Wir kategorisieren Zertifikate in der Regel nach ihren Klassen. Sie geben einen Hinweis auf das Sicherheitsniveau der Zertifikate entsprechend dem Validierungsprozess, dem sie unterzogen werden.
Class 1
Diese Zertifikate werden ohne vorherige Prüfung geliefert. Man kann unterscheiden:
Server-Zertifikat:
nur das Whois der Domain wurde bzw. wird abgefragt. Diese Zertifikate werden auch als “Domain-Validierte” oder “Low-Authentifizierungs-Zertifikate” bezeichnet.
Man nutzt diese Art von Zertifikate gerne für die Erstellung von Websites an, die keine sensiblenen Informationen online sammeln.
Beispiel: Google favorisiert die Positionierung von Websites, die über HTTPS, “Quick & Dirty” SSL-Zertifikat zugänglich sind, diese Zertifikate sind somit eine gute Option, um die Sicherheitsanforderungen von Google zu erfüllen.
Client-Zertifikat:
Es wurde/wird meist nur die E-Mail-Adresse des Zertifikatsinhabers überprüft (man stellt nur sicher, dass das Zertifikat dem rechtmäßigen Besitzer der E-Mail-Adresse zugestellt wird). – Mehr nicht –
Class 2
Vor der Übergabe dieses Zertifikats prüft man die jeweilige Organisation. Die Zertifizierungsstelle garantiert
- die Existenz der Organisation
- dass der zugehörige FQDN gehört (oder dass sie das Recht hat, Sie zu nutzen)
- dass ein Mitarbeiter der Organisation die Zertifikatsübergabe autorisiert hat
Man kann hier unterscheiden in:
- Server-Zertifikat
- Entwickler (oder Code Signing) Zertifikat
- Client-Zertifikat
All diese Zertifikate können E-Mails oder Dokumente signieren und können auch in eine eigene PKI integriert werden.
Class EV: Erweiterte Validierung
Dies sind Serverzertifikate, die nach einem soliden Audit der Organisation durch offizielle Dokumentation (je nach den geltenden Vorschriften des jeweiligen Landes) ausgestellt werden. Der Eigentümer wird ebenfalls geprüft.
Class 3
Das sind Client-Zertifikate, die nach einem Audit geliefert werden, das die Organisation und den Besitzer des Zertifikats überprüft (face to face).
Class 3+
Die gleiche Sache wie für die Klasse 3, aber das Zertifikat und sein privater Schlüssel werden auf einem physischen Träger (USB-Token oder Smartcard) geliefert.