Zertifikatsprüfung, Gültigkeit und Sperrung
Wenn ein Browser, Mailserver oder VPN-Client ein Zertifikat erhält,
führt er mehrere technische Prüfungen durch, bevor er es als vertrauenswürdig akzeptiert.
Das geschieht automatisch und innerhalb von Millisekunden.
Damit schützt sich der Nutzer vor gefälschten Identitäten oder kompromittierten Schlüsseln.
Übersicht der Prüfungen
| Prüfbereich | Beschreibung | Beispiel für Fehler |
|---|---|---|
| Signaturprüfung | Stimmt die Signatur der CA mit dem Zertifikat überein? | „Zertifikat wurde von einer unbekannten CA ausgestellt“ |
| Zeitraum | Liegt das aktuelle Datum zwischen „Not Before“ und „Not After“? | „Zertifikat ist abgelaufen oder noch nicht gültig“ |
| Hostname | Passt der angefragte Domainname zum CN oder SAN im Zertifikat? | „Hostname mismatch“ |
| Vertrauenskette | Lässt sich die Chain of Trust bis zu einer Root-CA nachvollziehen? | „Zertifikatskette unvollständig“ |
| Sperrstatus (Revocation) | Wurde das Zertifikat zurückgezogen (z. B. durch Diebstahl des Schlüssels)? | „Zertifikat widerrufen“ |
Die Signaturprüfung im Detail
Die digitale Signatur ist das Herzstück der Überprüfung.
Wenn eine CA ein Zertifikat ausstellt, berechnet sie einen Hash über den Inhalt
und verschlüsselt diesen Hash mit ihrem privaten Schlüssel.
Beim Prüfen wiederholt der Client genau diesen Prozess –
aber er nutzt den öffentlichen Schlüssel der CA, um zu prüfen,
ob die Signatur identisch ist.
CA erstellt Hash über Zertifikatsdaten
→ verschlüsselt Hash mit privatem Schlüssel
→ hängt Signatur an das Zertifikat an
Client empfängt Zertifikat
→ entschlüsselt Signatur mit öffentlichem Schlüssel der CA
→ vergleicht berechneten Hash mit dem entschlüsselten Hash
→ bei Übereinstimmung = Signatur gültig
Wenn auch nur ein Byte im Zertifikat verändert wurde,
schlägt dieser Vergleich fehl – die Signatur ist dann ungültig.
Zeitliche Gültigkeit
Jedes Zertifikat besitzt zwei Zeitstempel:
Not Before: 2025-10-19 00:00:00
Not After: 2026-01-17 23:59:59
Der Client prüft, ob das aktuelle Datum in diesem Bereich liegt.
Ist das Zertifikat abgelaufen, gilt es sofort als ungültig.
Ein noch nicht gültiges Zertifikat (z. B. durch falsche Systemzeit)
führt ebenfalls zu einer Fehlermeldung.
Hostnamen-Überprüfung
Ein Zertifikat gilt nur für die Domains, die darin eingetragen sind –
entweder im Feld CN oder (bei modernen Zertifikaten) in den Subject Alternative Names.
Beispiel:
CN = informatik-pruefung.de
Subject Alternative Name = DNS:informatik-pruefung.de, DNS:www.informatik-pruefung.de
Wenn du die Seite dev.informatik-pruefung.de aufrufst,
passt der Hostname nicht – der Browser warnt dich.
Zertifikatskette und Vertrauensprüfung
Hier überprüft der Client, ob:
das Serverzertifikat vom angegebenen Intermediate signiert wurde,
und ob dieses Intermediate wiederum auf eine Root-CA verweist,
die im lokalen Trust Store hinterlegt ist.
Fehlt ein Glied der Kette, wird sie als unvollständig markiert.
Das ist der häufigste Grund für SSL-Warnungen auf falsch konfigurierten Webservern.
Sperrung und Widerruf
Ein Zertifikat kann auch vor Ablaufdatum ungültig gemacht werden.
Das passiert z. B. wenn:
der private Schlüssel kompromittiert wurde,
die Organisation nicht mehr existiert,
oder die CA selbst Missbrauch festgestellt hat.
Zur Prüfung des Sperrstatus gibt es zwei Verfahren:
| Methode | Beschreibung | Beispiel |
|---|---|---|
| CRL (Certificate Revocation List) | Die CA veröffentlicht regelmäßig eine Liste widerrufener Seriennummern. Der Client lädt sie herunter und vergleicht. | Große Datei, aber offline nutzbar |
| OCSP (Online Certificate Status Protocol) | Der Client fragt direkt bei der CA nach dem Status eines Zertifikats. | Echtzeitprüfung, aber benötigt Internetverbindung |
Beispielhafte OCSP-Antwort:
Certificate Status: good
This Update: 2025-10-19 12:00:00
Next Update: 2025-10-19 18:00:00