Letzte Änderung: | Gesamte Dokumentation anzeigen
ACME (Automatic Certificate Management Environment) : Das Protokoll, welches Let’s Encrypt implementiert verwendet. Software, die kompatibel zu diesem Protokoll ist, kann zur Kommunikation mit Let’s Encrypt benutzt werden, um nach einem Zertifikat zu fragen. ACME RFC - Wikipedia
ACME Client : Ein Programmm, das fähig ist, mit einem ACME-Server zu kommunizieren, und nach einem Zertifikat zu fragen.
ACME Server : Ein ACME-kompatibler Server, der Zertifikate generieren kann. Boulder, eine Software von Let’s Encrypt, ist ACME-kompatibel aber nicht identisch zu ACME.
Authority Information Access (AIA) : Eine Zertifikat-Erweiterung um User Agents anzuzeigen, wie sie Informationen über den Aussteller des Zertifikat erhalten. Typischerweise spezifiziert sie die OCSP URI und die Aussteller-URI.
Baseline Requirements (BRs) : Ein Liste von technischen Anforderungen und Regeln für CAs. Seitdem alle großen Root-Programme die Baseline Requirements erfüllen, müssen CAs diesen Anforderungen folgen, um von den meisten Browsern vertraut zu werden.
Boulder : Die Software, die ACME implementiert, entwickelt und benutzt von Let’s Encrypt. GitHub
CA Issuers : Teil vom AIA-Feld, welches Informationen über den Aussteller des Zertifikats enthält. Kann sinnvoll sein, wenn Webserver keine sichere Zertifikatkette bereitstellen.
CA/Browser Forum : Eine Freiwilligengruppe von Zertifikatverwaltungen, Anbietern von Internetbrowsern, Betriebssystemen und andere PKI-aktivierten Anwendungen. Das CA/Browser Forum veröffentlicht die Baseline Requirements. Let’s Encrypt ist ein Mitglied des CA/Browser Forums. Wikipedia
CAA (Certificate Authority Authorization) : Ein DNS-Eintrag, der spezifiziert, welche CAs erlaubt sind, Zertifikate für korrespendierende Domainnamen auszustellen. CAA-Einträge werden von CAs überprüft, nicht von Browsern. Let’s Encrypt beachtet CAA records, wie von den Baseline Requirements gefordert. - Wikipedia
Canonical Name record (CNAME) : Ein DNS-Eintrag, der einen Eintrag von einer Domain auf eine andere überträgt, genannt “Canonical Name”. Wikipedia
Certificate : Eine Datei in einem bestimmten Format, die den öffentlichen Schlüssel enthält und andere Daten, die beschreiben, wann der öffentliche Schlüssel zu nutzen ist. Die meisten Arten von Zertifikaten sind Leaf-Zertifikate. Es gibt auch Zwischenzertifikate (intermediate certificates) und Root-Zertifikate.
Certificate Authority (CA) : Eine Organisation, die Zertifikate ausstellt. Let’s Encrypt, IdenTrust, Sectigo und DigiCert sind Certificate Authorities. Wikipedia
Certificate Policy (CP) : Ein Satz von Regeln, die die Anwendbarkeit von Zertifikaten zu einer bestimmten Gemeinschaft und/oder Klasse von Applikationen mit gemeingültigen Sicherheitsanforderungen vereint. Spezifische Details sind beschrieben in CPS. ISRG Certificate Policy - RFC 3647 - Wikipedia
Certificate Revocation List (CRL) : Eine Methode, um User Agents über das Sperren von Zertifikaten zu informieren. Dies ist eine Liste von Seriennummern von allen gesperrten Zertifikaten, ausgestellt von der angegebenen CA und von dieser CA signiert. Wikipedia
Certificate Signing Request (CSR) : Eine signierte Datei mit den notwendigen Informationen für eine CA zur Generierung eines Zertifikats. Relevante Information für Let’s Encrypt sind die Common Name, Subject Alternative Names und Subject Public Key Info. Typischerweise generieren Client-Anwendungen automatisch den CSR für den Nutzer, auch ein Web-Hosting Provider oder ein Gerät generieren auch ein CSR. Wikipedia
Certificate Store : Ein Zertifikatspeicher enthält eine Liste von Roots, denen vertraut wird. Betriebssysteme (wie Windows, Android oder Debian) und Web Browser (wie Firefox) verwalten einen Zertifikatspeicher. Browser ohne Zertifikatspeicher halten sich an den des Betriebssystems. Durch Let’s Encrypt bereitgestellte Zertifikate werden von den meisten Zertifikatspeichern vertraut.
Certificate Transparency (CT) : Um die Sicherheit zu verbessern müssen Zertifikate (oder Vorzertifikate) in Certificate Transparency Logs: https://www.certificate-transparency.org/ veröffentlicht werden. Let’s Encrypt generiert und veröffentlicht Vorzertifikate und speichert sie anschliessend zusammen mit dem Zertifikat in einer Liste von SCTs. Einige Browser, wie Google Chrome, erfordern das Vorhandensein eines solchen “verifizierbaren Versprechen” um ein Zertifikat zu validieren. Wikipedia
Certificate Transparency Log : Eine Komponente von Certificate Transparency die Einreichungen von Zertifikaten und Vorzertifikaten akzeptiert und sie in eine permanente, verifizierbare und öffentlich-erreichbare Liste aufnimmt.
Certificate chain : Eine Liste von Zwischenzertifikaten, die einem User Agent, durch Verbindung zu einem Root Zertifikat in seinem Zertifikatspeicher, helfen zu unterscheiden, ob sie einem End-Zertifikat oder Leaf-Zertifikat vertrauen. Zu beachten: Die Kette ist nicht immer dieselbe und wenn eine Website eine Zertifikatkette zu einem Root präsentiert, kann der User Agent entscheiden, trotzdem eine andere Kette zur Validierung des Zertifikats zu benutzen. Wikipedia
Certificate extension : In Zertifikaten sind die meisten Felder als Erweiterung definiert. Erweiterungen sind, zum Beispiel, die Subject Alternative Names und AIA. Der Erweiterungsmechanismus erlaubt das Erstellen neuer Felder, die nicht Teil des originalen X.509 Standard sind.
Certificate issuer : Das “Issuer” Feld eines Zertifikats beschreibt, womit das Zertifikat signiert ist. Zum Beispiel, das Issuer Feld von einem Let’s Encrypt End-Zertifikat hat ein “Issuer: C = US, O = Let’s Encrypt, CN = Let’s Encrypt Authority X3”. Es enthät üblicherweise Felder wie Common Name, Land und Organisation. Das Issuer Feld stimmt immer überein mit manchen Zertifikats Subject Feld. Für selbstsignierte Zertifikate wie Roots ist der Issuer dasselbe wie das Subject. Der Ausdruck “issuer” wird auch benutzt zum Identifizieren eines Zertifikats, dass durch andere Zertifikate ausgestellt ist (ein Zwischenzertifikat oder Root), oder einer Organisation, die Zertifikate ausstellt.
Certificate subject : Das Betreff-Feld (“Subject”) eines Zertifikats zeigt an, wofür ein Zertifikat ist. Es enthät typischerweise Felder wie Common Name, Land und Organisation.
Certification Practice Statement (CPS) : Eine Aussage über die Vorgänge, die eine Zertifizierungsstelle beim Ausstellen, Verwalten, Sperren und Erneuern von Zertifikaten ausübt. ISRG Certification Practice Statement - RFC 3647, Abschnitt 3.4 Wikipedia
Common Name (CN) : Teil des Zertifikats Subject beschreibt, was das Zertfikat ist. Für roots und intermediates ist es ein menschen-lesbarer Name der Zertifizierungsstelle. Für Blatt-Zertifikate ist es eine des Domainnamens des Zertifikats. Beachten Sie: Der Common Name ist limitiert auf 63 Zeichen. Es ist eine überholte Methode der Identifikation des Domainnamens des Zertifikatantrags, weil der derzeitige Internet-Standard Software erwartet, die nur den Subject Alternative Names überprüft, um die Gültigkeit eines Zertifikats zu bestimmen.
Critical extension : } Ein Zertifikat kann Erweiterungen enthalten, die als “kritisch” gekennzeichnet sind Das bedeutet, dass die Software dieses Zertifikat ablehnen muss, es sei denn, die Software weiß, wie sie diese Erweiterung verarbeiten kann. Das macht es möglich, neue Erweiterungen zu entwickeln, die wichtig für die Sicherheit sind, ohne ein Risiko für alte Software zu schaffen.
Cross Signing : Ein ausgestelltes Zertifikat ist möglicherweise signiert durch mehrere Root. Zum Beispiel, Let’s Encrypt Zwischenzertifikate sind quersigniert von IdenTrust, weil beim Start von Let’s Encrypt Root es nicht vertraut genug war im Zertifikatspeicher. Technisch wird es erreicht durch die Ausstellung zweier Zertifikate, benutzt vom selben Subject und dem selben Schlüsselpaar, einer signiert vom privaten Schlüssel von Let’s Encrypt Root und der andere signiert vom privaten Schlüssel von IdenTrust’s Root: /certificates. Wikipedia
DNS-based Authentication of Named Entities (DANE) : Ein Mechanismus, benutzt DNS zur Identifizierung, wie die Authentizität des Zertifikats zu verifizieren ist oder Verschlüsselungsschlüssel präsentiert. Wikipedia
Domain Name System Security Extensions (DNSSEC) : Ein Mechanismus zum kryptographischen Authentifizieren einer DNS Antwort. DNSSEC benötigt eine Bereitstellung von TLDs, Domainname Eigentümer und rekursive Resolver, um effektiv zu arbeiten. Die Verbreitung ist derzeit sehr gering. Wikipedia
Domain-validated certificate : Ein Zertifikat, bei dem der Antragsteller nur die Kontrolle über den Domainnamen (und nicht die Identität der anfragenden Organisation) nachgewiesen hat. Let’s Encrypt bietet nur DV Zertifikate (keine OV oder EV): FAQ - Wikipedia
ECDSA (Elliptic Curve Digital Signature Algorithm) : Eine Variante des Digital Signature Algorithm (DSA), welcher Kryptographie mit elliptischen Kurven benutzt. Wikipedia. Let’s Encrypt unterstützt ECDSA für End- oder Blatt-Zertfikate, aber nicht für die ganze Kette: /upcoming-features
Ed25519 : A specific type of EdDSA, along with Ed448.
EdDSA (Edwards-curve Digital Signature Algorithm) : Ein modernes System öffentlicher Schlüssel basierend auf Kryptographie mit elliptischen Kurven, designt zur Lösung verschiedener Implementierungsprobleme mit Kryptographie mit elliptischen Kurven. Zertifizierungsstellen wie Let’s Encrypt können momentan keine EdDSA Zertifikate zur Verfügung stellen. Wikipedia
Elliptic Curve Cryptography (ECC) : Ein Typ öffentlicher Schlüssel basierend auf Kryptographie mit elliptischen Kurven. ECC benutzt kleinere Schlüssel im Vergleich zu nicht-EC Kryptographie bei vergleichsweise gleicher Sicherheit. Cloudflare - Wikipedia
Extended Validation (EV) : Ein Typ der Zertifikatvalidierung, für die die CA die rechtliche Identität der Webseite kontrolliert. Diese enthalten Information über die Entität. Die Kontrollen der CA sind mehr striktiv als bei OV Zertifikaten. Let’s Encrypt bietet keine EV Zertifikate an. Wikipedia
Fully qualified domain name (FQDN)
: Der komplette Domainname einer Webseite. Zum Beispiel www.example.com ist ein FQDN.
HTTP Public Key Pinning (HPKP) : Ein Sicherheitsmechanismus, der Browser fragt, ob die Zertifikatkette eines Webservers für zukünfigte Anfragen benutzt werden soll. Chrome stellte dieses Mechanismus zum Schutz gegen CA Komprimitierungen vor, aber Ausfälle von Seiten verleiteten Chrome dazu, diesen zu missbilligen und zu löschen. Wikipedia
IdenTrust : Eine Zertifizierungsstelle. IdenTrust hat Let’s Encrypt Zwischenzertifikate quersigniert: /certificates. Wikipedia
Intermediate certificate : Ein Zertifikat, signiert von Root oder einem anderen Zwischenzertifikat, ist in der Lage andere Zertifikate zu signieren. Sie werden benutzt zum Signieren von Blatt-Zertifikaten, um den privaten Schlüssel des Root-Zertifikats offline zu halten. Zwischenzertifikate sind in Zertifikatketten. Wikipedia
Internationalized Domain Name (IDN)
: Domain-Name mit anderen Zeichen als a bis z, 0 bis 9 und Bindestrich (-). Sie können zum Beispiel arabische, chinesische, kyrillische, tamilische, hebräische oder lateinische Zeichen enthalten mit Diakritiker oder Ligaturen. Die enkodierte Variante einer IDN Domain beginnt mit xn--. IDNs werden von Let’s Encrypt: https://letsencrypt.org/2016/10/21/introducing-idn-support.html unterstützt. Wikipedia - RFC 5890 - RFC 5891
Internationalized Domain Names for Applications (IDNA) : Schauen Sie bei internationalisierte Domain-Namen.
Internet Security Research Group (ISRG) : Die Organisation hinter Let’s Encrypt: https://www.abetterinternet.org/about/. Wikipedia
Key-pair : Eine Kombination von privaten und öffentlichen Schlüsseln, benutzt zum Signieren und Verschlüsseln. Der öffentliche Schlüssel ist meist in einem Zertifikat eingebunden, wobei der private Schlüssel extra gespeichert und sicher aufbewahrt wird. Ein Schlüsselpaar kann verwendet werden zum Verschlüsseln und Entschlüsseln, zum Signieren und Verifizieren von Daten oder Umkehren des zweiten Schlüsseln, abhängig von der Applikation. Wikipedia
Leaf certificate (end-entity certificate) : Üblicherweise ist ein Zertifikat signiert von einem Zwischenzertifikat, gültig für einen Satz an Domains und nicht in der Lage, andere Zertifikate zu signieren. Das ist der Typ von Zertifikaten, die ACME Clients anfragen und die Web Server benutzen. Wikipedia
Let's Encrypt (LE) : Die Zertifizierungssstelle betrieben von ISRG. Wikipedia
Mixed content : Wenn eine HTTPS Webseite Unterresourcen (Javascript, CSS oder Bilder) über HTTP lädt. Browser blockieren möglicherweise gemischten Inhalt oder markieren die Seite als weniger sicher, wenn gemischter Inhalt vorhanden ist: https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content. Um das Problem zu lösen, muss ein Webentwickler die Seite so ändern, dass alle Ressourcen HTTPS URLs benutzen. Entwicklerwerkzeuge, eingebaut in Browser, können benutzt werden, um herauszufinden, welche Resourcen Probleme mit gemischten Inhalten verursachen.
OCSP (Online Certificate Status Protocol) : Eine Methode zur Überprüfung des Sperrstatus eines Zertifikats. In anderen Worte, ein Weg zu überprüfen, ob eine Certificate Authority anzeigt, dass das Zertifikat nicht länger gültig sein sollte, auch wenn das Ablaufdatum noch nicht erreicht ist. Diese Anfragen können Probleme mit der Privatsphäre verursachen, denn es erlaubt der Zertifizierungsstelle und Internet Service Providern direkte Beobachtung, wer welche Seiten besucht hat. Wikipedia
OCSP Must-Staple : Eine Zertifikat Erweiterung, die den Browser informiert, dass der Web Server mit dem Zertifikat OCSP Stapling benutzen muss. Es wird benutzt, um einen aktuellen Sperrstatus des Zertifikats vom Webserver bei jeder Verbindung bestätigt zu bekommen, was Sperrungen mehr sinnvoll macht. Let’s Encrypt kann Zertifikate mit OCSP Must-Staple Erweiterung ausstellen. Mozilla Security Blog RFC 7633
OCSP stapling : Ein Weg für Web Server, um zum Browser eine OCSP Antwort signiert von der Zertifizierungsstelle zu senden, sodass der Browser nicht selbst eine zweite OCSP Anfrage zur CA senden muss, verbessert Geschwindigkeit und Privatsphäre. Auch bekannt als TLS Certificate Status Request extension. Wikipedia Cloudflare
Object identifier (OID) : OIDs sind einzigartige numerische Bezeichner, standardisiert von der International Telecommunications Union (ITU) und ISO/IEC. OIDs werden mit Zertifikaten zur Definition von Erweiterungen, Feldern und Anforderungen. Internet Standards und Certificate Policy und Certification Practice Statement dokumentieren die Nutzung von OID. Wikipedia
Organization Validation (OV) : Zertifikate, für die die CA die juristische Person des Subscriber verifiziert hat. Diese enthalten Information über die Entität. Let’s Encrypt bietet keine OV Zertifikate an. Wikipedia
PEM file (.pem) : Ein Format für kryptographische Information (original spezifiziert als Teil des Privacy Enhanced Mail Internet Standards für sichere E-Mail). Ein PEM Dokument kann Informationen wie einen privaten Schlüssel, einen öffentlichen Schlüssel oder ein digitales Zertifikat repräsentieren. Diese Dateien beginnen mit “-----BEGIN " und dann den Datentyp. Wikipedia
Personal Information Exchange Files (.pfx) : Eine Datei die möglicherweise ein Blatt-Zertifikat enthält, es ist eine Kette hoch bis zum Root und den privaten Schlüssel des Blatt-Zertifikats. Schauen Sie auch https://en.wikipedia.org/wiki/PKCS_12. Microsoft Hardware Dev Center
Precertificate : Vorzertifikate sind Teil der Certificate Transparency. Ein Vorzertifikat ist eine Kopie des Zertifikat, dass eine CA beabsichtigt auszustellen mit einer kritischen Erweiterung ausgestattet, um zu verhindern, dass das Vorzertifikat von Software in der Welt akzeptiert wird. Eine CA sendet ein Vorzertifikat zum CT logs in Austausch für SCTs. Da ein Vorzertifikat nicht identisch ist mit seinem korrespondierenden Zertifikat, loggt Certificate Transparency am Ende beide. RFC 6962 Section 3.1
Public Suffix List (PSL)
: Eine Liste von Public Suffixes verwaltet von Mozilla, zeigt an, welche Internet-Domains verfügbar sind für viele separate Entitäten zum Registrieren von Sub-Domains. Zum Beispiel, die Liste zeigt an, dass beide com und co.uk sind Public Suffixes, wobei co.uk keine TLD ist. Web Browser benutzen die Liste für einige andere Dinge, um zu verhindern, dass Webseiten, die wahrscheinlich von verschiedenen Entitäten betrieben werden, Web-Cookies miteinander teilen. Let’s Encrypt benutzt die Liste auch zum Berechnen der Rate Limits: /docs/rate-limits. https://publicsuffix.org/
RSA : Ein öffentlicher Schlüssel Algorithmus, benutzt zur Verschlüsselung und digitalem Signieren von Zertifikaten. Wikipedia
Relying Party : Die Person, die sich auf Information in einem Zertifikat verlässt. Zum Beispiel, jemand, der eine HTTPS Webseite besucht, ist ein Relying Party.
Revocation : Ein Zertifikat ist gültig bis es abläuft, es sei denn, die CA sagt, dass es gesperrt ist. Das Zertifikat kann aus verschiedenen Gründen gesperrt sein wie etwa Komprimierung des privaten Schlüssels. Browser können überprüfen, ob ein Zertifikat gesperrt ist durch Benutzung CRL, OCSP oder neueren Methoden wie OneCRL und CRLSets. Beachten Sie, dass Sperrungen in vielen Situationen nicht funktionieren. /docs/revoking
Root Program : Die Regeln, die eine Organisation benutzt zu entscheiden, welche Zertifikate in den Zertifikatspeicher gehören und demzufolge welchen CAs in ihrer Software vertraut werden.
Root certificate : Ein selbstsigniertes Zertifikat, kontrolliert von einer Zertifizierungsstelle, benutzt zur Signierung des Zwischenzertifikats und liegt im Zertifikatspeicher. Wikipedia
SSL (Secure Sockets Layer) : Ein alter Name für TLS, immer noch in Verwendung.
Self-signed certificate : Ein Zertifikat, signiert von seinem eigenen privaten Schlüssel mit dem Subject gleich dem Issuer. Selbstsignierte Zertifikate sind vertrauenswürdig nur aufgrund vorheriger Vorkehrungen in der physischen Welt, z. B. Aufnahme in eine vertrauenswürdige Stammliste. Root Zertifikate sind selbstsigniert. Wikipedia
Server Name Indication (SNI) : Ein Feld, dass ein User Agent während einer TLS Verbindung zu seinem Server sendet, spezifiziert den Domainnamen zu der verbunden werden soll. Das erlaubt dem Server, mit dem angemessenen Zertifikat zu antworten, wenn mehrere Domains hinter derselben IP gehostet sind. Der Server sendet möglicheweise unterschiedliche Zertifikate und zeigt am Ende unterschiedlichen Inhalt, abhängig vom Namen, den der Client angefragt hat durch SNI. SNI ist nicht verschlüsselt, aber als experimentelle Ersatz gilt ESNI. Wikipedia
Signed Certificate Timestamp (SCT) : Eine signierte, nachprüfbare Zusage zur Veröffentlichung eines Zertifikats vom Certificate Transparency Log. Browser, die CT erzwingen, überprüfen das Vorhandensein von SCTs im Zertifikat einer Seite oder in der TLS Verbindung und weisen die Verbindung zur Seite ab, die nicht den geloggten Anforderungen entspricht. Dies erhöht die Wahrscheinlichkeit, dass betrügerische oder ungenaue Zertifikate entdeckt werden. https://www.certificate-transparency.org/how-ct-works
Staging : Let’s Encrypt stellt eine Staging API zum Testen von Zertifikatsanfragen ohne Einfluss auf Rate Limits zur Verfügung. Zertifikate, die von der Staging Umgebung ausgestellt sind, werden öffentlich nicht vertraut. Die Staging Umgebung sollte nur zum Testen, Fehlersuche und ACME Client Entwicklungsprozess verwendet werden. /docs/staging-environment
Subject Alternative Name (SAN) : Ein Feld eines Zertifikats das anzeigt, für welche Domain(s) ein Zertifikat gültig ist. Es ersetzt die Benutzung des Common Name, welcher jetzt aus Kompatibilitätsgründen noch vorhanden ist. Ein einfaches Zertifikat enthält möglicherweise viele SANs und kann für viele unterschiedliche Domains gültig sein. Wikipediahttps://letsencrypt.org/docs/rate-limits/#names-per-certificate
Subscriber : Die Person oder Organisation, die einen Antrag für ein Zertifikat stellt.
TLS (Transport-Level Security) : Das Protokoll, benutzt von HTTPS zum Verschlüsseln und Authentifizieren von Webseitenbesuchern.
TLSA : Der Teil von DANE speziell zum Validieren von TLS Verbindungen.
Top-Level Domain (TLD)
: Höchstes Level in der Hierarchie des Domain Name System, wie ein Länderschlüssel als Top-Level-Domain (ccTLDs) wie .de (Germany), .cn (China) und generische Top-Level-Domains (gTLDs) wie .com, .org. Wikipedia
Unified Communications Certificate (UCC) : Eine Beschreibung von einem Zertifikat, was mehrere Subject Alternative Names (SANs) enthält.
User Agent : Software, fähig zur Kommunikation mit einem Web Server. Beispiel: ein Web Browser oder cURL.
Web Browser : Ein User Agent zum Anzeigen von Webseiten. Beispiele: Mozilla Firefox, Google Chrome oder Safari. Wikipedia
Web server : Software zum Ausliefern von Webseiten (oder, als Erweiterung, die Hardware des Server-Hostings selber). Wikipedia
Wildcard Certificate
: Zertifikate, die gültig sind für Sub-Domains in einem Level Tiefe. Zum Beispiel enthält ein SAN für *.example.com, was gültig ist für blog.example.com und www.example.com aber nicht für bork.bork.example.com oder example.com). Ein wildcard identifiziert sich mit einem Stern-Zeichen (*) im Platz der Sub-Domain. Let’s Encrypt stellt Wildcard Zertifikate sein März 2018 zur Verfügung. Wikipedia
X.509 : Die Standarddefinition des Formats von Öffentliche-Schlüssel-Zertifikate. Wikipedia