Zertifizierungsstellen im Vergleich: Warum eine eigene Signando CA mit YubiHSM?
Ein umfassender Vergleich öffentlicher CAs und selbst gehosteter PKI-Lösungen.
Die größten Certificate Authorities weltweit
| Rang | CA | Marktanteil | Hauptsitz |
|---|---|---|---|
| 1 | Let's Encrypt | 64,1% | USA (ISRG) |
| 2 | GlobalSign | 23,7% | Belgien/Japan (GMO) |
| 3 | Sectigo | 5,9% | USA |
| 4 | GoDaddy Group | 3,9% | USA |
| 5 | DigiCert Group | 1,9% | USA |
Quelle: W3Techs, Dezember 2025
Deutsche Zertifizierungsstellen
| CA | Beschreibung |
|---|---|
| D-Trust | Tochter der Bundesdruckerei, qualifizierter Vertrauensdiensteanbieter nach eIDAS. Fokus auf Gesundheitswesen (eHBA, SMC-B), Verwaltung und KRITIS. |
| Deutsche Telekom | T-Systems TeleSec, langjähriger Anbieter für Unternehmens-PKI und SSL-Zertifikate. |
| Procilon | Deutscher Sicherheitsspezialist aus Sachsen, bietet Zertifikatsmanagement-Lösungen und PKI-Dienste für Unternehmen und öffentlichen Sektor. |
Signando CA vs. Internet-CAs: Der Vergleich
| Kriterium | Internet-CA | Signando CA + YubiHSM 2 |
|---|---|---|
| Schlüsselkontrolle | CA generiert und speichert private Schlüssel | 100% unter eigener Kontrolle im Hardware Security Module (YubiHSM) |
| Datensouveränität | Zertifikatsdaten bei Drittanbieter (oft USA) | Komplett intern, air-gapped Betrieb möglich |
| Abhängigkeit | Vendor Lock-in, Preisänderungen, Abschaltrisiko | Vollständig unabhängig und selbstverwaltet |
| Revocation-Risiko | CA kann Zertifikate jederzeit sperren | Nur die eigene Organisation entscheidet |
| Certificate Transparency | Alle öffentlichen TLS-Zertifikate werden in CT-Logs publiziert | Interne Zertifikate bleiben privat |
| Audit-Trail | Beim Anbieter, eingeschränkte Einsicht | Vollständig intern kontrollierbar |
| Kosten | Pro Zertifikat und Jahr (EV: 100–500 €/Jahr) | Einmalige Lizenz + YubiHSM 2 (~650 €) |
| Zertifikatslaufzeit | 90 Tage (Let's Encrypt) bis max. 1 Jahr | Frei wählbar nach internen Richtlinien |
| Interne PKI | Nicht vorgesehen | Kernfunktion |
| Offline-Betrieb | Unmöglich | Native Unterstützung für Air-Gap-Umgebungen |
Wann ist eine eigene Signando CA die bessere Wahl?
Signando CA eignet sich besonders für:
- Unternehmen mit strengen Compliance-Anforderungen (DSGVO, BSI, KRITIS)
- Organisationen, die digitale Souveränität priorisieren
- Air-gapped Umgebungen ohne Internetzugang
- Interne PKI für Geräte, Mitarbeiter und Dienste
- Code Signing und Document Signing unter eigener Kontrolle
- Entwickler und DevOps-Teams, die flexible Zertifikatslaufzeiten benötigen
- Microservices und Container-Umgebungen mit gegenseitiger TLS-Authentifizierung (mTLS)
- Interne Entwicklungs- und Testumgebungen, die gültige Zertifikate benötigen
Internet-CAs sind sinnvoll für:
- Öffentlich erreichbare Websites (Browser-Vertrauen erforderlich)
- Kleine Unternehmen ohne PKI-Know-how
- Schnelle Einrichtung ohne eigene Infrastruktur
⚠️ Wann Sie Signando CA NICHT verwenden sollten:
- Öffentliche Webserver: Ihr Signando CA Root-Zertifikat ist nicht in Browsern vorinstalliert. Besucher Ihrer Website würden Sicherheitswarnungen sehen, da ihre Browser Ihren selbst generierten Zertifikaten nicht vertrauen.
- Öffentliche APIs: Externe Clients und Partner müssten Ihr Root-Zertifikat manuell installieren, was für öffentliche Dienste unpraktisch ist.
- E-Mail S/MIME für externe Empfänger: Empfänger außerhalb Ihrer Organisation vertrauen Zertifikaten Ihrer privaten CA nicht.
Für diese Anwendungsfälle benötigen Sie Zertifikate einer öffentlich vertrauenswürdigen CA, deren Root-Zertifikate bereits in Browsern und Betriebssystemen verteilt sind.
Fazit
Öffentliche CAs wie Let's Encrypt oder DigiCert erfüllen ihren Zweck für öffentlich erreichbare Webserver. Für interne Infrastruktur, sensible Umgebungen und überall dort, wo Kontrolle, Privatsphäre und Unabhängigkeit entscheidend sind, ist eine eigene Signando CA mit Hardware Security Module die souveräne Alternative.
Mit Signando CA und einem YubiHSM 2 betreiben Sie Ihre PKI vollständig unter eigener Kontrolle – ohne Abhängigkeit von Drittanbietern, ohne Datenabfluss und ohne Kompromisse bei der Sicherheit.