Kette des Vertrauens

Damit einem Zertifikat vom Empfänger einer Nachricht oder vom Client beim Zugriff auf einen Webserver vertraut werden kann, muss es von einer Zertifizierungsstelle (CA) beglaubigt (zertifiziert) worden sein. Um dieser Beglaubigung der Zertifizierungsstelle zu vertrauen, muss diese wiederum von einer höherwertigen CA zertifiziert sein usw. An oberster Stelle dieser Kette steht dabei eine Wurzelzertifizierungstelle (Root-CA). Die wichtigsten Root-CAs sind häufig bereits in Browsern oder Mailprogrammen integriert. Vertraut man dieser Wurzel, so vertraut man letztlich dem User oder Webserver-Zertifikat am Ende der Kette.

Üblicherweise wird beim Präsentieren eines Zertifikats immer die gesamte Kette mitgeschickt, so dass die Software (der Browser oder das Mailprogramm) das Zertifikat prüfen kann.

Falls das nicht der Fall sein sollte, kann die Kette des Vetrauens für HZB-Zertifikate, bestehend aus 3 Zertifikaten, hier geladen werden (nacheinander anklicken zum Laden):

  1. T-TeleSec GlobalRoot Class 2 (Telekom Root CA G2)
  2. DFN PCA G2
  3. DFN PCA Global 2 Issuing CA (HZB-CA)

Die Wurzel musste 2016 erneuert werden (Generation 2), da auch Root-Zertifikate nur eine begrenzte Gültigkeitsdauer haben. In der Folge mussten auch die davon abhängigen Zertifikate der Zertifizierungsstellen erneuert werden. Zur Verifizierung älterer Zertifikate wird daher noch die alte Kette des Vertrauens (Generation 1) benötigt:

  1. Zertifikat der Telekom-Root-CA
  2. DFN-PCA-Zertifikat
  3. Zertifikat der HZB CA

 

Und so sieht das z.B. in einem Browser (hier IE) aus: