CA-Hierarchien: Root, Intermediate, Issuing

CA-Hierarchien: Root, Intermediate, Issuing CA

Warum gibt es nicht einfach eine einzige große CA, die alle Zertifikate ausstellt? Das wäre wie ein Staat mit nur einem Notar für das ganze Land – wenn der kompromittiert wird oder ausfällt, bricht das gesamte Vertrauenssystem zusammen. Deshalb ist PKI in der Praxis immer hierarchisch aufgebaut: Es gibt eine Root CA ganz oben, darunter Intermediate CAs als Zwischenstufen, und ganz unten die Issuing CAs, die tatsächlich Zertifikate an Server und Benutzer ausstellen.

Der entscheidende Sicherheitsgewinn: Die Root CA kann offline in einem Tresor stehen. Sie stellt nur sehr selten Zertifikate aus – nämlich an die Intermediate CAs. Die eigentliche tägliche Arbeit übernehmen die Intermediate und Issuing CAs. Wenn eine davon kompromittiert wird, kann die Root CA deren Zertifikat widerrufen, ohne das gesamte System zu zerstören.

1) Die CA-Hierarchie – klickbarer Baum

Der folgende Baum zeigt eine typische dreistufige CA-Hierarchie. Die Root CA ist der absolute Vertrauensanker – ihr Zertifikat ist in deinem Browser und Betriebssystem vorinstalliert. Ohne dieses Vorinstallieren würde kein Vertrauen entstehen. Klicke auf eine Ebene um Details zur Funktion und Sicherheitsanforderungen zu sehen.

CA-Hierarchie – Ebene anklicken für Details

Root CA

Globaler Vertrauensanker
Offline / Air-Gapped

│

Intermediate CA 1

Web-Zertifikate

│

Issuing CA A

HTTPS-Zertifikate

│

www.firma.de

api.firma.de

Intermediate CA 2

Interne Dienste

│

Issuing CA B

Benutzer-Zertifikate

│

hans.mueller

vpn-client

← Klicke eine CA-Ebene für Details.

Die Vertrauenskette funktioniert immer von unten nach oben: Dein Browser bekommt das Server-Zertifikat, schaut auf den Issuer (Issuing CA), lädt deren Zertifikat, schaut auf deren Issuer (Intermediate CA), und so weiter bis zur Root CA. Findet er auf dem Weg ein Zertifikat in seinem Trust Store – vertraut er der ganzen Kette.

2) Die Vertrauenskette – wie Browser prüfen

Wenn dein Browser eine HTTPS-Seite aufruft, prüft er die gesamte Zertifikatskette vom Server-Zertifikat bis zur Root CA. Dieser Prozess heißt Certificate Chain Validation und läuft in Millisekunden ab, ohne dass du es merkst. Schlägt er irgendwo fehl – etwa weil das Intermediate-Zertifikat nicht mitgeliefert wurde oder abgelaufen ist – bekommst du die bekannte Fehlermeldung im Browser. Die folgende Animation zeigt wie diese Prüfung abläuft:

Zertifikatsketten-Validierung – Schritt für Schritt

ServerBrowser erhält Server-Zertifikat (www.firma.de). Prüft: Ist die Signatur gültig? Wer hat es ausgestellt?

Issuing CAIssuing-CA-Zertifikat prüfen: Ist es noch gültig? Wer hat es ausgestellt? Signatur korrekt?

IntermediateIntermediate-CA-Zertifikat prüfen. War dieses widerrufen? Signatur von Root CA korrekt?

Root CARoot-CA-Zertifikat im lokalen Trust Store gefunden? Ist das Root-Zertifikat vorinstalliert und vertrauenswürdig?

✓ GültigGesamte Kette gültig und vertrauenswürdig. Browser baut verschlüsselte Verbindung auf – Schloss-Symbol erscheint.

Drücke „Nächster Schritt" um die Kettenprüfung zu verfolgen.

Häufiger Praxisfehler: Das Server-Zertifikat wird korrekt installiert, aber die Intermediate-CA-Zertifikate fehlen. Browser mit lokalem Cache finden die Intermediate CA trotzdem, aber andere Systeme (z.B. mobile Apps, curl, Java) scheitern. Immer die vollständige Zertifikatskette (Fullchain) ausliefern.

Zusammenfassung

CA-Hierarchien verteilen das Vertrauen auf mehrere Ebenen: Root CA (offline, Vertrauensanker), Intermediate CA (Zwischenstufe, kann widerrufen werden), Issuing CA (stellt täglich aus). Browser prüfen die vollständige Kette bis zur Root CA. Fehlt ein Intermediate-Zertifikat, schlägt die Prüfung fehl. Root-CA-Kompromittierung ist der schlimmste Fall – deshalb Air-Gap.

CA-Hierarchien: Root, Intermediate, Issuing

1) Die CA-Hierarchie – klickbarer Baum

2) Die Vertrauenskette – wie Browser prüfen

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title