Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine vertrauenswürdige Organisation, die SSL/TLS-Zertifikate ausstellt und signiert. Wenn eine CA Ihr Zertifikat signiert, vertrauen Browser darauf, dass Ihre Website tatsächlich die ist, die sie vorgibt zu sein. Ohne CAs gäbe es keine Möglichkeit zu überprüfen, ob https://ihrebank.com tatsächlich Ihre Bank ist und nicht ein Betrüger.
Wie das CA-Vertrauensmodell funktioniert
- Root-CAs sind in Browsern und Betriebssystemen vorinstalliert. Apple, Google, Mozilla und Microsoft pflegen jeweils eine Liste vertrauenswürdiger Root-CAs (den „Root Store”).
- Wenn Sie ein Zertifikat anfordern, validiert die CA Ihren Domainbesitz (DV) oder Ihre organisatorische Identität (OV/EV).
- Die CA signiert Ihr Zertifikat mit ihrem privaten Schlüssel. Diese Signatur ist der Vertrauensnachweis.
- Wenn Besucher sich verbinden, überprüft ihr Browser die Signatur anhand der vorinstallierten Liste vertrauenswürdiger CAs.
Wenn die CA im Trust Store ist und die Signatur gültig ist → Schloss-Symbol. Wenn nicht → Sicherheitswarnung.
Wichtige Zertifizierungsstellen
| CA | Marktanteil | Kostenlose Option | Anmerkungen |
|---|---|---|---|
| Let’s Encrypt | 63,9 % | ✅ Alles kostenlos | Gemeinnützig, weltweit grösste CA |
| GlobalSign | 22,2 % | ❌ | Kommerziell, beliebt in Europa |
| Sectigo | 5,9 % | Begrenzt (ZeroSSL Free-Tier) | Früher Comodo, besitzt ZeroSSL |
| DigiCert | ~3 % | ❌ | Enterprise-orientiert, besitzt Symantecs CA |
| Google Trust Services | Wachsend | ✅ Via ACME | Googles eigene CA |
| Buypass | <1 % | ✅ Go SSL (180 Tage) | Norwegische CA |
Let’s Encrypts Marktanteil von 63,9 % macht sie zur dominierenden CA — mehr als die nächsten fünf zusammen.
Warum Let’s Encrypt alles verändert hat
Vor Let’s Encrypt (gestartet 2016):
- SSL-Zertifikate kosteten 50-500 $/Jahr
- Validierung erforderte manuelle Unterlagen
- Nur ~18 % der Websites verwendeten HTTPS
Nach Let’s Encrypt:
- Kostenlose DV-Zertifikate für alle
- Vollständig automatisiert über das ACME-Protokoll
- 86,9 % der Websites verwenden HTTPS
- Über 1 Milliarde Zertifikate ausgestellt
Let’s Encrypt hat bewiesen, dass domainvalidierte Verschlüsselung ein Standard sein sollte, kein Premiumprodukt. Verwenden Sie GetHTTPS, um ein Let’s Encrypt-Zertifikat in Ihrem Browser zu erhalten.
Das CA/Browser Forum
Das CA/Browser Forum (CA/B Forum) ist das Branchengremium, in dem Zertifizierungsstellen und Browser-Anbieter gemeinsam Standards für die Zertifikatsausstellung festlegen. Wichtige Entscheidungen umfassen:
- Baseline Requirements — Mindeststandards, die alle öffentlichen CAs einhalten müssen
- Reduzierung der Zertifikatsgültigkeit — Abstimmung zur Reduzierung der maximalen Gültigkeit auf 47 Tage bis 2029
- Certificate Transparency — verpflichtet CAs, alle ausgestellten Zertifikate in öffentlichen Logs zu protokollieren
- Abschaffung schwacher Algorithmen — schrittweise Einstellung von SHA-1, MD5 usw.
Mitglieder umfassen Apple, Google, Mozilla, Microsoft (Browser-Seite) und Let’s Encrypt, DigiCert, Sectigo, GlobalSign (CA-Seite). Entscheidungen erfordern eine qualifizierte Mehrheit beider Seiten.
Certificate Transparency
Seit 2018 müssen alle öffentlich vertrauenswürdigen CAs jedes ausgestellte Zertifikat an Certificate Transparency (CT) Logs übermitteln — öffentlich überprüfbare, nur anhängende Protokolle. Das bedeutet:
- Jeder kann überwachen, welche Zertifikate für ihre Domain ausgestellt werden
- Fehlerhaft ausgestellte Zertifikate sind erkennbar (wenn eine CA ein Zertifikat für
google.coman jemanden ausstellt, der es nicht kontrolliert, kann Google es in den Logs sehen) - Tools wie crt.sh ermöglichen die Suche in CT-Logs für jede Domain
CT verhindert keine Fehlausstellungen, macht sie aber erkennbar — was eine starke Abschreckung darstellt.
Wie man eine CA auswählt
Für die meisten Websites ist die Wahl einfach:
| Bedarf | Empfohlene CA | So erhalten Sie sie |
|---|---|---|
| Kostenloses DV-Zertifikat | Let’s Encrypt | GetHTTPS oder Certbot |
| Kostenloses DV mit längerer Gültigkeit | Buypass Go (180 Tage) | acme.sh oder Certbot |
| OV/EV für Compliance | DigiCert oder Sectigo | Auf deren Website kaufen |
| Automatisch mit Cloudflare | Cloudflare | Im Cloudflare-Dashboard aktivieren |
Alle kostenlosen Anbieter vergleichen →
Häufig gestellte Fragen
Kann jeder eine CA werden?
Technisch können Sie Ihre eigene CA erstellen, aber Browser werden ihr nicht vertrauen, es sei denn, sie erfüllt die Baseline Requirements des CA/Browser Forums und wird in die Browser-Trust-Stores aufgenommen — ein Prozess, der Jahre dauert, Millionen für Audits kostet und die Aufrechterhaltung strenger betrieblicher Sicherheit erfordert (Offline-Root-Schlüssel, Hardware-Sicherheitsmodule, 24/7-Incident-Response).
Was passiert, wenn eine CA kompromittiert wird?
Die CA wird über Software-Updates aus den Browser-Trust-Stores entfernt. Alle von dieser CA ausgestellten Zertifikate werden als nicht vertrauenswürdig eingestuft. Bemerkenswerte Vorfälle:
- DigiNotar (2011) — gehackt, es wurden betrügerische Zertifikate für Google und andere Domains ausgestellt. Die CA wurde widerrufen und ging in Konkurs.
- Symantec (2018) — anhaltende Probleme mit Fehlausstellungen. Google Chrome entzog schrittweise das Vertrauen für alle von Symantec ausgestellten Zertifikate. DigiCert übernahm Symantecs CA-Geschäft.
Root-Schlüssel werden in Offline-Hardware-Sicherheitsmodulen (HSMs) mit physischen Zugangskontrollen gespeichert, um dieses Risiko zu minimieren.
Werden alle CA-Zertifikate von Browsern gleich vertraut?
Ja, in Bezug auf das Schloss-Symbol. Ein kostenloses Let’s Encrypt DV-Zertifikat und ein 500 $ teures DigiCert EV-Zertifikat zeigen beide das gleiche Schloss in der Adressleiste. Browser vertrauen allen CAs in ihrem Root Store für Verschlüsselungszwecke gleichermassen. Die Unterschiede liegen im Validierungsniveau (DV/OV/EV) und den Diensten (Support, Garantie), nicht in der Verschlüsselungsstärke oder dem Browser-Vertrauen.
Wie viele CAs gibt es?
Es gibt ungefähr 100-150 Root-CAs in den grossen Trust Stores, aber der Markt ist stark konzentriert. Let’s Encrypt (63,9 %), GlobalSign (22,2 %) und Sectigo (5,9 %) kontrollieren über 90 % aller ausgestellten Zertifikate.