Signaturprüfung: Welche Schritte sind notwendig um ein Zertifikat zu validieren / zu prüfen?

1. August 2015

Übersicht

X.509 Zertifikate sind digitale Daten, was bedeutet, dass jedermann die Möglichkeit hat, ein X.509 Zertifikat mit beliebigem Inhalt zu erstellen. Aufgrund dieser Tatsache wurden mehrere Mechanismen eingeführt, um zu überprüfen, ob ein Zertifikat gültig und vertrauenswürdig ist.

Vertrauen

Ein zentraler Begriff bei der Überprüfung von X.509 Zertifikaten ist das Vertrauen (engl. Trust). Das Vertrauen in ein Zertifikat ist eine notwendige Bedingung für die Gültigkeit eines Zertifikats. Meistens wird Software, die X.509 Zertifikate verwendet, mit einem oder mehreren Stamm-Zertifikaten ausgeliefert, die die Software (z.B. Microsoft Zertifikatsverwaltung) a priori als „trusted“ bewertet. Daneben unterhalten die EU-Mitgliedstaaten ihre nationalen Vertrauenslisten, die in der Europäischen Vertrauensliste (EU Trust List EUTL) zusammengefasst sind. In ihr werden qualifizierte Vertrauensdienste gemäß eIDAS-VO geführt.

Zertifikatsüberprüfung

Folgende Schritte werden (nicht notwendigerweise in dieser Reihenfolge) durchlaufen, um die Gültigkeit eines Zertifikats zu überprüfen:

  • Überprüfung der Signatur
  • Überprüfung der Gültigkeitsdauer
  • Überprüfung des Widerrufsstatus
  • Überprüfung des Vertrauens (Zertifikatspfad)

Schlägt einer dieser Schritte fehl, ist das Zertifikat ungültig und je nach Software wird eine mehr oder weniger exakte Fehlermeldung oder Warnung ausgegeben.

Überprüfung der Signatur

Jedes X.509 Zertifikat wird mit dem privaten Schlüssel (eng. private key) des Ausstellers des Zertifikats signiert. Mittels des dazugehörigen öffentlichen Schlüssels (eng. public key) kann die Signatur überprüft werden. Wenn die Signaturprüfung fehlschlägt, wurde das Dokument a) nie unterschrieben oder b) das Dokument seit der Signatur verändert.

Überprüfung der Gültigkeitsdauer

In jedem X.509 Zertifikat ist eine Gültigkeitsdauer mittels eines Start-Datums und eines Ende-Datums angegeben. Wenn die momentane Systemzeit vor dem Start-Datum oder nach dem Ende-Datum liegt, ist diese Überprüfung negativ. Je nach Zertifikatstyp sind unterschiedliche Obergrenzen der Gültigkeitsdauer festgelegt. Bei SSL-Zertifkaten etwa derzeit 1 Jahr.
Abgelaufene Zertifikate können auch keine gültigen Signaturen mehr produzieren – vor Ablauf gesetzte Signaturen behalöten jedoch später Ihre Gültigkeit. Software, die hier einen Fehler ausgibt, arbeitet nicht standardkonform.

Überprüfung des Widerrufsstatus

Jedes X.509 Zertifikat kann vom Aussteller widerrufen werden. Im Zertifikat werden Informationen hinterlegt, wie der Widerrufsstatus des Zertifikats überprüft werden kann. Die Überprüfung kann einen Verbindungsaufbau von der überprüfenden Software zu einem Server des Ausstellers auslösen, der dazu dient, die Widerrufsinformationen abzufragen. GLOBALTRUST bietet die Methoden CRL und OCSP an, um den Widerrufsstatus zu überprüfen. Die Überprüfung des Widerrufsstatus scheitert, wenn a) der Verbindungsaufbau zum Widerrufsinformationsserver scheitert oder b) die überprüfende Software die Information erhält, dass das Zertifikat widerrufen wurde.

Insbesondere bei OCSP ist es notwendig tatsächlich Online zu sein. Es reicht wenn der Port 80 für diese Überprüfung freigeschalten ist. Kann die Direktverbindung nicht gesichert werden, sollte die Onlineüberprüfung deaktiviert werden. Manche Software bringt dann eine Meldung, in der Form, dass eine „Überprüfung des aktuellen Gültigkeitsstatus eines Zertifikats nicht vorgenommen werden konnte“. Dies hat jedoch keinen Einfluss auf die tatsächliche Gültigkeit eines signierten Dokuments.

Sollten berechtigte Zweifel an der Gültigkeit eines Dokuments bestehen, dann besteht immer auch die Möglichkeit direkt bei GLOBALTRUST nachzufragen. Dann wird die Gültigkeit manuell geprüft. Bei Nachfrage benötigt GLOBALTRUST jedenfalls die Seriennummer des Zertifikats, den Namen des Zertifikats und das Signierdatum des Dokuments.

Überprüfung des Vertrauens (Zertifikatspfad)

Bei dieser Überprüfung sucht die prüfende Software das Ausstellerzertifikat des zu prüfenden Zertifikats und nimmt eine komplette Zertifikatsprüfung dieses Zertifikats vor. Dies löst natürlich wieder eine Überprüfung des Ausstellerzertifikats dieses Zertifikats aus und so weiter, bis ein Zertifikat überprüft wird, bei dem Aussteller und Subjekt dasselbe sind (self-signed certificate – Stammzertifikat). Diese Überprüfung endet erfolgreich, wenn im Zuge der Überprüfung dieses Zertifikatspfades auf ein Zertifikat gestoßen wird, dem die Software vertraut (siehe Absatz „Vertrauen“). Sie scheitert, wenn a) ein Ausstellerzertifikat nicht gefunden werden kann oder b) die Überprüfung am Ende der Zertifikatskette angekommen ist (self-signed Zertifikat) und diesem Zertifikat nicht vertraut wird.

Nützliche Werkzeuge zur Zertifikats- und Signaturprüfung

Das könnte Sie auch interessieren…
GLOBALTRUST® QUALIFIED TIMESTAMP – qualifizierte Zeitstempel gemäß eIDAS-VO für revisionssicheres Dokumentenmanagement

GLOBALTRUST® QUALIFIED TIMESTAMP – qualifizierte Zeitstempel gemäß eIDAS-VO für revisionssicheres Dokumentenmanagement

GLOBALTRUST® QUALIFIED TIMESTAMP vergibt zu beliebigen Dokumenten einen Zeitstempel und garantiert die Existenz dieses Dokuments zu diesem Zeitpunkt – Dokument wird nicht übertragen, Datenschutz bleibt gewahrt – international anerkannter Standard RFC 3161 zur revisionssicheren Archivierung – GLOBALTRUST® archiviert ausgestellte Zeitstempel

mehr lesen
Fernsignatur – „mit Abstand“ die beste Lösung ohne Signaturkarte

Fernsignatur – „mit Abstand“ die beste Lösung ohne Signaturkarte

Alle da? Dann ist es ja einfach, an die erforderlichen Unterschriften für Dokumente und Verträge zu kommen. Was aber, wenn die halbe Belegschaft ins Homeoffice gewechselt ist oder sich die Unterschriftspflichtigen aus anderen Gründen nicht am selben Ort einfinden können? Seit der Einführung der EU-eIDAS-Verordnung...

mehr lesen
5 gute Gründe für eine qualifizierte e-Signatur

5 gute Gründe für eine qualifizierte e-Signatur

„Brauchen wir wirklich elektronische Signaturen? Was das wieder kostet!“ So und ähnlich klingt es in vielen Unternehmen immer noch, wenn es um das Thema e-Signatur geht. Kommt Ihnen das bekannt vor oder sind die Vorteile der digitalen Unterschrift in Ihrem Betrieb schon bekannt? Lesen Sie hier, was die e-Signatur –...

mehr lesen
Elektronische Signaturen: Qualifiziert, oder was?

Elektronische Signaturen: Qualifiziert, oder was?

Elektronische Signaturen sind aus einem effizienten digitalen Workflow nicht mehr wegzudenken. Mit TRUST2GO® bieten wir Ihnen eine qualifizierte Signatur als digitale Alternative, die Ihre handschriftliche Unterschrift technisch, organisatorisch und rechtlich komplett ablöst. Was genau ist aber eine elektronische...

mehr lesen
Elektronisch signieren: Und die Compliance ist gesichert!

Elektronisch signieren: Und die Compliance ist gesichert!

Die qualifizierte elektronische Signatur ist die perfekte Ergänzung für Ihren elektronischen Geschäfts- und Rechtsverkehr. Unsere e-Signaturlösung TRUST2GO® vereinfacht nicht nur Ihren Workflow, sondern erfüllt auch höchste Compliance-Anforderungen. Sensible Dokumente, Behördendaten, Patientenakten, Bank- oder...

mehr lesen
e-Signaturen: Vereinfachen und beschleunigen Sie Ihr Business!

e-Signaturen: Vereinfachen und beschleunigen Sie Ihr Business!

Wissen Sie noch, wann der Computer in Ihrem Unternehmen oder Ihrer Behörde Einzug gehalten hat? Das ist schon zu lange her? Egal, fest steht: Mit ihm wurden Schriftverkehr und Dokumentenmanagement nach und nach digitalisiert. Bis auf ein winziges, aber umso wichtigeres Detail: An der Unterschrift spießt sich...

mehr lesen