Zum Inhalt springen

Sinn/Zweck und Funktionsweise RootCA

Fenixxus

Von Fenixxus
in Security

 Teilen

Empfohlene Beiträge

Fenixxus

Fenixxus

Geschrieben
Geschrieben

Hallo zusammen,

wie kann man den Sinn/Zweck und Funktionsweise einer RootCA beschreiben?

Meine Definition:

Sobald man der Root-CA vertraut, vertraut man auch allen Zertifikaten die unter der Root-CA ausgestellt wurden. Daher muss unbedingt der Fingerprint der RootCA vor Beginn des Verfahrens geprüft werden.

Die RootCA ist die oberste Zertifizierungstelle, der alle anderen Vertrauen.

Vorteil:

-Kompromittierung des privaten Schlüssels entfällt, da die RootCA nach der Erstellung des Private Keys (PK) offline gehen kann.

So ganz zufrieden bin ich damit noch nicht.

Ich hoffe jemand könnte dies ein wenig ergänzen.

lordy

lordy

Geschrieben
Geschrieben

Die RootCA ist die oberste Zertifizierungstelle, der alle anderen Vertrauen.

Das finde ich unglücklich vormuliert. Du kannst ja schließlich mehreren Root-CAs vertrauen, wie das auch dein Browser tut. Du mußt dir nur beim Import einer CA bewußt sein, das du damit allen Zertifikaten, die von dieser CA signiert wurden, vertraust.

Vorteil:

-Kompromittierung des privaten Schlüssels entfällt, da die RootCA nach der Erstellung des Private Keys (PK) offline gehen kann.

Wie meinst du das ? Natürlich kann ich auch den privaten Schlüssel einer Root-CA kompromitieren. Der CA-Verwalter sollte mir das aber entsprechend schwer machen, in dem er den Key sicher, bspw. nur in einem Bankschließfach, aufbewahrt.

lordy

lordy

Geschrieben
Geschrieben

Das ist mir schon klar :)

Aus deiner ursprünglichen Beschreibung klang es nur so, als seien Root-CAs völlig unkompromitierbar. Außerdem weißt du ja nicht, wie der jeweilige Verwalter den Key behandelt...

Fenixxus

Fenixxus

Geschrieben
  • Autor
Geschrieben

Dann habe ich ein wenig unverständlich ausgedrückt, Entschuldigung.

Gibt es sonst noch irgendwelche Vorteile? Muss eine "normale" CA (quasi eine UnterCA von RootCA) das Zertifikat von RootCA besitzen bzw. erweitern, so dass das Zertifikat in etwa so aussieht:

-PKCA

-CA

-SignaturRCA

Oder woran kann ein Empfänger A erkennen, dass die SubCA zur RootCA gehört?

lordy

lordy

Geschrieben
Geschrieben
Oder woran kann ein Empfänger A erkennen, dass die SubCA zur RootCA gehört?

Die Sub-CA wird von der Root-CA signiert, genau wie die "normalen" Zertifikate, die sie evtl. ausstellt. Der Unterschied besteht darin, das das Sub-CA-Zertifikat zum weiteren signieren verwendet werden kann, normale Client-Zertifikate jedoch nicht.

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...