Home

Stammzertifizierungsstelle

Stammzertifizierungsstelle, kurz Stamm-CA, ist in einer Public-Key-Infrastruktur (PKI) die oberste Zertifizierungsstelle, die Vertrauen in eine gesamte Zertifikatskette verankert. Sie führt das Root-Zertifikat, das als Vertrauensanker dient, und signiert in der Regel keine End-Entitäts- oder Nutzungszertifikate direkt, sondern stellt Zertifikate für Zwischenzertifizierungsstellen (Intermediate CAs) aus. Die Stamm-CA bildet die oberste Stufe der Hierarchie und definiert oft die Richtlinien (Policy) sowie die Sicherheitsanforderungen der gesamten PKI.

Aufbau und Betrieb: In der Praxis wird die Stamm-CA meist offline betrieben, um das Risiko eines Diebstahls

Sicherheits- und Verwaltungsaspekte: Betrieb, Schlüsselverwaltung, Rund-Um-Überwachung sowie mehrstufige Freigabeverfahren (Key Ceremony) sind zentrale Elemente. Die Gültigkeitsdauer

Rechtsrahmen und Audits: Stamm-CA-Unternehmen unterliegen unabhängigen Audits und Standards (z. B. Baseline Requirements, WebTrust/ETSI) und müssen

oder
Missbrauchs
der
privaten
Schlüssel
zu
minimieren.
Der
private
Schlüssel
der
Stamm-CA
wird
in
sicheren
Umgebungen,
häufig
in
Hardware-Sicherheitsmodulen
(HSMs),
isoliert
verwahrt.
Zertifikate
der
Stamm-CA
werden
nur
selten
ausgestellten
oder
verlängert;
stattdessen
signieren
Zwischen-CAs
deren
Zertifikate,
die
wiederum
End-Entitätszertifikate
ausgeben.
Diese
mehrstufige
Architektur
erhöht
die
Sicherheit,
da
der
Bruch
einer
Zwischen-CA
die
Vertrauenskette
nicht
vollständig
zerstört,
während
der
Root
weiter
geschützt
bleibt.
von
Stammzertifikaten
ist
i.d.R.
länger,
doch
ihr
Widerruf
oder
Ablauf
wirkt
sich
unmittelbar
auf
alle
Vertrauensebenen
aus.
regelmäßig
nachweisen,
dass
Sicherheits-
und
Verwaltungsanforderungen
erfüllt
sind.
Die
Anwendung
reicht
von
TLS-Zertifikaten
über
Codesignings-
und
S/MIME-Zertifikate
bis
zu
weiteren
Vertrauenselementen
in
der
digitalen
Kommunikation.