Alle SSL-Artikel SSL & Zertifikate

Was ist eine Zertifizierungsstelle (CA)?

Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine vertrauenswürdige Organisation, die SSL/TLS-Zertifikate ausstellt und signiert. Wenn eine CA Ihr Zertifikat signiert, vertrauen Browser darauf, dass Ihre Website tatsächlich die ist, die sie vorgibt zu sein. Ohne CAs gäbe es keine Möglichkeit zu überprüfen, ob https://ihrebank.com tatsächlich Ihre Bank ist und nicht ein Betrüger.

Wie das CA-Vertrauensmodell funktioniert

  1. Root-CAs sind in Browsern und Betriebssystemen vorinstalliert. Apple, Google, Mozilla und Microsoft pflegen jeweils eine Liste vertrauenswürdiger Root-CAs (den „Root Store”).
  2. Wenn Sie ein Zertifikat anfordern, validiert die CA Ihren Domainbesitz (DV) oder Ihre organisatorische Identität (OV/EV).
  3. Die CA signiert Ihr Zertifikat mit ihrem privaten Schlüssel. Diese Signatur ist der Vertrauensnachweis.
  4. Wenn Besucher sich verbinden, überprüft ihr Browser die Signatur anhand der vorinstallierten Liste vertrauenswürdiger CAs.

Wenn die CA im Trust Store ist und die Signatur gültig ist → Schloss-Symbol. Wenn nicht → Sicherheitswarnung.

Wichtige Zertifizierungsstellen

CAMarktanteilKostenlose OptionAnmerkungen
Let’s Encrypt63,9 %✅ Alles kostenlosGemeinnützig, weltweit grösste CA
GlobalSign22,2 %Kommerziell, beliebt in Europa
Sectigo5,9 %Begrenzt (ZeroSSL Free-Tier)Früher Comodo, besitzt ZeroSSL
DigiCert~3 %Enterprise-orientiert, besitzt Symantecs CA
Google Trust ServicesWachsend✅ Via ACMEGoogles eigene CA
Buypass<1 %✅ Go SSL (180 Tage)Norwegische CA

Let’s Encrypts Marktanteil von 63,9 % macht sie zur dominierenden CA — mehr als die nächsten fünf zusammen.

Warum Let’s Encrypt alles verändert hat

Vor Let’s Encrypt (gestartet 2016):

  • SSL-Zertifikate kosteten 50-500 $/Jahr
  • Validierung erforderte manuelle Unterlagen
  • Nur ~18 % der Websites verwendeten HTTPS

Nach Let’s Encrypt:

  • Kostenlose DV-Zertifikate für alle
  • Vollständig automatisiert über das ACME-Protokoll
  • 86,9 % der Websites verwenden HTTPS
  • Über 1 Milliarde Zertifikate ausgestellt

Let’s Encrypt hat bewiesen, dass domainvalidierte Verschlüsselung ein Standard sein sollte, kein Premiumprodukt. Verwenden Sie GetHTTPS, um ein Let’s Encrypt-Zertifikat in Ihrem Browser zu erhalten.

Das CA/Browser Forum

Das CA/Browser Forum (CA/B Forum) ist das Branchengremium, in dem Zertifizierungsstellen und Browser-Anbieter gemeinsam Standards für die Zertifikatsausstellung festlegen. Wichtige Entscheidungen umfassen:

  • Baseline Requirements — Mindeststandards, die alle öffentlichen CAs einhalten müssen
  • Reduzierung der Zertifikatsgültigkeit — Abstimmung zur Reduzierung der maximalen Gültigkeit auf 47 Tage bis 2029
  • Certificate Transparency — verpflichtet CAs, alle ausgestellten Zertifikate in öffentlichen Logs zu protokollieren
  • Abschaffung schwacher Algorithmen — schrittweise Einstellung von SHA-1, MD5 usw.

Mitglieder umfassen Apple, Google, Mozilla, Microsoft (Browser-Seite) und Let’s Encrypt, DigiCert, Sectigo, GlobalSign (CA-Seite). Entscheidungen erfordern eine qualifizierte Mehrheit beider Seiten.

Certificate Transparency

Seit 2018 müssen alle öffentlich vertrauenswürdigen CAs jedes ausgestellte Zertifikat an Certificate Transparency (CT) Logs übermitteln — öffentlich überprüfbare, nur anhängende Protokolle. Das bedeutet:

  • Jeder kann überwachen, welche Zertifikate für ihre Domain ausgestellt werden
  • Fehlerhaft ausgestellte Zertifikate sind erkennbar (wenn eine CA ein Zertifikat für google.com an jemanden ausstellt, der es nicht kontrolliert, kann Google es in den Logs sehen)
  • Tools wie crt.sh ermöglichen die Suche in CT-Logs für jede Domain

CT verhindert keine Fehlausstellungen, macht sie aber erkennbar — was eine starke Abschreckung darstellt.

Wie man eine CA auswählt

Für die meisten Websites ist die Wahl einfach:

BedarfEmpfohlene CASo erhalten Sie sie
Kostenloses DV-ZertifikatLet’s EncryptGetHTTPS oder Certbot
Kostenloses DV mit längerer GültigkeitBuypass Go (180 Tage)acme.sh oder Certbot
OV/EV für ComplianceDigiCert oder SectigoAuf deren Website kaufen
Automatisch mit CloudflareCloudflareIm Cloudflare-Dashboard aktivieren

Alle kostenlosen Anbieter vergleichen →

Häufig gestellte Fragen

Kann jeder eine CA werden?

Technisch können Sie Ihre eigene CA erstellen, aber Browser werden ihr nicht vertrauen, es sei denn, sie erfüllt die Baseline Requirements des CA/Browser Forums und wird in die Browser-Trust-Stores aufgenommen — ein Prozess, der Jahre dauert, Millionen für Audits kostet und die Aufrechterhaltung strenger betrieblicher Sicherheit erfordert (Offline-Root-Schlüssel, Hardware-Sicherheitsmodule, 24/7-Incident-Response).

Was passiert, wenn eine CA kompromittiert wird?

Die CA wird über Software-Updates aus den Browser-Trust-Stores entfernt. Alle von dieser CA ausgestellten Zertifikate werden als nicht vertrauenswürdig eingestuft. Bemerkenswerte Vorfälle:

  • DigiNotar (2011) — gehackt, es wurden betrügerische Zertifikate für Google und andere Domains ausgestellt. Die CA wurde widerrufen und ging in Konkurs.
  • Symantec (2018) — anhaltende Probleme mit Fehlausstellungen. Google Chrome entzog schrittweise das Vertrauen für alle von Symantec ausgestellten Zertifikate. DigiCert übernahm Symantecs CA-Geschäft.

Root-Schlüssel werden in Offline-Hardware-Sicherheitsmodulen (HSMs) mit physischen Zugangskontrollen gespeichert, um dieses Risiko zu minimieren.

Werden alle CA-Zertifikate von Browsern gleich vertraut?

Ja, in Bezug auf das Schloss-Symbol. Ein kostenloses Let’s Encrypt DV-Zertifikat und ein 500 $ teures DigiCert EV-Zertifikat zeigen beide das gleiche Schloss in der Adressleiste. Browser vertrauen allen CAs in ihrem Root Store für Verschlüsselungszwecke gleichermassen. Die Unterschiede liegen im Validierungsniveau (DV/OV/EV) und den Diensten (Support, Garantie), nicht in der Verschlüsselungsstärke oder dem Browser-Vertrauen.

Wie viele CAs gibt es?

Es gibt ungefähr 100-150 Root-CAs in den grossen Trust Stores, aber der Markt ist stark konzentriert. Let’s Encrypt (63,9 %), GlobalSign (22,2 %) und Sectigo (5,9 %) kontrollieren über 90 % aller ausgestellten Zertifikate.

Verwandte Artikel

SSL & Zertifikate 2026-05-07
Die Zertifikats-Vertrauenskette erklaert
Wie Browser SSL-Zertifikate ueber eine Kette von der Root-CA ueber die Intermediate-CA bis zu Ihrem Zertifikat verifizieren. Erfahren Sie, warum die Kettenreihenfolge wichtig ist und wie Sie Fehler wie 'Zertifikat nicht vertrauenswuerdig' beheben.
SSL & Zertifikate 2026-05-08
Was ist HTTPS? Ein vollstaendiger Leitfaden
HTTPS verschluesselt die Verbindung zwischen Ihrem Browser und einer Website. Erfahren Sie, wie HTTPS funktioniert, den TLS-Handshake, Unterschiede zwischen HTTP und HTTPS, Auswirkungen auf die Leistung und wie Sie es kostenlos aktivieren.
Vergleiche 2026-05-08
Die besten kostenlosen SSL-Zertifikatsanbieter 2026 (im Vergleich)
Vergleichen Sie 9 kostenlose SSL-Zertifikatsanbieter hinsichtlich Datenschutz, Limits, Wildcard-Unterstutzung und Automatisierung. Enthalt eigenstandige CAs, Hosting-Anbieter und CDNs -- mit einer Datenschutzanalyse, die kein anderer Vergleich bietet.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten