In der Welt der IT-Sicherheit sind Zertifikate ein grundlegender Bestandteil, um die Authentizität und Integrität von Daten zu gewährleisten. Zertifikate werden von Zertifizierungsstellen (Certificate Authorities, CAs) ausgestellt, die als vertrauenswürdige Instanzen fungieren. Eine Public-Key-Infrastruktur (PKI) verwendet diese Zertifikate, um die sichere Kommunikation zwischen Servern, Clients und anderen Endgeräten zu ermöglichen. Zwei wichtige Akteure in diesem System sind die Root Certificate Authority (RootCA) und die Subordinate Certificate Authority (SubCA).

Was ist eine RootCA?

Eine Root Certificate Authority (RootCA) ist die oberste Instanz in einer PKI-Hierarchie. Sie ist die vertrauenswürdigste CA und bildet die Grundlage für das gesamte Zertifikatssystem. Eine RootCA erstellt selbstsignierte Zertifikate, die von allen Beteiligten als vertrauenswürdig anerkannt werden. Das Zertifikat der RootCA muss in den sogenannten "Trust Stores" (Vertrauensspeicher) von Betriebssystemen, Browsern und anderen Anwendungen hinterlegt sein, um sicherzustellen, dass Zertifikate, die von dieser CA ausgestellt wurden, als vertrauenswürdig gelten.

Die RootCA stellt jedoch nicht direkt Zertifikate für Endnutzer oder Server aus. Stattdessen delegiert sie diese Aufgabe an untergeordnete Zertifizierungsstellen, die SubCAs.

Was ist eine SubCA?

Eine Subordinate Certificate Authority (SubCA) ist eine untergeordnete Zertifizierungsstelle, die von der RootCA autorisiert wird, Zertifikate für Endnutzer, Server oder andere Entitäten auszustellen. Während die RootCA die Vertrauensbasis bildet, übernimmt die SubCA die operative Rolle der Zertifikatausstellung. Dies hat den Vorteil, dass die RootCA vor unnötigen Angriffen und Fehlern geschützt werden kann, da sie nicht direkt mit dem Tagesgeschäft der Zertifikatausstellung betraut ist.

Eine SubCA erhält ihr eigenes Zertifikat von der RootCA, wodurch sie in der Lage ist, weitere Zertifikate auszustellen. Die SubCA muss strenge Sicherheitsrichtlinien befolgen, um die Vertrauenswürdigkeit der gesamten PKI-Infrastruktur nicht zu gefährden.

Unterschiede zwischen RootCA und SubCA

Die Hauptunterschiede zwischen RootCA und SubCA liegen in ihrer Funktion und ihrer Sicherheitsanforderung:

• Funktion: Die RootCA ist die oberste Zertifizierungsinstanz und stellt nur Zertifikate für SubCAs aus. Die SubCA stellt Zertifikate für Endnutzer und Systeme aus.


• Sicherheitsanforderung: Da die RootCA die Grundlage des gesamten Zertifizierungssystems ist, muss sie besonders stark abgesichert sein. Die SubCA übernimmt den operativen Part der Zertifikatsverwaltung und muss sicherstellen, dass sie im Einklang mit den Sicherheitsrichtlinien der RootCA arbeitet.


• Erreichbarkeit: Eine RootCA sollte möglichst nicht direkt erreichbar sein und wird oft offline betrieben, um das Risiko von Kompromittierungen zu minimieren. SubCAs hingegen müssen regelmäßig erreichbar sein, um Zertifikate auszustellen und zu verwalten.

Sicherheitsaspekte einer RootCA

Die Sicherheit einer RootCA ist von höchster Bedeutung, da sie das Fundament des Vertrauens in der gesamten PKI bildet. Wird eine RootCA kompromittiert, könnte das Vertrauen in alle von dieser CA ausgestellten Zertifikate untergraben werden. Daher gelten für RootCAs strenge Sicherheitsmaßnahmen:

• Offline-Betrieb: In den meisten Fällen sollte die RootCA offline betrieben werden, um sie vor direkten Cyberangriffen zu schützen. Sie wird nur bei Bedarf eingeschaltet, z. B. um eine neue SubCA zu signieren.


• Zugriffsbeschränkungen: Nur ein sehr kleiner Personenkreis sollte Zugriff auf die RootCA haben, und dieser Zugriff sollte streng kontrolliert und überwacht werden.


• Physische Sicherheit: Da die RootCA häufig auf speziell gesicherten Servern betrieben wird, sollten diese Server in physisch sicheren Umgebungen, wie z. B. Rechenzentren mit Zugangskontrollen, aufbewahrt werden.

Durch den Offline-Betrieb der RootCA und die Minimierung ihrer Erreichbarkeit kann das Risiko eines Angriffs oder Missbrauchs deutlich reduziert werden. Allerdings gibt es einige Herausforderungen, die bei dieser Praxis beachtet werden müssen.

Die Rolle von Sperrlisten (CRL)

Eine Sperrliste, auch Certificate Revocation List (CRL) genannt, ist eine Liste von Zertifikaten, die für ungültig erklärt wurden, z. B. aufgrund eines Schlüsselverlustes, Fehlverhaltens oder Sicherheitsvorfällen. Die CRL wird von der zuständigen Zertifizierungsstelle erstellt und veröffentlicht, damit alle Systeme in der PKI wissen, welche Zertifikate nicht mehr vertrauenswürdig sind.

Die CRL ist von zentraler Bedeutung, um sicherzustellen, dass kompromittierte oder abgelaufene Zertifikate nicht mehr verwendet werden können. Sie ist ein wesentlicher Bestandteil der Sicherheitsinfrastruktur und wird regelmäßig aktualisiert, um die Integrität des Zertifikatssystems aufrechtzuerhalten.

Offline-Betrieb der RootCA und die Herausforderung der CRL-Aktualisierung

Während der Offline-Betrieb der RootCA eine hohe Sicherheit bietet, muss dennoch sichergestellt werden, dass die SubCA regelmäßig Zugriff auf die CRL erhält. Da die SubCA mindestens einmal im Jahr die CRL von der RootCA abholen muss, um sicherzustellen, dass ungültige Zertifikate gesperrt werden, kann es hier zu Komplikationen kommen.

Eine unzugängliche oder abgeschaltete RootCA könnte dazu führen, dass die CRL nicht rechtzeitig aktualisiert wird, was potenziell dazu führt, dass kompromittierte Zertifikate weiterhin im Umlauf sind. Aus diesem Grund muss die RootCA in regelmäßigen Abständen aktiviert werden, um die SubCAs mit aktuellen Sperrlisten zu versorgen.

Empfehlungen für den sicheren Betrieb einer RootCA und SubCA

Um eine sichere und zuverlässige Zertifikatsinfrastruktur zu gewährleisten, sollten folgende Empfehlungen beachtet werden:

1. Offline-Betrieb der RootCA: Halten Sie die RootCA offline und schalten Sie sie nur dann ein, wenn eine neue SubCA signiert oder die CRL aktualisiert werden muss.


2. Regelmäßige CRL-Aktualisierung: Stellen Sie sicher, dass die SubCA regelmäßig die aktualisierte CRL von der RootCA abruft, um die Gültigkeit der Zertifikate zu überprüfen.


3. Strenge Zugriffskontrollen: Beschränken Sie den Zugang zur RootCA und stellen Sie sicher, dass alle Zugriffe protokolliert und überwacht werden.


4. SubCA-Sicherheit: Achten Sie darauf, dass auch die SubCAs durch entsprechende Sicherheitsmaßnahmen geschützt sind, um Angriffe oder Fehlkonfigurationen zu verhindern.

Schlussfolgerung

RootCAs und SubCAs sind die tragenden Säulen jeder PKI-Infrastruktur und erfordern strikte Sicherheitsmaßnahmen, um die Integrität und Vertrauenswürdigkeit der ausgestellten Zertifikate zu gewährleisten. Der Offline-Betrieb der RootCA bietet hohe Sicherheit, muss jedoch sorgfältig verwaltet werden, insbesondere im Hinblick auf die regelmäßige Aktualisierung der Sperrlisten. Durch die Einhaltung bewährter Sicherheitspraktiken können Unternehmen eine robuste Zertifikatsinfrastruktur aufbauen, die langfristig sicher und zuverlässig ist.

Wir als IT-Dienstleister stehen Ihnen gerne zur Seite, um Sie bei der Implementierung und Verwaltung Ihrer Zertifikatsinfrastruktur zu unterstützen. Kontaktieren Sie uns, um mehr über unsere maßgeschneiderten Sicherheitslösungen und IT-Dienstleistungen zu erfahren.