(ohne Anspruch auf Korrektheit
)
Was genau bringt mir ein Zertifikat?
Dieser ist die Basis für eine verschlüsselte Verbindung auf Basis von TLS (ehemals: SSL) Ebene. TLS = Transport Layer Security
Bekanntes Beispiel "HTTPS". S= SSL
Sicherheit der Daten? Verschlüsselung? Korrektheit des Inhalts?
Bei HTTPS: Verschlüsselung der Daten auf dem Transportweg von Web-Server zu Browser und zurück.
Aber ja auch Korrektheit des Inhalts. z.B. bei der E-Mail-Signatur, welche als Basis für die E-Mail-Verschlüsselung (S-MIME) dient.
Weshalb dürfen gewisse Frimen als Zertifizierungsstelle dienen, was sind die Anforderungen um selber CAs verteilen zu können?
CA (Certificate authority) sind sozusagen die Eltern des Zertifikats. Damit man ein (öffentliche) CA wird, bedarf es natürlich einiger Voraussetzungen - hauptsächlich an die Sicherheit des Root-CAs (physikalisch), von dem dann alle ableiten, damit eben
keiner sich in die Kommunikation einfach mal so eben reinklicken kann. NSA würde das sehr gerne
Siehe:
https://en.wikipedia.org/wiki/Certificate_authority
Man kann auch selber seine eigene CA sein. Gar kein Problem. Nur musst du Leute (z.B. Browser-Hersteller) finden die dann deiner CA Vertrauen. Das hat nun Let's Encrypt (über Umwege) geschafft.
Wann ist ein CA gut oder wieso ist es bei Anbieter A besser als bei B ? Worin unterschieden sich die CAs?
In der Regel Unterschieden sich die Firmen in dem Umfang für was man die Zertifikat nachher verwenden kann.
z.B. E-Mail-Verschlüsselung, TLS-Gateway, HTTPS, und andere Dinge.
Let's Encrypt bietet z.b. kein S-MIME Support (E-Mail-Verschlüsselung) soweit ich weiß.
Am Ende wollen die Firmen Geld für den Aufwand die Root-CA zu pflegen und IT-Infrastruktur bereitzustellen.
Aber ja, es würde eine Root-CA ausreichen, aber Konkurrenz belebt das Geschäft
Und nicht jeder Mensch vertraut jeder Firma.
Damit du dann im Browser ein grünes Schloss (FireFox) bekommst, musst du die CA in deiner "vertrausenwürdigen CA Liste" drin haben.
Eigentlich müsstest du selber entscheiden wem du vertraust. Aber das kannst du ja keinem Normaluser überlassen, woher soll der Wissen welche Firma nun sich durch Einhaltung aller Sicherheitsregeln und Durchführung von Audits etc "berühmt" gemacht hat und somit verhindert das Dritte an DEIN certificate kommen.
- Es gab da ja mal im Firefox den "Honest Achmed's Used Cars and Certificates"
https://bugzilla.mozilla.org/show_bug.cgi?id=647959
Deshalb vertraut dein Browser "einfach so" eine ganze Latte an CAs. Jeder Browser andere, aber mit einer großen Schnittmenge.
Man kann sich dafür "Bewerben" um aufgenommen zu werden
