Glossar

Letzte Aktualisierung: | Sehen Sie die ganze Dokumentation

Authority Information Access (AIA): Eine Zertifikat Erweiterung benutzt zum Identifizieren von User Agents, wie sie Informationen über Aussteller des Zertifikat identifizieren. Typischerweise spezifiziert sie die OCSP URI und die issuer URI.

ACME (Automatic Certificate Management Environment): Das Protokoll implementiert von Let’s Encrypt. Software, die kompatibel zu diesem Protokoll ist, kann zur Kommunikation mit Let’s Encrypt benutzt werden, um nach einem Zertifikat zu fragen. ACME Entwurf - Wikipedia

ACME Client: Ein Programmm, dass fähig ist, mit einem ACME Server zu kommunizieren, und nach einem Zertifikat zu fragen.

ACME Server: Ein ACME-kompatibler Server, der Zertifikate generieren kann. Let’s Encrypt’s Software, Boulder, ist ACME-kompatibel, mit einigen Abweichungen.

Boulder: Die Software implementiert ACME, entwickelt und benutzt von Let’s Encrypt. GitHub

Baseline Requirements (BRs): Ein Set von technischen Anforderungen und Regeln für CAs. Seitdem alle Haupt-Root Programme die Baseline Requirements erfüllen, müssen CAs diesen Anforderungen folgen, um von den meisten Browsern vertraut zu werden.

CAA (Certificate Authority Authorization): Ein DNS Eintrag, der spezifiziert, welche CAs erlaubt sind, Zertifikate für korrespendierende Domainnamen auszustellen. CAA Einträge werden von CAs überprüft, nicht von Browsern. Let’s Encrypt würdigt CAA records als erforderlich von Baseline Requirements. - Wikipedia

Canonical Name record (CNAME): Ein DNS Eintrag, der einen Eintrag von einer Domain auf eine andere überträgt, referiert als Canonical Name. Wikipedia

Certificate Authority (CA): Eine Organisation die Zertifikate ausstellt. Let’s Encrypt, IdenTrust, Sectigo und DigiCert sind Certificate Authorities. Wikipedia

CA Issuers: Teil vom AIA Feld enthält Informationen über den Aussteller des Zertifikats. Ist manchmal sinnvoll, wenn Web Server keine sichere Zertifikatkette bereitstellen.

Certificate: Eine Datei in einem bestimmten Format, die den öffentlichen Schlüssel enthält und andere Daten, die beschreiben, wann der öffentliche Schlüssel zu nutzen ist. Die meisten Arten von Zertifikaten sind Blatt-Zertifikate. Es gibt auch Zwischenzertifikate und Root Zertifikate.

Certificate extension: In Zertifikaten sind die meisten Felder als Erweiterung definiert. Zum Beispiel, Subject Alternative Names und AIA sind Erweiterungen. Der Erweiterungsmechanismus erlaubt das Erstellen neuer Felder, die nicht Teil des originalen X.509 Standard sind.

CA/Browser Forum: Eine Unterstützergruppe von Zertifikatverwaltungen, Lieferanten von Internetbrowsern, Betriebssystemen und andere PKI-aktivierte Applikationen. Das CA/Browser Forum veröffentlicht die Baseline Requirements. Let’s Encrypt ist ein Mitglied des CA/Browser Forums. Wikipedia

Certificate chain: Eine Liste von Zwischenzertifikaten, die einem User Agent helfen zu unterscheiden, ob sie einem End-Zertifikat oder leaf certificate vertrauen, durch Verbindung zu einem Root Zertifikat in seinem Zertifikatspeicher. Beachten Sie: Die Kette ist nicht immer dieselbe und wenn eine Webseite eine Zertifikatkette zu einem Root präsentiert, kann der User Agent entscheiden, eine andere Kette zur Validierung des Zertifikats zu benutzen. Wikipedia

Certificate Policy (CP): Ein Satz von Regeln, die die Anwendbarkeit von Zertifikaten zu einer bestimmten Gemeinschaft und/oder Klasse von Applikationen mit gemeingültigen Sicherheitsanforderungen vereint. Spezifische Details sind beschrieben in CPS. ISRG Certificate Policy - RFC 3647 - Wikipedia

Certification Practice Statement (CPS): Eine Aussage über die Praxis, die eine Zertifizierungsstelle bei Ausstellen, Verwalten, Sperren und Erneuern von Zertifikaten ausübt. ISRG Certification Practice Statement - RFC 3647 section 3.4 Wikipedia

Critical extension: Ein Zertifikat enthält möglicherweise Erweiterungen, die als “kritisch” markiert sind. Das bedeutet, diese Software muss ein Zertifikat abweisen, bis die Software versteht, wie mit Erweiterungen umzugehen ist. Das macht es möglich, neue Erweiterungen, die wichtig für die Sicherheit sind, vorzustellen, ohne ein Risiko für alte Software zu schaffen.

Certificate Revocation List (CRL): Eine Methode, um User Agents über das Sperren von Zertifikaten zu informieren. Dies ist eine Liste von Seriennummern von allen gesperrten Zertifikaten, ausgestellt von der angegebenen CA, signiert von dieser CA. Wikipedia

Certificate Signing Request (CSR): Eine signierte Datei mit den notwendigen Informationen für eine CA zur Generierung eines Zertifikats. Relevante Information für Let’s Encrypt sind die Common Name, Subject Alternative Names und Subject Public Key Info. Typischerweise generieren Client Applikationen automatisch den CSR für den Nutzer, auch ein Web-Hosting Provider oder ein Gerät generieren auch ein CSR. Wikipedia

Certificate Store: Ein Zertifikatspeicher enthält eine Liste von vertrauenden Roots. Betriebssysteme (wie Windows, Android oder Debian) und Web Browsers (wie Firefox) verwalten einen Zertifikatspeicher. Browser ohne halten sich an den des Betriebssystems. Zertifikate bereitgestellt durch Let’s Encrypt sind sicher durch die meisten Zertifikatspeicher.

Certificate subject: Das “Subject” Feld eines Zertifikats zeigt an, was ein Zertifikat ist. Es enthät typischerweise Felder wie Common Name, Land und Organisation.

Certificate Transparency (CT): Um die Sicherheit zu verbessern müssen Zertifikate (oder Vorzertifikate) in Certificate Transparency Logs: https://www.certificate-transparency.org/ veröffentlicht werden. Let’s Encrypt generiert und veröffentlich Vorzertifikate und speichert sie anschliessend zusammen mit dem Zertifikat in einer Liste von SCTs. Einige Browser wie Google Chrome benötigen die Präsenz zum Verifizieren in der Reihenfolge der Validierung des Zertifikats. Wikipedia

Certificate Transparency Log: Eine Komponente von Certificate Transparency die Einreichungen von Zertifikaten und Vorzertifikaten akzeptiert und sie in eine permanente, verifizierbare und öffentlich-erreichbare Liste aufnimmt.

Common Name (CN): Teil des Zertifikats Subject beschreibt, was das Zertfikat ist. Für roots und intermediates ist es ein menschen-lesbarer Name der Zertifizierungsstelle. Für Blatt-Zertifikate ist es eine des Domainnamens des Zertifikats. Beachten Sie: Der Common Name ist limitiert auf 63 Zeichen. Es ist eine überholte Methode der Identifikation des Domainnamens des Zertifikatantrags, weil der derzeitige Internet-Standard Software erwartet, die nur den Subject Alternative Names überprüft, um die Gültigkeit eines Zertifikats zu bestimmen.

Cross Signing: Ein ausgestelltes Zertifikat ist möglicherweise signiert durch mehrere Root. Zum Beispiel, Let’s Encrypt Zwischenzertifikate sind quersigniert von IdenTrust, weil beim Start von Let’s Encrypt Root es nicht vertraut genug war im Zertifikatspeicher. Technisch wird es erreicht durch die Ausstellung zweier Zertifikate, benutzt vom selben Subject und dem selben Schlüsselpaar, einer signiert vom privaten Schlüssel von Let’s Encrypt Root und der andere signiert vom privaten Schlüssel von IdenTrust’s Root: https://letsencrypt.org/de/certificates/. Wikipedia

DNS-based Authentication of Named Entities (DANE): Ein Mechanismus, benutzt DNS zur Identifizierung, wie die Authentizität des Zertifikats zu verifizieren ist oder Verschlüsselungsschlüssel präsentiert. Wikipedia

Domain Name System Security Extensions (DNSSEC): Ein Mechanismus zum kryptographischen Authentifizieren einer DNS Antwort. DNSSEC benötigt eine Bereitstellung von TLDs, Domainname Eigentümer und rekursive Resolver, um effektiv zu arbeiten. Die Verbreitung ist derzeit sehr gering. Wikipedia

Domain-validated certificate: Ein Zertifikat, bei dem der Antragsteller nur die Kontrolle über den Domainnamen (und nicht die Identität der anfragenden Organisation) nachgewiesen hat. Let’s Encrypt bietet nur DV Zertifikate (keine OV oder EV): FAQ - Wikipedia

ECDSA (Elliptic Curve Digital Signature Algorithm): Eine Variante des Digital Signature Algorithm (DSA), welcher Kryptographie mit elliptischen Kurven benutzt. Let’s Encrypt unterstützt ECDSA für End- oder Blatt-Zertfikate, aber nicht für die ganze Kette: https://letsencrypt.org/de/upcoming-features/. Wikipedia

Ed25519: A specific type of EdDSA, along with Ed448.

EdDSA (Edwards-curve Digital Signature Algorithm): Ein modernes System öffentlicher Schlüssel basierend auf Kryptographie mit elliptischen Kurven, designt zur Lösung verschiedener Implementierungsprobleme mit Kryptographie mit elliptischen Kurven. Zertifizierungsstellen wie Let’s Encrypt können momentan keine EdDSA Zertifikate zur Verfügung stellen. Wikipedia

Elliptic Curve Cryptography (ECC): Ein Typ öffentlicher Schlüssel basierend auf Kryptographie mit elliptischen Kurven. ECC benutzt kleinere Schlüssel im Vergleich zu nicht-EC Kryptographie bei vergleichsweise gleicher Sicherheit. Cloudflare - Wikipedia

Extended Validation (EV): Ein Typ der Zertifikatvalidierung, für die die CA die rechtliche Identität der Webseite kontrolliert. Diese enthalten Informationen über die Entität. Die Kontrollen der CA sind mehr striktiv als bei OV Zertifikaten. Let’s Encrypt bietet keine EV Zertifikate an. Wikipedia

Fully qualified domain name (FQDN): Der komplette Domainname einer Webseite. Zum Beispiel www.example.com ist ein FQDN.

IdenTrust: Eine Zertifizierungsstelle. IdenTrust hat Let’s Encrypt Zwischenzertifikate quersigniert: https://letsencrypt.org/de/certificates/. Wikipedia

Intermediate certificate: Ein Zertifikat, signiert von Root oder einem anderen Zwischenzertifikat, ist in der Lage andere Zertifikate zu signieren. Sie werden benutzt zum Signieren von Blatt-Zertifikaten, um den privaten Schlüssel des Root-Zertifikats offline zu halten. Zwischenzertifikate sind in Zertifikatketten. Wikipedia

Internationalized Domain Names for Applications (IDNA): Schauen Sie bei internationalisierte Domain-Namen.

Internationalized Domain Name (IDN): Domain-Name mit anderen Zeichen als a bis z, 0 bis 9 und Bindestrich (-). Sie können zum Beispiel arabische, chinesische, kyrillische, tamilische, hebräische oder lateinische Zeichen enthalten mit Diakritiker oder Ligaturen. Die enkodierte Variante einer IDN Domain beginnt mit xn--. IDNs werden von Let’s Encrypt: https://letsencrypt.org/2016/10/21/introducing-idn-support.html unterstützt. Wikipedia - RFC 5890 - RFC 5891

Internet Security Research Group (ISRG): Die Organisation hinter Let’s Encrypt: https://www.abetterinternet.org/about/. Wikipedia

Certificate issuer: Das “Issuer” Feld eines Zertifikats beschreibt, womit das Zertifikat signiert ist. Zum Beispiel, das Issuer Feld von einem Let’s Encrypt End-Zertifikat hat ein “Issuer: C = US, O = Let’s Encrypt, CN = Let’s Encrypt Authority X3”. Es enthät üblicherweise Felder wie Common Name, Land und Organisation. Das Issuer Feld stimmt immer überein mit manchen Zertifikats Subject Feld. Für selbstsignierte Zertifikate wie Roots ist der Issuer dasselbe wie das Subject. Der Ausdruck “issuer” wird auch benutzt zum Identifizieren eines Zertifikats, dass durch andere Zertifikate ausgestellt ist (ein Zwischenzertifikat oder Root), oder einer Organisation, die Zertifikate ausstellt.

Key-pair: Eine Kombination von privaten und öffentlichen Schlüsseln, benutzt zum Signieren und Verschlüsseln. Der öffentliche Schlüssel ist meist in einem Zertifikat eingebunden, wobei der private Schlüssel extra gespeichert und sicher aufbewahrt wird. Ein Schlüsselpaar kann verwendet werden zum Verschlüsseln und Entschlüsseln, zum Signieren und Verifizieren von Daten oder Umkehren des zweiten Schlüsseln, abhängig von der Applikation. Wikipedia

Leaf certificate (end-entity certificate): Üblicherweise ist ein Zertifikat signiert von einem Zwischenzertifikat, gültig für einen Satz an Domains und nicht in der Lage, andere Zertifikate zu signieren. Das ist der Typ von Zertifikaten, die ACME Clients anfragen und die Web Server benutzen. Wikipedia

Let's Encrypt (LE): Die Zertifizierungssstelle betrieben von ISRG. Wikipedia

Mixed content: Wenn eine HTTPS Webseite Unterresourcen (Javascript, CSS oder Bilder) über HTTP lädt. Browser blockieren möglicherweise gemischten Inhalt oder markieren die Seite als weniger sicher, wenn gemischter Inhalt vorhanden ist: https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content. Um das Problem zu lösen, muss ein Webentwickler die Seite so ändern, dass alle Ressourcen HTTPS URLs benutzen. Entwicklerwerkzeuge, eingebaut in Browser, können benutzt werden, um herauszufinden, welche Resourcen Probleme mit gemischten Inhalten verursachen.

OCSP (Online Certificate Status Protocol): Eine Methode zur Überprüfung des Sperrstatus eines Zertifikats. In anderen Worte, ein Weg zu überprüfen, ob eine Certificate Authority anzeigt, dass das Zertifikat nicht länger gültig sein sollte, auch wenn das Ablaufdatum noch nicht erreicht ist. Diese Anfragen können Probleme mit der Privatsphäre verursachen, denn es erlaubt der Zertifizierungsstelle und Internet Service Providern direkte Beobachtung, wer welche Seiten besucht hat. Wikipedia

OCSP Must-Staple: Eine Zertifikat Erweiterung, die den Browser informiert, dass der Web Server mit dem Zertifikat OCSP Stapling benutzen muss. Es wird benutzt, um einen aktuellen Sperrstatus des Zertifikats vom Webserver bei jeder Verbindung bestätigt zu bekommen, was Sperrungen mehr sinnvoll macht. Let’s Encrypt kann Zertifikate mit OCSP Must-Staple Erweiterung ausstellen. Mozilla Security Blog RFC 7633

OCSP stapling: Ein Weg für Web Server, um zum Browser eine OCSP Antwort signiert von der Zertifizierungsstelle zu senden, sodass der Browser nicht selbst eine zweite OCSP Anfrage zur CA senden muss, verbessert Geschwindigkeit und Privatsphäre. Auch bekannt als TLS Certificate Status Request extension. Wikipedia Cloudflare

Object identifier (OID): OIDs sind einzigartige numerische Bezeichner, standardisiert von der International Telecommunications Union (ITU) und ISO/IEC. OIDs werden mit Zertifikaten zur Definition von Erweiterungen, Feldern und Anforderungen. Internet Standards und Certificate Policy und Certification Practice Statement dokumentieren die Nutzung von OID. Wikipedia

Organization Validation (OV): Zertifikate, für die die CA die juristische Person des Subscriber verifiziert hat. Diese enthalten Information über die Entität. Let’s Encrypt bietet keine OV Zertifikate an. Wikipedia

PEM file (.pem): Ein Format für kryptographische Information (original spezifiziert als Teil des Privacy Enhanced Mail Internet Standards für sichere E-Mail). Ein PEM Dokument kann Informationen wie einen privaten Schlüssel, einen öffentlichen Schlüssel oder ein digitales Zertifikat repräsentieren. Diese Dateien beginnen mit “-----BEGIN “ und dann den Datentyp. Wikipedia

Personal Information Exchange Files (.pfx): Eine Datei die möglicherweise ein Blatt-Zertifikat enthält, es ist eine Kette hoch bis zum Root und den privaten Schlüssel des Blatt-Zertifikats. Schauen Sie auch https://en.wikipedia.org/wiki/PKCS_12. Microsoft Hardware Dev Center

Precertificate: Vorzertifikate sind Teil der Certificate Transparency. Ein Vorzertifikat ist eine Kopie des Zertifikat, dass eine CA beabsichtigt auszustellen mit einer kritischen Erweiterung ausgestattet, um zu verhindern, dass das Vorzertifikat von Software in der Welt akzeptiert wird. Eine CA sendet ein Vorzertifikat zum CT logs in Austausch für SCTs. Da ein Vorzertifikat nicht identisch ist mit seinem korrespondierenden Zertifikat, loggt Certificate Transparency am Ende beide. RFC 6962 Section 3.1

HTTP Public Key Pinning (HPKP): Ein Sicherheitsmechanismus, der Browser fragt, ob die Zertifikatkette eines Webservers für zukünfigte Anfragen benutzt werden soll. Chrome stellte dieses Mechanismus zum Schutz gegen CA Komprimitierungen vor, aber Ausfälle von Seiten verleiteten Chrome dazu, diesen zu missbilligen und zu löschen. Wikipedia

Public Suffix List (PSL): Eine Liste von Public Suffixes verwaltet von Mozilla, zeigt an, welche Internet-Domains verfügbar sind für viele separate Entitäten zum Registrieren von Sub-Domains. Zum Beispiel, die Liste zeigt an, dass beide com und co.uk sind Public Suffixes, wobei co.uk keine TLD ist. Web Browser benutzen die Liste für einige andere Dinge, um zu verhindern, dass Webseiten, die wahrscheinlich von verschiedenen Entitäten betrieben werden, Web-Cookies miteinander teilen. Let’s Encrypt benutzt die Liste auch zum Berechnen der Rate Limits: https://letsencrypt.org/de/docs/rate-limits/. https://publicsuffix.org/

Relying Party: Die Person, die sich auf Information in einem Zertifikat verlässt. Zum Beispiel, jemand, der eine HTTPS Webseite besucht, ist ein Relying Party.

Revocation: Ein Zertifikat ist gültig bis es abläuft, es sei denn, die CA sagt, dass es gesperrt ist. Das Zertifikat kann aus verschiedenen Gründen gesperrt sein wie etwa Komprimierung des privaten Schlüssels. Browser können überprüfen, ob ein Zertifikat gesperrt ist durch Benutzung CRL, OCSP oder neueren Methoden wie OneCRL und CRLSets. Beachten Sie, dass Sperrungen in vielen Situationen nicht funktionieren. https://letsencrypt.org/de/docs/revoking/

Root certificate: Ein selbstsigniertes Zertifikat, kontrolliert von einer Zertifizierungsstelle, benutzt zur Signierung des Zwischenzertifikats und liegt im Zertifikatspeicher. Wikipedia

Root Program: Die Regeln, die eine Organisation benutzt zu entscheiden, welche Zertifikate in den Zertifikatspeicher gehören und demzufolge welchen CAs in ihrer Software vertraut werden.

RSA: Ein öffentlicher Schlüssel Algorithmus, benutzt zur Verschlüsselung und digitalem Signieren von Zertifikaten. Wikipedia

Self-signed certificate: Ein Zertifikat, signiert von seinem eigenen privaten Schlüssel mit dem Subject gleich dem Issuer. Selbstsignierte Zertifikate sind vertrauenswürdig nur aufgrund vorheriger Vorkehrungen in der physischen Welt, z. B. Aufnahme in eine vertrauenswürdige Stammliste. Root Zertifikate sind selbstsigniert. Wikipedia

Server Name Indication (SNI): Ein Feld, dass ein User Agent während einer TLS Verbindung zu seinem Server sendet, spezifiziert den Domainnamen zu der verbunden werden soll. Das erlaubt dem Server, mit dem angemessenen Zertifikat zu antworten, wenn mehrere Domains hinter derselben IP gehostet sind. Der Server sendet möglicheweise unterschiedliche Zertifikate und zeigt am Ende unterschiedlichen Inhalt, abhängig vom Namen, den der Client angefragt hat durch SNI. SNI ist nicht verschlüsselt, aber als experimentelle Ersatz gilt ESNI. Wikipedia

Signed Certificate Timestamp (SCT): Eine signierte, nachprüfbare Zusage zur Veröffentlichung eines Zertifikats vom Certificate Transparency Log. Browser, die CT erzwingen, überprüfen das Vorhandensein von SCTs im Zertifikat einer Seite oder in der TLS Verbindung und weisen die Verbindung zur Seite ab, die nicht den geloggten Anforderungen entspricht. Dies erhöht die Wahrscheinlichkeit, dass betrügerische oder ungenaue Zertifikate entdeckt werden. https://www.certificate-transparency.org/how-ct-works

SSL (Secure Sockets Layer): Ein alter Name für TLS, immer noch in Verwendung.

Staging: Let’s Encrypt stellt eine Staging API zum Testen von Zertifikatsanfragen ohne Einfluss auf Rate Limits zur Verfügung. Zertifikate, die von der Staging Umgebung ausgestellt sind, werden öffentlich nicht vertraut. Die Staging Umgebung sollte nur zum Testen, Fehlersuche und ACME Client Entwicklungsprozess verwendet werden. https://letsencrypt.org/de/docs/staging-environment/

Subject Alternative Name (SAN): Ein Feld eines Zertifikats das anzeigt, für welche Domain(s) ein Zertifikat gültig ist. Es ersetzt die Benutzung des Common Name, welcher jetzt aus Kompatibilitätsgründen noch vorhanden ist. Ein einfaches Zertifikat enthält möglicherweise viele SANs und kann für viele unterschiedliche Domains gültig sein. Wikipedia https://letsencrypt.org/de/docs/rate-limits/#names-per-certificate

Subscriber: Die Person oder Organisation, die einen Antrag für ein Zertifikat stellt.

Top-Level Domain (TLD): Höchstes Level in der Hierarchie des Domain Name System, wie ein Länderschlüssel als Top-Level-Domain (ccTLDs) wie .de (Germany), .cn (China) und generische Top-Level-Domains (gTLDs) wie .com, .org. Wikipedia

TLS (Transport-Level Security): Das Protokoll, benutzt von HTTPS zum Verschlüsseln und Authentifizieren von Webseitenbesuchern.

TLSA: Der Teil von DANE speziell zum Validieren von TLS Verbindungen.

Unified Communications Certificate (UCC): Eine Beschreibung von einem Zertifikat, was mehrere Subject Alternative Names (SANs) enthält.

Web Browser: Ein User Agent zum Anzeigen von Webseiten. Beispiele: Mozilla Firefox, Google Chrome oder Internet Explorer. Wikipedia

User Agent: Software, fähig zur Kommunikation mit einem Web Server. Beispiel: ein Web Browser oder cURL.

Web server: Software zum Ausliefern von Webseiten (oder, als Erweiterung, die Hardware des Server-Hostings selber). Wikipedia

Wildcard Certificate: Zertifikate, die gültig sind für Sub-Domains in einem Level Tiefe. Zum Beispiel enthält ein SAN für *.example.com, was gültig ist für blog.example.com und www.example.com aber nicht für bork.bork.example.com oder example.com). Ein wildcard identifiziert sich mit einem Stern-Zeichen (*) im Platz der Sub-Domain. Let’s Encrypt stellt Wildcard Zertifikate sein März 2018 zur Verfügung. Wikipedia

X.509: Die Standarddefinition des Formats von Öffentliche-Schlüssel-Zertifikate. Wikipedia