ROOT CA standort

[f3nnek]

Hallo,

möchte mich einwenig weiterbilden zu Zertifikaten und CA´s. Eine Frage diese Root CA´s die Root Zertifikate ausstellen, wo sind den diese (Standort) und ist so eine Ausstellung eigentlich mit Kosten verbunden? THX

[Gast ADM]

Moin,

vor 38 Minuten schrieb f3nnek:

wo sind den diese (Standort)

da wo die Firmen ihren Hauptsitz haben. Das findest du auf der jeweiligen Website der CA. Achte aber nicht nur auf den Standort der jeweiligen CA, sondern vor allem auf die Vertraulichkeit der CA, welche Prüfverfahren angeboten werden und wie die Akzeptanz der Zertifikate von der CA bei Browsern und Betriebsystemen sind. 

Zitat

Ausstellung eigentlich mit Kosten verbunden?

Das kommt auf die jeweilige CA drauf an, welches Zertifikat und wie die Verifizierung ablaufen soll. In den meisten Fällen reicht aber ein Zertifikat von Lets Encrypt vollkommen aus. Die sind kostenlos, einfach und schnell zu besorgen. Die Zertifikate werden inzwischen von allen gängigen Browsern und Systemen akzeptiert.

[Maniska]

vor einer Stunde schrieb f3nnek:

Eine Frage diese Root CA´s die Root Zertifikate ausstellen, wo sind den diese (Standort)

"Im Internet" sind sie

Wahrscheinlich am Hauptstandort der Firmen, es kann aber auch sein, dass nur die firmeninterne Root-CA dort steht und diverese Sub-CAs auf den unterscheidlichen Kontinenten verteilt sind. Das halte ich sogar für wahrscheinlich, alles auf ein Pferd (eine Maschine) zu setzen wäre in dem Bereich grob Fahrlässig.

Zitat

und ist so eine Ausstellung eigentlich mit Kosten verbunden?

Jemand, der sich im Breicht Zertifikate weiterbilden möchte, sollte in der Lage sein das selbst herauszufinden .

Kurze Antwort: Kommt darauf an.

Lange Antwort: Kommt darauf an für was ein Zertifikat verwendet werden soll, wie angesehen es sein soll, welche Laufzeit, managed PKI...

[_n4p_]

Zunächst mal ist eine ROOT CA kein Ding sondern auch nur ein Stück Software, einen Standort zu bestimmen ist in dem Fall recht irrelevant. Da eine ROOT CA sich normalerweise selbst signiert sind auch die Kosten für so ein Zertifikat nicht wirklich bestimmbar. 

Letztlich kannst du deine eigene CA aufsetzen und auf Computern über die du die Kontrolle hast zu einer ROOT CA machen. Du kannst deine CA auch von jemand anderem signieren lassen, dann ist es aber keine ROOT CA (mehr).

vor 10 Stunden schrieb Maniska:

Sub-CAs auf den unterscheidlichen Kontinenten verteilt sind. Das halte ich sogar für wahrscheinlich, alles auf ein Pferd (eine Maschine) zu setzen wäre in dem Bereich grob Fahrlässig.

Fragwürdig, ich kann zwar mehrere ROOT CAs haben, aber wenn meine "SUB CAs" auf die gleiche ROOT CA angewiesen wären, hätte ich ja wieder das "Problem" das du verhindern willst. Allerdings ist das auch gar kein Problem, eine ROOT CA muss nicht 24/7 erreichbar sein. Ausgestellte Zertifikate bleiben gültig bis sie zurückgezogen werden. Auch wird die Chain-of-Trust dadurch nicht unterbrochen. Natürlich können in der Zeit keine Zertifikate ausgestellt oder zurückgezogen werden.

[f3nnek]

Aso ok. dachte immer das eine Root CA immer selbstständig sein muss (eigene Firma). Habe schon Anleitungen gesehen wie dann quasi eine root Zertifikatsstelle erstellt wird. siehe: https://sid-500.com/2017/03/31/active-directory-zertifikatsdienste-teil-1-installation-einer-enterprise-root-ca/

ist dann eine "normale" Zertifizierungsstelle unter Windows Server dann eine Untergeordnete Stelle?

[Gast ADM]

Zitat

Aso ok. dachte immer das eine Root CA immer selbstständig sein muss (eigene Firma)

Nein. Grundsätzlich kann jeder eine Root CA aufbauen. Der Knackpunkt ist aber, dass das Zertifikat deiner CA nicht im Trusted Store des Zertifikatsspeichers in Betriebsystemen/Browsern vorhanden ist. Sowas wird daher vor allem nur für die interne IT angewendet, wo du das Zertifikat deiner Root CA an die Clients automatisch ausrollen kannst.

Nun gibt es Firmen wie Thawte oder Comodo, dessen Zertifikate für ihre Root CAs in den Betriebsystemen/Browsern hinterlegt ist. Somit vertrauen weltweilt alle Clients dessen ausgestellte Zertifikate. Wenn du also z.B eine Website betreibst, dann brauchst du ein solches Zertifikat von einer öffentlichen CA.

Zitat

ist dann eine "normale" Zertifizierungsstelle unter Windows Server dann eine Untergeordnete Stelle?

Nein. Es gibt ja noch keine Untergeordnete Stelle. Du baust dir ja erstmals eine komplett eigene CA auf. Anschließend könntest du weitere Sub CAs auf Basis der Root CA erstellen. Das ist vor allem bei größeren Unternehmen von Vorteil, für den Fall, dass eine Sub CA kompromittiert wird. In diesen Fall muss lediglich die Sub CA und alle von der ausgestellten Zertifikate widerrufen werden statt alle. Somit hält sich der Schaden in grenzen.

Bearbeitet 18. Mai 2020 von ADM

[Maniska]

vor 23 Minuten schrieb f3nnek:

Aso ok. dachte immer das eine Root CA immer selbstständig sein muss (eigene Firma). Habe schon Anleitungen gesehen wie dann quasi eine root Zertifikatsstelle erstellt wird. siehe: https://sid-500.com/2017/03/31/active-directory-zertifikatsdienste-teil-1-installation-einer-enterprise-root-ca/

ist dann eine "normale" Zertifizierungsstelle unter Windows Server dann eine Untergeordnete Stelle?

Gib mal spaßeshalber bei einem Windowsrechner certlm.msc ein und schau mal was sich da alles unter "vertrauenswürdige Stammzertifizierungsstellen" tummelt. Vor allem schau mal was für eine lange Laufzeit diese Zertifikate haben.

Prinzipiell kann sich jeder eine Root-CA basteln, nur wird dieser "in der Welt" niemand vertrauen.

Vergleiche es mal mit Bargeld, den Spruch "das Papier nicht wert auf dem es gedruckt ist" kennst du sicher. Eine öffentliche CA ist wie der Euro, der Dollar, das Pfund oder auch Gold, man vertraut dieser Währung. Deine eigene Root-CA ist hingegen wie Monopolygeld oder Muscheln: Wenn man sich im sozialen Umfeld einig ist dass man intern damit bezahlen kann, dann ist das zwar toll, beim Bäcker bekommt man aber doch eher eine Schelle, statt einer Stulle für die bunten Scheine

Da "richtige" Zertifikate von öffentlichen Stellen Geld kosten (und max. 3 Jahre gültig sind) gehen viele Firmen her und nutzen intern sogenannte "self signed" Zertifikate, also Zertifikate die sie sich selbst signiert haben. Damit spart man Geld und kann trotzdem gewisse Sicherheitsstandards einhalten oder durchsetzen. Sei es https für das Urlaubstool im Intranet oder das Clientzertifikat für die Anmeldung im internen WLAN. Auch VMware kann nur über https erreicht werden, es wird aber im Default das Zertifikat als "nicht vertrauenswürdig" angemeckert, da es von keiner RootCA ausgestellt wurde, der man vertraut.