Zustimmung des Zertifikat-Halters, und erhalten worden ist
• irgendwelche technischen Änderungen, die diese Sicherheitsvoraussetzungen in Verlegenheit bringen, sind für den Maschinenbediener offenbar.

Zertifikate und Website-Sicherheit

Der grösste Teil der üblichen Anwendung von Zertifikaten ist für HTTPS-basierte Websites. Ein WWW-Browser macht das ein SSL gültig (Transportschicht-Sicherheit) Webserver ist authentisch, so dass sich der Benutzer sicher fühlen kann, dass seine/ihre Wechselwirkung mit der Website keine Lauscher hat, und dass die Website ist, wer es behauptet zu sein. Diese Sicherheit ist für den elektronischen Handel wichtig. In der Praxis erhält ein Website-Maschinenbediener ein Zertifikat, indem er sich für einen Zertifikat-Versorger wendet (ein CA, der als ein kommerzieller Einzelhändler von Zertifikaten präsentiert) mit einem Zertifikat, Bitte unterzeichnend. Die Zertifikat-Bitte ist ein elektronisches Dokument, das den Website-Namen enthält, setzen Sie sich mit E-Mail-Adresse und Firmeninformation in Verbindung. Der Zertifikat-Versorger unterzeichnet die Bitte, so ein öffentliches Zertifikat erzeugend. Während des Webdurchsuchens wird diesem öffentlichen Zertifikat jedem WWW-Browser gedient, der zur Website in Verbindung steht und dem WWW-Browser beweist, dass der Versorger glaubt, dass es ein Zertifikat dem Eigentümer der Website ausgegeben hat.

Vor der Ausgabe eines Zertifikats wird der Zertifikat-Versorger um die Kontakt-E-Mail-Adresse für die Website von einem öffentlichen Domainname-Registrator bitten und überprüfen, dass die veröffentlichte Adresse gegen die E-Mail-Adresse in der Zertifikat-Bitte geliefert hat. Deshalb ist eine https Website nur im Ausmaß sicher, dass der Endbenutzer überzeugt sein kann, dass die Website von jemandem im Kontakt mit der Person bedient wird, die den Domainnamen eingeschrieben hat.

Als ein Beispiel, wenn ein Benutzer zu mit seinem Browser in Verbindung steht, wenn der Browser kein Zertifikat gibt, das Nachricht warnt, dann kann der Benutzer theoretisch überzeugt sein, dass aufeinander zu wirken, dazu gleichwertig ist, mit der Entität im Kontakt mit der E-Mail-Adresse aufeinander zu wirken, die im öffentlichen Registrator unter "example.com" verzeichnet ist, wenn auch diese E-Mail-Adresse nirgends auf der Website gezeigt werden darf. Keine andere Sicherheit jeder Art wird einbezogen. Weiter kann die Beziehung zwischen dem Käufer des Zertifikats, dem Maschinenbediener der Website und dem Generator des Website-Inhalts fein sein und wird nicht versichert. Bestenfalls, das Zertifikat versichert Einzigartigkeit der Website, vorausgesetzt, dass die Website selbst (zerhackt) oder der herauskommende gestürzte Zertifikat-Prozess nicht in Verlegenheit gebracht worden ist.

Verlängerte Gültigkeitserklärung

Zertifikat-Versorger geben "höhere Sicherheit" Zertifikate aus, die weitere Sicherheitskontrollen verlangen, und deshalb viel höhere Gebühren bevollmächtigen. Das wird eine Verlängerte Gültigkeitserklärung genannt. Dieser Sicherheitskontrolle-Querverweis der Eigentümer des Domainnamens mit dem Eigentümer der gesetzlichen Entität, die behauptet, darunter zu funktionieren. (Diese Kontrollen können die Präsentation von Dienstprogramm-Rechnungen, Pässen, usw. einschließen) Der Unterschied zwischen diesen höheren Sicherheitszertifikaten und regelmäßigen Zertifikaten ist, dass sich die Browser-URL-ADRESSE-Bar zu einer verschiedenen Farbe, gewöhnlich grün ändert. Diese verbesserte Sicherheit nimmt an, dass der Benutzer die Bedeutung der Farben weiß und beschließen würde, weg von der Seite zu schiffen, wenn die Farbkennzeichnung dem Zweck der Website nicht entsprechend war. Um für einen https://klar zu sein, sind Website-URL-ADRESSE, der Unterschied dazwischen, kein Zertifikat zu haben, und ein regelmäßiges Zertifikat zu haben, dass sich der Browser weigern wird, auf die Seite zuzugreifen, ohne mit dem Benutzer zu bestätigen. Vergleichsweise ist der Unterschied zwischen einem regelmäßigen Zertifikat und einem verlängerten Validierungszertifikat bloß eine Änderung in der Farbe.

Schwächen

Ein WWW-Browser wird keine Warnung dem Benutzer geben, wenn eine Website plötzlich ein verschiedenes Zertifikat präsentiert, selbst wenn dieses Zertifikat eine niedrigere Zahl von Schlüsselbit hat, selbst wenn es an Verlängerter Gültigkeitserklärung Mangel hat, selbst wenn es einen verschiedenen Versorger hat, und selbst wenn das vorherige Zertifikat ein Verfallsdatum weit in die Zukunft hatte. Wo Zertifikat-Versorger unter der Rechtsprechung von Regierungen sind, können jene Regierungen die Freiheit haben, dem Versorger zu befehlen, jedes Zertifikat, solcher bezüglich der Zwecke der Strafverfolgung zu erzeugen. Unterstützungsgroßhandelszertifikat-Versorger haben auch die Freiheit, jedes Zertifikat zu erzeugen. Alle WWW-Browser kommen mit einer umfassenden eingebauten Liste von vertrauten Wurzelzertifikaten, von denen viele von unbekannten Organisationen kontrolliert werden. Jede dieser Organisationen ist frei, jedes Zertifikat für jede Website auszugeben und die Garantie zu haben, dass alle WWW-Browser es als echt akzeptieren werden.

Die Liste von eingebauten Zertifikaten wird auch nicht befestigt: Benutzer (und zu einem Grad Anwendungen) sind frei, die Liste zu speziellen Zwecken solcher bezüglich des Firmenintranets zu erweitern. Wer auch immer im Stande ist, ein vorläufiges vertrautes Wurzelzertifikat in eine installierte Liste eines Browsers von vertrauten Wurzelzertifikaten einzufügen, wird die Freiheit haben, jedes Zertifikat mit der Garantie zu erzeugen, dass der WWW-Browser es als echt akzeptieren wird. Die einzige Weise, eine Fälschung wahrzunehmen, soll den Zertifikat-Pfad sorgfältig untersuchen.

Nützlichkeit gegen ungesicherte Websites

Trotz der Beschränkungen, die oben beschrieben sind, wird Zertifikat-beglaubigter SSL obligatorisch durch alle Sicherheitsrichtlinien betrachtet, wann auch immer eine Website vertrauliche Information veranstaltet oder materielle Transaktionen durchführt. Das ist, weil, in der Praxis, trotz der ernsten Fehler, die oben beschrieben sind, durch öffentliche Schlüsselzertifikate gesicherte Websites noch sicherer sind als ungesichert http:// Websites.

Siehe auch

• X.509
• Genehmigungszertifikat
• Zertifikat-Server
• OpenPGP

Links

• RFC 5280 Internet X.509 Publikum-Schlüsselinfrastruktur-Zertifikat und Profil von Certificate Revocation List (CRL)