Warum erzeugen Sie keine Schlüssel im Browser?

Vor allem bei ID Zertifikaten werden gerne die privaten Schlüssel im Browser erzeugt. Wir haben uns bewusst dagegen entschieden. Dies hat verschiedene Gründe die wir hier kurz ausführen möchten:

  • Das dazu verwendete keygen Element ist zwar im sog. HTML5 Standard festgeschrieben hat sich jedoch nie so richtig durchgesetzt. Es handelt sich hierbei um ein recht altes Element welches Netscape eingebracht hat. Eine Unterstützung für Microsoft Browser fehlt vollständig. Deshalb wird diese Funktion nur unter Firefox und Chrome überhaupt unterstützt. Für den Internet Explorer und dessen Nachfolger Edge benötigt man deshalb grundsätzlich eine andere Lösung.
  • Google hat angekündigt, das Element keygen aus Chrome zu entfernen. Auch in neueren HTML5 Standard wird dieses Element nicht mehr verfügbar sein. Das heißt auch hier müsste eine alternative entwickelt werden.
  • Der Nachfolger WebCrypto ist noch nicht fertig und unterliegt immer wieder Änderungen. Auch dieser wird im Internet Explorer nur teilweise unterstützt und erfordert spezielle Anpassungen.

All diese Punkte zusammen haben uns dazu bewogen einen anderen Weg einzuschlagen und die Generierung direkt auf den Server durchzuführen. Das hat für Sie auch den Vorteil, dass wir sicherstellen können, dass genügen Zufallswerte vorhanden sind, um den Schlüssel entsprechend sicher zu gestalten.

Eine Speicherung des Schlüssels erfolgt nicht.

Für Experten: Natürlich haben Sie auch die Möglichkeit, auf Ihren System einen eigenen Schlüssel zu erzeugen und nur den CSR (im PKCS#10 Format) an uns zu übermitteln. Auf diesen Weg bleibt auch der private Schlüssel nur auf Ihren Systemen.

Zuletzt aktualisiert am 2016-11-07 von Tobias Bauer.

Zurück