🔒 Chain-of-Trust in der IT-Sicherheit

Eine interaktive Reise durch HTTPS/TLS-Zertifikate und DNS-Vertrauen

🌐 Was ist Chain-of-Trust?

Chain-of-Trust (Vertrauenskette) ist ein fundamentales Konzept der IT-Sicherheit, bei dem Vertrauen hierarchisch von vertrauenswßrdigen Autoritäten an nachgelagerte Entitäten weitergegeben wird.

🔍 Kernprinzipien

• Hierarchisches Vertrauen: Vertrauen wird von einer Wurzel-Autorität schrittweise delegiert

• Kryptographische Sicherheit: Digitale Signaturen gewährleisten Authentizität

• Überprüfbarkeit: Jede Stufe kann unabhängig validiert werden

🎯 Anwendungsbereiche

In dieser Präsentation konzentrieren wir uns auf zwei kritische Bereiche:

🔐 HTTPS/TLS-Zertifikate

Vertrauenskette von Root-CAs zu Website-Zertifikaten

🌍 DNS-Hierarchie

Vertrauen zwischen autoritativen und rekursiven Servern

🔐 HTTPS/TLS-Zertifikate

📜 Was sind TLS-Zertifikate?

TLS-Zertifikate sind digitale Dokumente, die die Identität einer Website bestätigen und eine sichere Kommunikation ermÜglichen. Sie enthalten:

• Öffentlichen Schlüssel für die Verschlüsselung

• Domain-Informationen der Website

• Digitale Signatur der ausstellenden Zertifizierungsstelle

• Gültigkeitsdauer des Zertifikats

🔍 Zertifikat-Analyse

Klicken Sie auf "Website-Zertifikat analysieren", um ein Beispiel-Zertifikat zu untersuchen...

Wichtig: Browser vertrauen nur Zertifikaten, die von bekannten Zertifizierungsstellen (CAs) ausgestellt wurden. Diese CAs sind im Browser-Zertifikatsspeicher vorinstalliert.

🔗 Die Zertifikatskette im Detail

🏛️ Root-CA

Vertrauensanker
Self-signed

⬇️

🏢 Intermediate-CA

Zwischenzertifikat
Von Root-CA signiert

⬇️

🌐 End-Entity

Website-Zertifikat
Von Intermediate-CA signiert

🔍 Zertifikatsketten-Validierung

Wählen Sie eine Aktion aus, um die Zertifikatskette zu erkunden...

Sicherheitshinweis: Wenn ein Zertifikat in der Kette kompromittiert wird, sind alle darunter liegenden Zertifikate ebenfalls betroffen. Daher verwenden CAs mehrere Sicherheitsebenen.

🌍 DNS-Vertrauenskette

🔄 Rekursive vs. Autoritative DNS-Server

📞 Rekursiver Server

• Empfängt Client-Anfragen

• Führt Lookup-Prozess durch

• Cached Antworten

🏛️ Autoritativer Server

• Besitzt DNS-Zonendaten

• Antwortet mit offiziellen Records

• Verwaltet Subdomains

🔐 DNSSEC: Sicherheit in der DNS-Kette

DNSSEC (DNS Security Extensions) erweitert DNS um kryptographische Sicherheit:

• Digitale Signaturen für DNS-Records

• Chain of Trust von Root-Zone zu Subdomains

• Validation durch rekursive Resolver

🌐 DNS-Lookup-Simulation

Starten Sie eine DNS-Simulation...

🛠️ Praktische Demonstration

🔍 Browser-Zertifikat inspizieren

Anleitung: Klicken Sie in Ihrem Browser auf das Schloss-Symbol neben der URL und wählen Sie "Zertifikat anzeigen", um die Zertifikatskette zu inspizieren.

🎮 Interaktive Szenarien

Wählen Sie ein Szenario aus, um verschiedene Situationen zu simulieren...

⚠️ Häufige Probleme und Lösungen

Zertifikatsfehler: Oft verursacht durch abgelaufene Zertifikate, falsche Domain-Namen oder unterbrochene Zertifikatsketten.

Best Practices: Regelmäßige Zertifikatserneuerung, Monitoring der Gültigkeitsdauer, Verwendung von Certificate Transparency.

📋 Zusammenfassung

🎯 Wichtigste Erkenntnisse

• Chain-of-Trust ist essentiell für sichere Internetkommunikation

• HTTPS/TLS-Zertifikate schützen vor Man-in-the-Middle-Angriffen

• DNS-Sicherheit wird durch DNSSEC und vertrauenswürdige Resolver gewährleistet

• Regelmäßige Überprüfung von Zertifikaten ist entscheidend

🔐 HTTPS/TLS

Sichere DatenĂźbertragung durch Zertifikatsketten

🌍 DNS-Sicherheit

VertrauenswĂźrdige NamensauflĂśsung mit DNSSEC

🛡️ Gesamtsicherheit

Kombinierte Sicherheit durch mehrere Vertrauensketten

Nächste Schritte: Implementieren Sie Certificate Pinning, ßberwachen Sie Zertifikatsgßltigkeiten und nutzen Sie DNS-over-HTTPS (DoH) fßr zusätzliche Sicherheit.

🎓 Wissenstest

Testen Sie Ihr Wissen Ăźber Chain-of-Trust...