Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Sinn/Zweck und Funktionsweise RootCA

Gast Fenixxus
Gast Fenixxus
in Security

Empfohlene Antworten

Hallo zusammen,

wie kann man den Sinn/Zweck und Funktionsweise einer RootCA beschreiben?

Meine Definition:

Sobald man der Root-CA vertraut, vertraut man auch allen Zertifikaten die unter der Root-CA ausgestellt wurden. Daher muss unbedingt der Fingerprint der RootCA vor Beginn des Verfahrens geprüft werden.

Die RootCA ist die oberste Zertifizierungstelle, der alle anderen Vertrauen.

Vorteil:

-Kompromittierung des privaten Schlüssels entfällt, da die RootCA nach der Erstellung des Private Keys (PK) offline gehen kann.

So ganz zufrieden bin ich damit noch nicht.

Ich hoffe jemand könnte dies ein wenig ergänzen.

Die RootCA ist die oberste Zertifizierungstelle, der alle anderen Vertrauen.

Das finde ich unglücklich vormuliert. Du kannst ja schließlich mehreren Root-CAs vertrauen, wie das auch dein Browser tut. Du mußt dir nur beim Import einer CA bewußt sein, das du damit allen Zertifikaten, die von dieser CA signiert wurden, vertraust.

Vorteil:

-Kompromittierung des privaten Schlüssels entfällt, da die RootCA nach der Erstellung des Private Keys (PK) offline gehen kann.

Wie meinst du das ? Natürlich kann ich auch den privaten Schlüssel einer Root-CA kompromitieren. Der CA-Verwalter sollte mir das aber entsprechend schwer machen, in dem er den Key sicher, bspw. nur in einem Bankschließfach, aufbewahrt.

Der PK-CA wird sehr sicher aufbewahrt z.B. in einem Tresor. Das meinte ich mit "Kompromittierung verhindern".

Das ist mir schon klar :)

Aus deiner ursprünglichen Beschreibung klang es nur so, als seien Root-CAs völlig unkompromitierbar. Außerdem weißt du ja nicht, wie der jeweilige Verwalter den Key behandelt...

Dann habe ich ein wenig unverständlich ausgedrückt, Entschuldigung.

Gibt es sonst noch irgendwelche Vorteile? Muss eine "normale" CA (quasi eine UnterCA von RootCA) das Zertifikat von RootCA besitzen bzw. erweitern, so dass das Zertifikat in etwa so aussieht:

-PKCA

-CA

-SignaturRCA

Oder woran kann ein Empfänger A erkennen, dass die SubCA zur RootCA gehört?

Oder woran kann ein Empfänger A erkennen, dass die SubCA zur RootCA gehört?

Die Sub-CA wird von der Root-CA signiert, genau wie die "normalen" Zertifikate, die sie evtl. ausstellt. Der Unterschied besteht darin, das das Sub-CA-Zertifikat zum weiteren signieren verwendet werden kann, normale Client-Zertifikate jedoch nicht.

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.