Skip to content

Was ist eine PKI, und erkläre mir, wie ein Client das Zertifikat eines Servers validiert.

Kurzantwort

Eine PKI ist das System aus CAs, Zertifikaten und Richtlinien, das öffentliche Schlüssel an Identitäten bindet. Um ein Serverzertifikat zu validieren, baut ein Client eine Kette zu einer vertrauenswürdigen Wurzel auf, prüft jede Signatur, kontrolliert Gültigkeitsdaten und Hostname, bestätigt die Schlüsselverwendung und prüft die Sperrung über CRL oder OCSP.

Eine Public-Key-Infrastruktur (PKI) ist das Vertrauensgerüst, das dir erlaubt zu glauben, dass ein öffentlicher Schlüssel tatsächlich dem gehört, der es behauptet. Ohne sie ist Public-Key-Kryptografie gegen einen aktiven Angreifer nutzlos, der dir einfach seinen eigenen Schlüssel übergeben kann.

Die Komponenten

  • Zertifizierungsstellen (CAs) bürgen für Identitäten, indem sie Zertifikate signieren. Root-CAs stehen an der Spitze; ihre Zertifikate sind als Trust Anchors in Betriebssystemen und Browsern vorinstalliert.
  • Intermediate-CAs werden von Roots signiert und übernehmen die alltägliche Ausstellung, sodass der private Schlüssel der Root offline bleiben kann.
  • X.509-Zertifikate binden einen öffentlichen Schlüssel an ein Subject (etwa einen Domainnamen) plus Metadaten: Gültigkeitsdaten, Schlüsselverwendung und die Signatur des Ausstellers.
  • Sperrdienste (CRLs und OCSP) erlauben einer CA, vor dem Ablauf zu sagen »dieses Zertifikat ist nicht mehr gültig«.

Wie die Validierung tatsächlich abläuft

Wenn ein Client ein Serverzertifikat erhält, geht er so vor:

  1. Er baut die Kette vom Serverzertifikat über etwaige Intermediates bis zu einer Wurzel auf, der er bereits vertraut.
  2. Er prüft jede Signatur in der Kette – jedes Zertifikat muss korrekt vom darüberliegenden signiert sein.
  3. Er kontrolliert die Gültigkeitsdaten – nicht davor, nicht danach.
  4. Er gleicht den Hostname mit den Subject Alternative Names des Zertifikats ab. Ein gültiges Zertifikat für die falsche Domain ist trotzdem ein Fehlschlag.
  5. Er bestätigt Schlüsselverwendung und Einschränkungen – z. B. dass das Zertifikat für die Serverauthentifizierung verwendet werden darf.
  6. Er prüft die Sperrung über CRL oder OCSP (häufig OCSP-Stapling, bei dem der Server einen frischen signierten Status vorlegt).

Besteht jeder Schritt, vertraut der Client dem Schlüssel und fährt fort.

Worauf Interviewer achten

Viele Kandidaten bleiben bei »er prüft die CA« stehen. Die starke Antwort benennt die Vertrauenskette zu einem Root-Anker, die Signaturprüfung an jedem Glied und die leicht vergessenen Prüfungen: Hostname-Abgleich und Sperrung.

Wahrscheinliche Anschlussfragen

  • Was ist der Unterschied zwischen einer Root-CA und einer Intermediate-CA?
  • Wie verbessert OCSP-Stapling das einfache OCSP?
  • Was passiert, wenn ein Zertifikat selbstsigniert ist?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.