Grundlagen der Public Key Infrastructure (PKI)
Eine Public Key Infrastructure (PKI) ist das Rückgrat der digitalen Vertrauenswelt.
Sie stellt sicher, dass jeder Teilnehmer — ob Server, Benutzer oder Gerät — über ein gültiges, überprüfbares Zertifikat verfügt.
Ohne PKI gäbe es kein Vertrauen im Internet: Jeder könnte ein Zertifikat fälschen oder sich als jemand anderes ausgeben.
Idee der PKI
Die PKI arbeitet nach einem einfachen Prinzip:
Vertrauen wird von oben nach unten weitergegeben.
Eine Root Certificate Authority (Root CA) ist die höchste Instanz.
Ihr wird direkt vertraut, weil sie sich selbst signiert.
Diese Root CA kann Zwischenstellen (Intermediate CAs) beglaubigen, und diese wiederum Server- oder Client-Zertifikate ausstellen.
So entsteht eine Vertrauenskette, die mit der Root CA beginnt und bis zum Zielzertifikat reicht.
Aufbau einer PKI-Kette
| Ebene | Beschreibung |
|---|---|
| Root CA | Selbstsignierte, oberste Instanz. Wird manuell oder durch Betriebssysteme als vertrauenswürdig eingestuft. |
| Intermediate CA | Von der Root CA signiert, dient zur Entlastung und besseren Sicherheit. |
| Server-Zertifikat | Vom Intermediate signiert. Wird z. B. für Webseiten, VPNs oder E-Mail-Server verwendet. |
Wie Vertrauen funktioniert
Wenn ein Browser ein Zertifikat prüft, folgt er dieser Kette rückwärts:
Ist das Server-Zertifikat von einer bekannten Intermediate CA ausgestellt?
Ist diese Intermediate CA wiederum von einer vertrauenswürdigen Root CA signiert?
Wenn ja, ist das gesamte Zertifikat gültig und vertrauenswürdig.
Interaktive Visualisierung: Vertrauenskette
Diese kleine Simulation zeigt, wie Vertrauen in einer PKI fließt.
Klicke auf ein Element, um zu sehen, wie die Kette reagiert.
Zusammenfassung
Eine PKI schafft Vertrauen durch digitale Signaturen und eine hierarchische Struktur.
Jede Zertifizierungsstelle bestätigt die Identität der darunterliegenden Instanz.
Das Zielzertifikat (z. B. für eine Website) ist also nur dann vertrauenswürdig, wenn die gesamte Kette bis zur Root CA geprüft und gültig ist.