Blog overview

Was ist eine Zertifizierungsstelle (Certificate Authority)?

7min · Published on 7. Oktober 2024 · Updated on 12. Dezember 2024
Luc Lippuner
Alles Wissenswerte zur Zertifizierungsstelle (Certificate Authority)
Luc Lippuner
 

Manche elektronischen Signaturen brauchen digitale Zertifikate, um rechtsgültig zu sein. Eine Zertifizierungsstelle (Certificate Authority, CA), oft auch Certificate Services Provider (CSP) oder Trust Service Provider (TSP) genannt, stellt solche digitalen Zertifikate aus. Doch welche Zertifizierungsstellen gibt es? Welche digitalen Zertifikate stellen sie aus? Und welche Voraussetzungen müssen sie dafür erfüllen? Diese und weitere Antworten rund um Zertifizierungsstellen finden Sie in diesem Artikel.

Das Wichtigste in Kürze

  • Definition: Eine Zertifizierungsstelle, auch Certificate Authority (CA) genannt, ist eine vertrauenswürdige Organisation, die digitale Zertifikate ausstellt und damit die Identität von Personen, Organisationen oder Objekten bestätigt.
  • Funktion: Durch die Ausstellung digitaler Zertifikate ermöglicht die Zertifizierungsstelle die Erstellung sicherer elektronischer Signaturen und gewährleistet die Authentizität und Integrität elektronischer Dokumente.
  • Anforderungen: Um als Zertifizierungsstelle anerkannt zu werden, muss die Organisation gesetzliche Vorgaben erfüllen und wird regelmäßig auf ihre Vertrauenswürdigkeit geprüft.
  • Beispiele in der Schweiz: Anerkannte Zertifizierungsstellen in der Schweiz sind unter anderem Swisscom, QuoVadis und SwissSign.

Zertifizierungsstellen in der Schweiz:

Die Schweiz hat eine Zertifizierungsinfrastruktur (PKI), die dafür sorgt, dass Anbieter elektronischer Signaturen offiziell anerkannt werden. Die Zertifizierungsstelle, die die Anbieter prüft und anerkennt, ist in der Schweiz die KPMG. Eine Liste mit den Anbietern in der Schweiz finden Sie hier.

Definition: Zertifizierungsstelle für digitale Zertifikate

Eine Zertifizierungsstelle, engl. Certificate Authority (CA) ist eine vertrauenswürdige Organisation, die auf Basis der Public-Key-Infrastruktur (PKI) digitale Zertifikate ausstellt und sie Personen, Organisationen oder Objekten zum Identitätsabgleich zuordnet. Sobald die Zertifizierungsstelle die Identität eines Antragstellers überprüft hat, generiert sie ein digitales Zertifikat, das sie mit ihrer privaten Schlüsseldatei (Private Key) digital signiert.

Definition: Zertifizierungsstelle für Zeitstempeldienste

Eine Zertifizierungsstelle kann neben digitalen Zertifikaten und anderen Vertrauensdiensten auch Zeitstempeldienste anbieten. Ein Zeitstempel stellt sicher, dass eine elektronische Signatur zu dem Zeitpunkt geleistet wurde, zu dem das digitale Zertifikat gültig war. Bei einer qualifizierten elektronischen Signatur (QES) ist dieser Zeitstempel in einigen Ländern, unter anderem in der Schweiz, gesetzlich vorgeschrieben.

Wozu dient eine Zertifizierungsstelle für digitale Zertifikate?

Zertifizierungsstellen sind anerkannte und vertrauenswürdige Instanzen, die digitale Zertifikate erstellen und auf Authentizität überprüfen. Sie zeichnen außerdem alle Aktivitäten im Zusammenhang mit der Erstellung und Prüfung von digitalen Zertifikaten auf. Zudem verwalten und veröffentlichen sie Zertifikatssperrlisten und bieten Zeitstempeldienste an.

Digitale Zertifikate sind ein Identitätsnachweis. Sie sind vergleichbar mit einem Personalausweis in der nicht-digitalen Welt. Die Erstellung und Überprüfung von digitalen Zertifikaten findet unter den höchsten Sicherheitsvorgaben statt. Zertifizierungsstellen sind also Vertrauensdienste-Anbieter, die staatlich anerkannt sind und regelmäßig überprüft werden.

Wie funktioniert eine Zertifizierungsstelle?

Eine Zertifizierungsstelle vergibt digitale Zertifikate, damit Personen, Organisationen oder Objekte eine digitale Signatur erstellen können. Digitale Zertifikate werden mit Hilfe eines mathematischen Verschlüsselungsverfahrens (auch Public-Key-Verfahren genannt) erstellt.

  • Tipp: Weitere Informationen zur digitalen Signatur finden Sie in unserem Ratgeber zu diesem Thema.

Was ist ein Public Key und ein Private Key?

Das digitale Zertifikat ist ein Datensatz, der aus verschiedenen Informationen besteht, u. a. dem Namen und dem öffentlichen Schlüssel des Zertifikatsinhabers. 

Der private Schlüssel ist nur der Person, Organisation oder dem Objekt (Webseite) bekannt und dient zur Erstellung der digitalen Signatur. 

Was ist eine Vertrauenskette?

Die Zusammensetzung und Hierarchie innerhalb eines digitalen Zertifikats wird Vertrauenskette genannt. Die Vertrauenskette besteht aus den folgenden Teilen:

  • Stammzertifikat der Zertifizierungsstelle
  • mindestens einem Zwischenzertifikat, das als Isolierung zwischen Stammzertifikat und erstelltem Zertifikat (End-Entity-Zertifikat) dient
  • erstelltes Zertifikat (End-Entity-Zertifikat), das zur Identitätsüberprüfung der Person, Organisation oder des Objekts genutzt wird

Was ist ein Stammzertifikat?

Um die Vertrauenskette herzustellen, unterschreibt die Zertifizierungsstelle ein Stammzertifikat, auch Wurzelzertifikat oder Root-Zertifikat genannt. Mit dem Stammzertifikat validiert die Zertifizierungsstelle alle Zertifikate, die sie ausstellt.

Was sind Certificate Policy (CP) und Certification Practice Statement (CPS)?

Eine Certificate Policy (Zertifikatsrichtlinie, CP) und die Certificate Practice Statement (Aussage über die Zertifizierungspraktiken, CPS) sind bei der Zertifizierungsstelle öffentlich einsehbare Dokumente, die beschreiben, wie die jeweilige Zertifizierungsstelle bei der Erstellung von Zertifikaten vorgeht. Die CP/CPS einer jeden Zertifizierungsstelle basieren auf den gesetzlich geregelten Verordnungen für Zertifizierungsdienste, ZertES in der Schweiz und eIDAS in der EU.

Welche Zertifizierungsstellen gibt es?

Weltweit gibt es zahlreiche Zertifizierungsstellen für verschiedene digitale Zertifikate. Je nach Anwendung eines Zertifikats kann der ausstellende Anbieter ein anderer sein. In der EU und in der Schweiz unterliegen diese Vertrauensdienste-Anbieter bestimmten gesetzlichen Regelungen.

Welche digitalen Zertifikate gibt es?

Alle digitalen Zertifikate dienen dem Zweck, die Identität von natürlichen oder juristischen Personen, also auch von Organisationen und Institutionen, oder von Objekten wie zum Beispiel einer Webseite nachzuweisen. Ein digitales Zertifikat von einer Zertifizierungsstelle ist somit der Personalausweis in der digitalen Welt.

Digitale Zertifikate werden beispielsweise eingesetzt bei:

  • E-Mail-Signaturen: Das digitale Zertifikat in einer E-Mail gewährleistet die sichere Übertragung an den Empfänger und bestätigt, dass die E-Mail tatsächlich von dem angezeigten Absender stammt.
  • Digitalen Signaturen: Bei einer digitalen Signatur, wie zum Beispiel der qualifizierten elektronischen Signatur (QES), bestätigt das digitale Zertifikat die Identität der unterzeichnenden Person oder des unterzeichnenden Unternehmens.
  • Sicheren Webseiten (HTTPS): Webseiten nutzen das SSL-/TLS-Verschlüsselungsprotokoll, um ihre Daten sicher zu übertragen. Dieses digitale Zertifikat garantiert hier, dass der angezeigte Inhalt wirklich von der aufgerufenen Webseite stammt.

Welche Arten von Zertifizierungsstellen gibt es?

Für die verschiedenen digitalen Zertifikate gibt es unterschiedliche Zertifizierungsstellen:

  • Stelle, die SSL-/TLS-Zertifikate für Webseiten ausstellt
  • Zertifizierungsstelle für digitale Signaturen, die zur Identitätsprüfung von Personen oder Unternehmen dienen
  • Vertrauensdienste-Anbieter, die qualifizierte Zertifikate ausstellen, die in der EU an die eIDAS-Verordnung angelehnt sind und zum Beispiel für die qualifizierte elektronische Signatur (QES) genutzt werden
  • Zertifizierungsstelle für Zeitstempeldienste

Was sind akkreditierte Zertifizierungsstellen für qualifizierte E-Signaturen?

Akkreditierte Zertifizierungsstellen sind Vertrauensdienste-Anbieter, die vom Gesetzgeber als vertrauenswürdig eingestuft sind und qualifizierte Zertifikate ausstellen dürfen. Qualifizierte Zertifikate werden zum Beispiel bei der qualifizierten elektronischen Signatur (QES) eingesetzt.

Hier finden Sie jeweils die ausführliche Liste für die EU und die Liste für die Schweiz.

Welche Voraussetzungen muss eine Zertifizierungsstelle erfüllen?

Damit die qualifizierten Zertifikate einer Zertifizierungsstelle als vertrauenswürdig anerkannt werden, muss sich der Vertrauensdienste-Anbieter an die dafür geltenden Gesetze und technischen und administrativen Vorschriften halten. 

Unterschreibt eine Person ein Dokument mit der qualifizierten elektronischen Signatur (QES), muss diese sicher sein und die Identität der Person nachweisen können. Denn die QES ist der persönlichen Unterschrift gleichgesetzt und hat die höchste Beweiskraft im Streitfall.

Somit muss ein qualifiziertes Zertifikat nach einem höheren Sicherheitsstandard erstellt werden. Diese Standards sind im Gesetz verankert, und zwar gilt in der EU die eIDAS-Verordnung und in der Schweiz das ZertES.

Beispiel: Zertifizierungsstelle für elektronische Signaturen

Swisscom ist ein Anbieter für Mobilfunk und Internet. Durch die Expertise in diesem Bereich beschäftigt sich Swisscom mit Cyber Security, also der Sicherheit im Internet. In diesem Zuge bietet Swisscom auch verschiedene digitale Zertifikate an, unter anderem auch für elektronische Signaturen.

Wenn also eine Person oder Organisation Verträge oder andere Dokumente elektronisch signieren statt handschriftlich unterschreiben möchte, erhält sie bei Swisscom ein digitales Zertifikat, nach entsprechender Identitätsprüfung.

Personen oder Organisationen können noch einfacher eine digitale Signatur mit Zertifikat erstellen, indem sie einen E-Signatur-Anbieter auswählen, der diese Identitätsprüfung in seinen Service integriert hat, wie zum Beispiel Skribble.

Beispiel: Zertifizierungsstelle für SSL-Zertifikate

SSL-/TLS-Zertifikate sind digitale Zertifikate für die Sicherung von Webseiten. Je nach Fokus bieten die Zertifizierungsstellen aber auch andere digitale Zertifikate an.

Wenn Webseiten-Besitzer also ihre Webseiten nach den aktuellen Standards sichern möchten, kaufen sie sich digitale Zertifikate bei diesen Anbietern.

Dies geht in vielen Fällen über den eigenen Website-Hosting-Provider oder direkt bei einer Zertifizierungsstelle.

Die Zertifizierungsstelle SSL steht für Secure Sockets Layer

Zertifizierungsstelle: Schafft Vertrauen in der digitalen Welt 

Möchte eine Organisation eine Zertifizierungsstelle (Certificate Authority) sein, muss sie gesetzliche Vorgaben erfüllen und wird auf ihre Vertrauenswürdigkeit geprüft. In der EU gilt zum Beispiel die eIDAS-Verordnung. Die eIDAS-Verordnung ist die rechtliche Grundlage für Vertrauensdienste und die elektronische Identifizierung. Somit ist per Gesetz festgelegt, welche Voraussetzungen eine Zertifizierungsstelle erfüllen muss, um digitale Zertifikate für beispielsweise elektronische Signaturen oder auch elektronische Siegel usw. vergeben zu dürfen.

Häufige Fragen

Nein, aber Skribble arbeitet eng mit Zertifizierungsstellen zusammen. Nicht alle E-Signatur-Anbieter bieten gleichzeitig die Identitätsprüfung an, die eine Zertifizierungsstelle durchführt, wenn sie digitale Zertifikate vergibt. Bei Skribble ist das anders. Mit Skribble können Sie alle Schritte auf einer Plattform erledigen, von der Identifikation bis zum digital signierten Dokument.

Das Stammzertifikat beschreibt das Zertifikat, das die Zertifizierungsstelle digital signiert und jedem ihrer ausgestellten Zertifikate zugrunde legt. In der Zertifikatshierarchie isoliert mindestens ein Zwischenzertifikat das Stammzertifikat von dem ausgestellten End-Entity-Zertifikat.

Die Root Certificate Authority ist in der Hierarchie der digitalen Zertifikate die höchste Ebene und dient als Vertrauensanker. Eine Root-CA ist also die Wurzel eines Zertifikats und macht ein digitales Zertifikat vertrauenswürdig und authentisch.

Diese Artikel könnten Sie auch interessieren

Signieren Sie rechtsgültig
mit wenigen Klicks

Weltweit einsetzbar, gehostet in der Schweiz.

Kostenlose Testphase verfügbar.
Keine Kreditkarte nötig.
Nutzbar auf Deutsch, Englisch und Französisch.