SECURITY-THEMEN

Clientzertifikate und Serverzertifikate: Wodurch unterscheiden sie sich?

Digitale Zertifikate werden überall eingesetzt.

Identifizierung von Clients oder Benutzern

Bei der Erwähnung von PKI oder "Clientzertifikaten" denken viele Menschen wahrscheinlich an Unternehmen, die damit beschäftigt sind, die Online-Transaktionen ihrer Kunden zu schützen und abzuwickeln. Doch diese Zertifikate finden sich überall in unserem Alltag und sie treten in zahlreichen Varianten auf, beispielsweise wenn wir uns bei einem VPN (Virtual Private Network) einloggen, Geld an einem Bankautomaten abheben, uns mithilfe einer Karte Zutritt zu einem Gebäude verschaffen oder beispielsweise eine Oyster-Smartcard im Londoner öffentlichen Nahverkehr nutzen. Selbst in Tanksäulen, in Robotern an Montagebändern der Automobilindustrie und sogar in unseren Pässen kommen diese digitalen Zertifikate zum Einsatz.

 

In Kontinentaleuropa und in vielen sogenannten "Schwellenländern" sind Clientzertifikate besonders weit verbreitet. So stellen Regierungen Ausweise aus, die für mehrere Zwecke genutzt werden können, z. B. um Steuern zu zahlen, Stromrechnungen zu begleichen oder als Führerschein zu dienen.  Dafür gibt es einen einfachen Grund: Clientzertifikate spielen eine wichtige Rolle beim Schutz von Nutzern im Internet. Wie der Name schon sagt, wird mithilfe eines solchen Zertifikats  ein Client oder ein Benutzer  identifiziert – es authentifiziert den Client beim Server und stellt genau fest, um wen es sich handelt.

Identifizierung von Clients oder Benutzern

Verschlüsselung schützt Daten während der Übertragung

Server- oder SSL-Zertifikate haben ähnliche Aufgaben wie Clientzertifikate. Der Unterschied besteht darin, dass Clientzertifikate den Client oder die Einzelperson identifizieren und mit Server- oder SSL-Zertifikaten der Betreiber der Website authentifiziert wird. Serverzertifikate werden in der Regel auf Hostnamen ausgestellt. Dies kann ein Gerätename (wie "XYZ-SERVER-01") oder ein Domainname (wie "www.symantec.com") sein. Ein Webbrowser stellt eine Verbindung mit dem Server her und validiert die Authentizität eines SSL-Serverzertifikats. Dies zeigt dem Benutzer, dass seine Interaktion mit der Website nicht von Dritten abgehört wird und die Website genau die ist, für die sie sich ausgibt. Diese Art von Sicherheit ist beim Online-Handel von entscheidender Bedeutung, was auch der Grund dafür ist, dass Zertifikate inzwischen so weitverbreitet zum Einsatz kommen.

Doch wie funktioniert dies? In der Praxis bezieht ein Website-Betreiber ein Zertifikat, indem er eine Signaturanforderung für ein Zertifikat (Certificate Signing Request, CSR) bei einem Zertifikatanbieter beantragt. Dabei handelt es sich um ein elektronisches Dokument, das alle wichtigen Informationen enthält: Name der Website, E-Mail-Adresse des Ansprechpartners und Angaben zum Unternehmen. Der Zertifikatanbieter signiert die Anforderung und erzeugt ein öffentliches Zertifikat, das jedem Webbrowser zugestellt wird, der eine Verbindung mit der Website herstellt, und – was entscheidend ist – dem Webbrowser gegenüber nachweist, dass der Anbieter ein Zertifikat für die Person ausgestellt hat, von der er annimmt, dass sie der Betreiber der Website ist. Vor der Ausstellung eines Zertifikats fordert der Zertifikatanbieter die E-Mail-Adresse des Ansprechpartners für die Website von einer öffentlichen Domainregistrierungsstelle an und überprüft die veröffentlichte Adresse mit der in der Zertifikatanforderung angegebenen E-Mail-Adresse. Auf diese Weise wird sichergestellt, dass der Vertrauenskreis ("Circle of Trust") geschlossen wurde.

Außerdem kann eine Website so konfiguriert werden, dass jeder Nutzer, der eine Verbindung herstellen möchte, ein gültiges Clientzertifikat sowie einen gültigen Benutzernamen und ein gültiges Passwort bereitstellen muss. Dies wird in der Regel als "Zwei-Faktor-Authentifizierung" bezeichnet – in diesem Fall, "etwas, das Ihnen bekannt ist" (Passwort) und "etwas, das Sie besitzen" (Zertifikat).

Für diejenigen, die Geschäfte im Internet abwickeln, bedeuten Zertifikate eine Aufhebung der Anonymität. Sie bieten stattdessen die Gewissheit, dass Sie der Person vertrauen können und sie diejenige ist, für die sie sich ausgibt. In einer Online-Welt, in der unsere Sicherheit ständig gefährdet ist, ist diese Zusicherung von unschätzbarem Wert.

MEHR ERFAHREN

Erste Schritte mit SSL/TLS

SSL/TLS erklärt

Ob als Einzelpersonen oder Unternehmen – Sie sollten Online-Sicherheit auf dieselbe Weise angehen wie die physische Sicherheit Ihres Zuhauses oder Ihrer Firma.


Dieser Leitfaden erklärt die zugrunde liegende Technologie und gibt Ihnen die benötigten Informationen an die Hand, um bei der Auswahl Ihrer Optionen für Online-Sicherheit die beste Entscheidung zu treffen.

"ERSTE SCHRITTE" LESEN
Wie funktioniert SSL/TLS?

Wie funktioniert SSL/TLS? Was ist ein SSL/TLS-Handshake?

Damit eine SSL/TLS-Verbindung ausgehandelt kann, muss der Systemadministrator mindestens zwei Dateien vorbereiten:  den privaten Schlüssel und das Zertifikat. Bei der Beantragung eines SSL/TLS-Zertifikats von einer Zertifizierungsstelle wie Symantec Trust Services muss eine zusätzliche Datei erstellt werden. Diese Datei wird als  Signaturanforderung für ein Zertifikat (Certificate Signing Request, CSR) bezeichnet und vom privaten Schlüssel generiert. 

Weiterlesen

FATCA-Daten mit Symantec Secure Site SSL-Zertifikat

FATCA-Daten mit Symantec Secure Site SSL-Zertifikat

Der von den USA 2010 erlassene Foreign Account Tax Compliance Act (FATCA) soll die Steuertransparenz verbessern sowie Steuerhinterziehungen durch US-Steuerpflichtige bekämpfen.

Dieses Gesetz betrifft steuerpflichtige US-Bürger mit bestimmten ausländischen Finanzkonten und Offshore-Depots sowie ausländische Finanzinstitute mit Konten von US-Steuerzahlern oder US-Finanzinstitute mit Zahlungen an ausländische Gesellschaften.

Weiterlesen

Verlängerung von SSL/TLS-Zertifikaten

Verlängerung von SSL/TLS-Zertifikaten

Die fristgerechte Verlängerung Ihrer SSL/TLS-Zertifikate ist eine der einfachsten Methoden, um die Informationen Ihrer Website-Besucher zu schützen.


Weiterlesen

Community beitreten

Nehmen Sie an Security-Diskussionen auf Symantec Connect teil

SYMANTEC CONNECT

Folgen Sie Threat Intelligence auf Twitter @Threatintel

SYMANTEC ON TWITTER

Sehen Sie sich Videos auf dem Symantec Website Security YouTube-Kanal an.

SYMANTEC ON YOUTUBE