Certificaatautoriteiten (CA's) vormen de afgelopen twee decennia een basis van online beveiliging en digitale certificaten blijven een vertrouwde methode om ervoor te zorgen dat transacties en identiteiten veilig zijn. Op een fundamenteel niveau zijn door CA ondertekende certificaten waardevolle hulpmiddelen die identiteiten online authenticeren; veilige, gecodeerde communicatie mogelijk maken via anders onveilige netwerken; en bevestig de integriteit van ondertekende documenten door te verifiëren dat ze niet zijn gewijzigd door een derde partij.
Maar de waarde van CA's reikt verder dan hun onmiddellijke praktische bruikbaarheid. Wat een zeer eenvoudig verificatieproces voor de gebruiker is, wordt ondersteund door een rooster van werk en een vertrouwensketen die verder gaat dan een simpele feitencontrole.
Wat doen CA's?
Leveranciers van browsers en besturingssystemen vertrouwen openbare CA's (zoals SSL.com) om te verifiëren:
- Controle van domeinnamen
- De legitimiteit van organisaties en hun agenten
- Contactgegevens zoals e-mailadressen
CA's geven veel soorten certificaten uit, allemaal gebaseerd op de X.509 standaard. Door de CA uitgegeven certificaten zorgen ervoor dat websitetransacties veilig zijn, beschermen tegen malware en authenticeren documenten en e-mailuitwisselingen. Het opzetten van identiteiten op het internet gebeurt via een verscheidenheid aan processen, procedures en protocollen, allemaal gegarandeerd door CA's. Bijvoorbeeld:
- SSL /TLS biedt een vertrouwde en gecodeerde manier om via browsers toegang te krijgen tot het World Wide Web, dat persoonlijke informatie en transacties beschermt.
- Digitale handtekeningen bieden geauthenticeerde digitale documenten.
- Code ondertekening zorgt voor een veilige distributie van software op het internet.
- S/MIME maakt geauthenticeerde en versleutelde e-mail mogelijk.
- Clientverificatie certificaten beschermen de toegang tot computers en applicaties.
Dit alles wordt gedaan door middel van certificaten die zijn verankerd in het basiscertificaat van een openbare CA en met elkaar zijn verbonden via een “keten van vertrouwen"
Waarom is het zo moeilijk om een openbaar vertrouwde CA te zijn?
Zoals hierboven uiteengezet, worden CA's vertrouwd door besturingssystemen en andere software om de identiteit van websites, bedrijven en individuen te verifiëren. Zodra een openbare CA is opgericht en het vertrouwen heeft gewonnen van softwareleveranciers en andere spelers, zijn de digitale certificaten een directe, veilige en betrouwbare manier om ervoor te zorgen dat informatie niet frauduleus is. Het proces voor het maken van een zelfondertekende root-CA is relatief eenvoudig - ze zouden eerlijk gezegd kunnen worden gemaakt door iedereen met algemeen beschikbare, goedkope of gratis software. Er zijn echter niet veel openbare certificeringsinstanties. In feite zijn er momenteel alleen 52 CA-leden van het CA / Browser Forum, en de overgrote meerderheid van SSL /TLS certificaten komen uit een kleiner aantal dan dat. Dus waarom maakt niet iedereen ze?
De reden dat openbare certificeringsinstanties zo'n exclusieve club zijn, is dat het een hoop werk is om een openbare CA te worden en het universele vertrouwen te verdienen en te behouden om het functioneel te houden. Opname in alle browsers en besturingssystemen is naadloos aan de kant van de gebruiker, maar het vereist jarenlang legwerk achter de schermen. Wanneer u een nieuwe computer koopt of software installeert zoals een webbrowser of e-mailclient, is er al een lijst met vertrouwde root-CA-certificaten aanwezig. Maar aan die lijst worden toegevoegd, is niet iets dat van de ene op de andere dag gebeurt, en daar blijven is ook een uitdaging.
Om in het bedrijf te blijven om certificaten te verkopen, moet een certificeringsinstantie voldoen aan de vereisten van softwareleveranciers, die allemaal proberen hun gebruikers een veilige en betrouwbare ervaring te bieden. Elke grote leverancier van browsers en besturingssystemen heeft zijn eigen set criteria waaraan CA's moeten voldoen en gelijke tred moeten houden wanneer wijzigingen worden aangebracht. De kosten om dit niet te doen zijn hoog: als een certificeringsinstantie niet is opgenomen in een van de rootprogramma's, of dit nu is vanwege een vertrouwensbreuk of omdat het niet up-to-date blijft met beleidswijzigingen, zou dat een ramp betekenen voor de hele bedrijf. Geen enkel bedrijf is op zoek naar een website SSL-certificaat dat werkt met Safari maar niet met Chrome. Er zijn maar weinig softwareproducenten die een codeondertekeningscertificaat willen dat Windows niet vertrouwt.
Naast het handhaven van dit delicate evenwicht met browsers, besturingssystemen en andere softwareleveranciers, worden certificaatautoriteiten onderworpen aan strenge externe audits. Zie je die badges onderaan deze site? Elk van die zegels vertegenwoordigt een audit, en elk van die audits wordt jaarlijks uitgevoerd. Mocht een CA een audit niet doorstaan (of niet voldoen aan de vereisten van het rootprogramma), dan kunnen de certificaten van de CA worden uitgesloten van cruciale rootopslag, waardoor ze onbruikbaar worden.
De CA-leden van de CA / Browser Forum (een consortium van CA's en verkopers van PKI-geschikte software zoals browsers en besturingssystemen) zijn actief in het ontwikkelen en handhaven van tientallen industriestandaarden en het opzetten van het CA / B-forum Basisvereisten. Leden nemen deel aan onderwijs- en onderzoeksorganisaties en werken samen met belanghebbenden om internetbeveiliging te versterken, waarbij ze vaak het voortouw nemen bij het voorstellen en toepassen van nieuwe standaarden. CA's hebben er het meeste belang bij ervoor te zorgen dat de SSL /TLS systeem werkt en zijn reputatie is gezond, wat noodzakelijkerwijs betekent dat ze een proactieve en agressieve houding aannemen ten aanzien van de beveiliging van hun systemen en van de systemen waarmee ze werken.
Naast het naleven van deze normen, zijn certificaatautoriteiten verplicht om certificaattransparantielijsten (openbare registers van alle uitgegeven certificaten) bij te houden en beschikbaar te stellen, evenals certificaatintrekkingslijsten (CRL's) en OCSP-responders, die ingetrokken certificaten bijhouden. Het is van het grootste belang ervoor te zorgen dat alle certificaten worden verantwoord en dat het vertrouwen dat ten grondslag ligt aan certificaten nooit wordt geschonden.
Hoe een CA te kiezen
Dus, wetende al het werk dat nodig is om een openbare certificeringsinstantie te onderhouden en uit te voeren, hoe kan men dan bepalen welke CA het beste is voor hun behoeften?
Hoewel er nu goedkope (of zelfs gratis) CA-opties zijn, is het belangrijk om te weten wat er tegen die lagere kosten wordt verhandeld. Over het algemeen bieden gratis CA's niet dezelfde validatieniveaus als commerciële CA's, en bieden ze niets anders dan website SSL /TLS certificaten. Ze kunnen bijvoorbeeld aantonen dat een aanvrager van een website SSL /TLS certificaat beheert dat domein (domeinvalidatie), maar ze nemen niet de extra stap om te bevestigen wie die eigenaar is. Afhankelijk van uw beoogde gebruik, kan DV in orde zijn (alle commerciële CA's, inclusief SSL.com, bieden dit ook aan), maar als u een certificaat voor ondertekening van code, digitale handtekeningen voor Adobe PDF's of gevalideerde informatie over uw bedrijf in uw websitecertificaat, moet u naar een commerciële CA gaan.
Kijk voor meer informatie over het kiezen van een betrouwbare CA op onze Gids met beste praktijken.
