Freigeben über


Hierarchie der Vertrauensstellung

Damit digitalen Zertifikate wirksam werden, müssen die Benutzer von Zertifikaten ein hohes Vertrauen in sie haben. Es gibt Fälle, in denen ein Benutzer dem Aussteller eines Zertifikats nicht vertraut. Dies kann passieren, wenn der Zertifikatbenutzer noch nie von der Zertifizierungsstelle gehört hat und daher mit der Annahme eines Zertifikats von diesem Aussteller am Nennwert unangenehm ist. Dieses Problem wird im Zertifizieren durch eine Vertrauenshierarchie behoben.

Eine Vertrauenshierarchie beginnt mit mindestens einer Zertifizierungsstelle, die von allen Entitäten in der Zertifikatkette als vertrauenswürdig eingestuft wird. Dies kann ein interner Zertifizierungsstellenadministrator oder ein externes Unternehmen oder eine externe Organisation sein, die sich auf die Überprüfung von Identitäten und ausstellen von Zertifikaten spezialisiert hat. Diese Autorität wird als Stammautoritätbezeichnet. Die Stammzertifizierungsstelle zertifiziert dann andere Zertifizierungsstellen, die als Zertifizierungsstellen der ersten Ebene bezeichnet werden, die dann Zertifikate ausstellen und auch zusätzliche oder sekundäre Zertifizierungsstellen zertifizieren können. Diese Situation ist in der folgenden Abbildung dargestellt.

Hierarchie der Vertrauensstellung

Die Identität der Zertifizierungsstelle, die ein Zertifikat ausgibt, ist Teil eines Zertifikats. Diese Zertifizierungsstelle wird als Aussteller des Zertifikats bezeichnet. Wenn der Aussteller eines Zertifikats eine Zertifizierungsstelle der Stufe 1 oder Stufe 2 ist, kann der Empfänger dieses Zertifikats bestimmen, ob der Aussteller des Zertifikats von einer Zertifizierungsstelle auf einer Ebene darüber als gültige Zertifizierungsstelle zertifiziert ist und dass die Zertifizierungsstelle auf höherer Ebene von einer Zertifizierungsstelle auf höherer Ebene als gültige Zertifizierungsstelle zertifiziert wird, bis festgestellt wird, dass eine Vertrauenskette zwischen der niedrigsten Ebene vorhanden ist. Zertifizierungsstelle und die Stammzertifizierungsstelle.

In der vorstehenden Abbildung kann beispielsweise überprüft werden, ob ca #4 von CA #1 als Zertifizierungsstelle zertifiziert wurde und dass ca #1 von der Stammzertifizierungsstelle als Zertifizierungsstelle zertifiziert wurde. Wenn also ein Zertifikat einer Zertifizierungsstelle auf niedrigerer Ebene zusammen mit der verschlüsselten Nachricht übergeben wird, werden Informationen zu allen Zertifikaten in ihrer Vertrauenskette bis zum Stamm übergeben.

Die soeben dargestellte Abbildung und Beschreibung ist konzeptionell. In der realen Welt entwickelt sich die Situation der Zertifizierungsstelle weiter, und es wurde keine einzige Stammzertifizierungsstelle eingerichtet oder akzeptiert. Kurzfristig wird sich die Autoritätsinsel entwickeln, wie in der folgenden Abbildung dargestellt.

Autoritätsinseln in einer Hierarchie der Vertrauensstellung

In der Zeit könnten die Stamminseln, "Root 1" und "Root 2" in der Abbildung zu CAs der Ebene 1 zu einer einzigen Stammzertifizierungsstelle werden. Zu diesem Zeitpunkt hätte die Situation wieder eine einzige Stammautorität. Es bleibt zu sehen, wie sich das tatsächliche Bild weiterentwickeln wird.