Was ist eine Certificate Authority? | SwissSign Blog

Navigieren auf SwissID

Eine Datensicherheitsspezialistin der Schweizerischen Post
Adrian Mueller • 07.04.2025

Was ist eine Certificate Authority – und warum sie im digitalen Alltag unverzichtbar ist

Ob sichere Webseiten, verschlüsselte E-Mails oder digitale Signaturen – hinter jeder vertrauenswürdigen digitalen Identität steht eine Certificate Authority. Sie überprüft, bestätigt und sichert Identitäten im Internet und ist damit ein zentraler Baustein für Vertrauen in der digitalen Kommunikation, in Unternehmen, im öffentlichen Sektor und im Alltag.

In einer zunehmend digitalisierten Welt, in der Kommunikation, Geschäftsprozesse und behördliche Abläufe online stattfinden, wird Vertrauen zu einer entscheidenden Währung. Genau hier kommen sogenannte Certificate Authorities (CAs), auf Deutsch "Zertifizierungsstellen", ins Spiel.

Zusammenfassung: Die Rolle einer Certificate Authority einfach erklärt 

Eine Certificate Authority ist eine vertrauenswürdige Instanz, die digitale Zertifikate ausstellt. Diese Zertifikate dienen dazu, die Identität einer Person, Organisation oder eines technischen Systems zu bestätigen. Im Grunde sagt ein Zertifikat: "Ja, diese Website, diese E-Mail-Adresse oder dieses Dokument gehört wirklich zu der angegebenen Entität." Und genau diese Bestätigung wird von einer CA ausgestellt – vergleichbar mit einem digitalen Ausweis oder einer notariellen Beglaubigung im Internet. Ohne diese Instanzen wäre es im digitalen Raum nahezu unmöglich, zwischen echten und gefälschten Identitäten zu unterscheiden. Die CA übernimmt also eine Schlüsselrolle im Vertrauensnetz des Internets.

CAs sind die unsichtbaren Wächter der digitalen Welt und sorgen dafür, dass Identitäten im Netz verlässlich bestätigt und Daten sicher übertragen werden können. Doch was genau ist eine Certificate Authority, wie funktioniert sie – und warum braucht es sie?

Wofür braucht man digitale Zertifikate?

Digitale Zertifikate kommen in vielen Bereichen zum Einsatz. Die bekanntesten Beispiele sind: 

  • SSL/TLS-Zertifikate für Webseiten: Sie sorgen dafür, dass die Verbindung zwischen Browser und Server abgesichert ist (erkennbar am "https://").

  • S/MIME-Zertifikate für E-Mail: Sie erlauben die Verschlüsselung und Signatur von E-Mails, was Manipulation und Identitätsdiebstahl verhindert.

  • Maschinenidentitäten und IoT: Auch Geräte oder Software-Komponenten können Zertifikate nutzen, um sich gegenseitig zu authentifizieren.

  • Digitale Signaturen: Dokumente oder Verträge können elektronisch unterschrieben werden, wobei ein Zertifikat bestätigt, dass die Signatur wirklich von der angegebenen Person stammt. 

In all diesen Fällen schafft die CA die Grundlage für Vertrauen: Sie überprüft vor Ausstellung des Zertifikats die Identität der anfragenden Partei – je nach Zertifikatstyp mit unterschiedlicher Tiefe und Strenge.

Wie funktioniert eine Zertifizierungsstelle? 

Der Ablauf lässt sich grob in folgende Schritte unterteilen:

  • Antragstellung: Eine Organisation oder Person beantragt ein Zertifikat bei einer CA.

  • Identitätsprüfung: Die CA prüft, ob die Angaben korrekt sind. Das kann von einer einfachen Domainüberprüfung bis hin zur persönlichen Identifikation reichen.

  • Zertifikatsausstellung: Nach erfolgreicher Prüfung wird ein digitales Zertifikat erstellt und der Antragstellerin übermittelt.

  • Veröffentlichung: Das Zertifikat kann in einem öffentlichen Verzeichnis abgelegt werden, sodass andere Systeme es überprüfen können.

  • Validierung und Sperrung: CAs betreiben Sperrdienste für Zertifikate an und führen auch Listen gesperrter Zertifikate (CRLs) oder bieten Dienste wie OCSP an, mit denen die Gültigkeit eines Zertifikats in Echtzeit überprüft werden kann. 

Technisch basiert das System auf sogenannten Public-Key-Infrastrukturen (PKI). Eine CA signiert mit ihrem privaten Schlüssel das Zertifikat – und jeder, der den öffentlichen Schlüssel der CA kennt (z. B. über ein Root-Zertifikat im Browser), kann die Echtheit prüfen.

TLS vs. SSL

In unserem Blog erläutern wir, wie eine Public Key Infrastructure aufgebaut ist und welche Rolle die CAs darin spielen

Mehr lesen

Arten von CAs und Zertifikaten

Nicht alle Zertifizierungsstellen sind gleich. Es gibt verschiedene Arten. 

Im Anwendungsbereich:

  • Private CAs: Grössere Unternehmen betreiben oft eigene interne CAs für firmeninterne Systeme und Kommunikation.

  • Öffentliche CAs: Diese bieten Zertifikate für dem Gebrauch im Internet an – z. B. für Webseiten oder E-Mail-Verkehr.

  • Gesetzlich geregelte CAs: Zum Beispiel für die Ausstellung von Zertifikaten für Qualifizierte Elektronische Signaturen. 

In der Hierarchie:

  • Root-CAs sind der höchste Vertrauensanker. Dieses Modell erhöht die Sicherheit, da der Root-Schlüssel nicht ständig verwendet wird.

  • Die Root CAs stellen Zertifikate für "Sub CAs" beziehungsweise "Issuing CAs". Eine Issuing CA stellt wiederum Zertifikate an Endnutzer aus.

Vertrauen in die CA – warum es funktioniert 

CAs geniessen nur deshalb Vertrauen, weil sie regelmässig überprüft und zertifiziert werden. Betriebssysteme und Browser führen sogenannte Root Stores, in denen vertrauenswürdige CAs gelistet sind. Nur CAs, die bestimmte technische, rechtliche und organisatorische Anforderungen erfüllen, werden dort aufgenommen. Dazu gehören etwa: 

  • Regelmässige Audits nach Standards wie WebTrust oder ETSI 

  • Sichere Infrastruktur und Schutz der privaten Schlüssel

  • Transparente Prozesse zur Ausstellung, Sperrung und Verwaltung von Zertifikaten 

Wird eine CA kompromittiert oder verletzt sie die Regeln, kann sie aus dem Root Store entfernt werden – mit weitreichenden Folgen für alle von ihr ausgestellten Zertifikate. Browser erkennen diese dann nicht mehr als sicher an, damit ausgestattete Websites werden nicht mehr angezeigt, E-Mails landen in Spam-Filtern – für betroffene Unternehmen kann dies massive geschäftliche Konsequenzen zeitigen.

Unterschied zwischen Certificate Authority und Trust Service Provider 

Im alltäglichen Sprachgebrauch werden die Begriffe "Certificate Authority (CA)" und "Trust Service Provider (TSP)" (deutsch: Vertrauensdiensteanbieter) häufig synonym verwendet, dabei gibt es jedoch einen wichtigen Unterschied – insbesondere im europäischen Rechtskontext. 

Eine Certificate Authority ist primär eine technische Instanz, die digitale Zertifikate ausstellt und verwaltet. Ihr Fokus liegt auf dem kryptografischen Aspekt der Identitätsbestätigung, z. B. für Webseiten oder E-Mail-Kommunikation. 

Ein Trust Service Provider hingegen ist ein breiter gefasster Begriff und umfasst alle Anbieter, die sogenannte Vertrauensdienste etwa gemäss der europäischen eIDAS-Verordnung oder dem Schweizer ZertES-Gesetz bereitstellen. Dazu gehören nicht nur Zertifikatsdienste, sondern auch elektronische Zeitstempel, elektronische Siegel und insbesondere qualifizierte elektronische Signaturen. Ein TSP kann also eine CA beinhalten – aber nicht jede CA ist automatisch ein TSP im rechtlichen Sinne. 

In der Praxis bedeutet das: Nur ein offiziell anerkannter Trust Service Provider darf qualifizierte Signaturen ausstellen, die grundsätzlich einer handschriftlichen Unterschrift gleichgestellt sind. SwissSign ist beispielsweise sowohl CA als auch anerkannter Trust Service Provider in der Schweiz.

Welche CAs gibt es in der Schweiz? 

In der Schweiz gibt es mehrere Zertifizierungsstellen, die unterschiedliche Arten von digitalen Zertifikaten ausstellen. SwissSign ist dabei die einzige CA, die sowohl kommerzielle SSL/TLS- und S/MIME-Zertifikate als auch qualifizierte elektronische Signaturen und Siegel gemäss dem Bundesgesetz über die elektronische Signatur (ZertES) und der europäischen Regulierung eIDAS anbietet. QuoVadis Trustlink Schweiz AG, heute Teil von des US-Unternehmens DigiCert, ist ebenfalls aktiv, insbesondere im Unternehmensumfeld. Gesetzlich anerkannt sind ausserdem die Swisscom und das Bundesamt für Informatik, die beide nicht Zertifikate für das Internet anbieten.

Welche CAs gibt es in Deutschland? 

SwissSign ist mit einer Tochtergesellschaft auch in der EU (Österreich) vertreten und bietet gemäss eIDAS zertifizierte Services für deutsche und andere europäische Firmen an. In Deutschland ist die D-TRUST GmbH, ein Unternehmen der deutschen Bundesdruckerei-Gruppe, einer der bekanntesten Anbieter von digitalen Zertifikaten und qualifizierten Vertrauensdiensten. Auch T-Systems mit ihren Töchtern Deutsche Telekom AG und Deutsche Telekom Security GmbH bieten ein breites Spektrum von Zertifikaten an. Die Bundesnetzagentur führt eine aktuelle Liste aller qualifizierten Vertrauensdienstanbieter gemäss der eIDAS-Verordnung.

Warum SwissSign eine besondere Rolle spielt 

SwissSign ist eine in der Schweiz ansässige Zertifizierungsstelle mit einem klaren Fokus auf Datenschutz, Rechtssicherheit und technische Exzellenz. Als vom Bund anerkannte Anbieterin von Zertifikatsdiensten gemäss dem Bundesgesetz über die elektronische Signatur (ZertES) erfüllt SwissSign höchste Anforderungen an die Vertrauenswürdigkeit und Qualität ihrer Dienstleistungen. 

SwissSign bietet nicht nur klassische SSL/TLS-Zertifikate, sondern auch qualifizierte elektronische Signaturen. Diese Signaturen haben die gleiche Rechtsgültigkeit wie eine handschriftliche Unterschrift. 

SwissSign steht für 100 % Swiss Made – mit einer vollständig selbstverwalteten, geo-redundanten Infrastruktur in der Schweiz. Das bedeutet: maximale Sicherheit und Verfügbarkeit sowie optimaler Schutz sensibler Kundendaten. Als anerkannter Trust Service Provider verpflichtet sich SwissSign zur Einhaltung höchster Sicherheitsstandards und regulatorischer Anforderungen – für ein Höchstmass an Vertrauen bei Ihnen und Ihren Endkunden. 

Mit über 20 Jahren Erfahrung im Bereich der digitalen Identitäten bringt SwissSign tiefes Fachwissen sowie ein ausgeprägtes Verständnis für individuelle Kundenanforderungen mit. Ob PKI, Signaturen oder elektronische Identitäten – Sie erhalten alle Services aus einer Hand. Ergänzt wird dies durch persönliche, professionelle Beratung, die Ihnen hilft, jederzeit fundierte Entscheidungen im Sinne Ihres Unternehmens und Ihrer Kundschaft zu treffen.

Fazit: Die CA als Vertrauensanker der digitalen Welt 

Ohne Certificate Authorities wäre sicheres und vertrauenswürdiges Kommunizieren im Internet nicht möglich. Sie sorgen dafür, dass digitale Identitäten überprüfbar sind, Daten verschlüsselt übertragen werden können und digitale Signaturen rechtlich anerkannt sind. Gerade in einer Zeit, in der Cyberkriminalität, Identitätsdiebstahl und Datenlecks zunehmen, ist die Rolle der CAs wichtiger denn je. Sie sind das Rückgrat der digitalen Vertrauensinfrastruktur – meist unsichtbar, aber unverzichtbar.

Häufige Fragen zu Certificate Authorities

Was ist eine Certificate Authority einfach erklärt?

Eine CA ist eine Organisation oder Instanz, die digitale Zertifikate ausstellt, um zu bestätigen, dass jemand oder etwas wirklich die angegebene Identität besitzt – z. B. eine Website oder eine Person.

Wofür brauche ich ein digitales Zertifikat?

Für sichere Webseiten (HTTPS), E-Mail-Verschlüsselung, digitale Signaturen oder zur Authentifizierung von Geräten und Nutzern.

Was passiert, wenn eine CA nicht mehr vertrauenswürdig ist?

Dann kann sie aus den Root Stores entfernt werden. Alle von ihr ausgestellten Zertifikate gelten dann als unsicher – mit teils gravierenden Folgen für die betroffenen Dienste.

SwissSign est-elle une CA?

Oui, SwissSign est une autorité de certification reconnue en Suisse qui délivre aussi bien des certificats publics pour Internet que des certificats qualifiés selon la loi suisse sur la signature électronique SCSE ou selon le règlement européen eIDAS.

Was Sie jetzt tun sollten

 

1. Wählen Sie Ihr Zertifikat und sichern Sie Ihre Online- oder E-Mail-Kommunikation sofort: Kaufen Sie das Zertifikat jetzt in unserem Webshop. Eine einfache Installationsanleitung ist enthalten.

Jetzt Zertifikate bestellen

2. Vereinfachen Sie Ihr Zertifikate-Management für TLS und E-Mail: Mit unserer Managed PKI (MPKI) können Sie Zertifikate für Ihre Mitarbeitenden, Kunden und Partner eigenständig und individuell für Ihre Bedürfnisse verwalten und sparen im Vergleich zum Kauf einzelner Zertifikate.

Jetzt MPKI bestellen

3. Lassen Sie sich beraten, wie Sie Ihren PKI-Set Up optimieren können - fahren Sie mit einer MPKI günstiger? Sollten Sie in ein Certificate Lifecycle Management investieren?

Jetzt Beratung anfragen

4. Haben Sie etwas lernen können aus unserem Beitrag, senden Sie ihn doch anderen Personen in Ihrer Organisation, speichern sich den Link für später oder teilen Sie ihn auf LinkedIn 👇

Zur Übersicht

Das könnte Sie auch interessieren

Adrian Mueller • 21.11.2024

PKI – Was ist Public Key Infrastructure?

Was ist eine Public Key Infrastructure (PKI)? Die Basis für SSL-Zertifikate, digitale Signaturen und mehr – für digitale Sicherheit und Effizienz in Unternehmen
Cybersecurity PKI & Zertifikate
Adrian Mueller • 14.04.2025

Was ist TLS 1.3 – und was sind die Vorteile gegenüber der Version TLS 1.2?

Das Sicherheits-Protokoll "Transport Layer Security" (TLS) zur Verschlüsselung und zur Authentisierung von Kommunikation mit Web-Servern und seine Vorgänger wurde im Laufe der letzten dreissig Jahre wiederholt überarbeitet. Aktuell ist die Version 1.3 – wir erläutern, warum es lohnt, dieses zu unterstützen.
Cybersecurity PKI & Zertifikate
Adrian Müller • 02.04.2025

Neue S/MIME-Vorgaben: Wichtige Änderungen für Ihre E-Mail-Zertifikate ab Juli 2025

Warum sich SwissSign-S/MIME-Zertifikate ab Juni 2025 ändern – und was Sie jetzt tun sollten.
Cybersecurity PKI & Zertifikate

SwissSign

Ressourcen

Wissen

Support

Eine Datensicherheitsspezialistin der Schweizerischen Post

Logo von «Die Post», Sie gelangen zur Website von «Die Post».