Rootcertificaten zijn een van de pijlers van internetbeveiliging. Ze vormen de basis voor het valideren van de identiteit van websites via SSL/TLS certificaten, het verstrekken van digitale handtekeningen en meer. Maar hoe werken ze precies en waarom zijn ze zo belangrijk? Dit artikel legt alles uit wat u moet weten over rootcertificaten.
Wat is een rootcertificaat?
Een rootcertificaat is een speciaal digitaal certificaat dat is uitgegeven en digitaal is ondertekend door een certificeringsinstantie (CA) zoals SSL.com. Het vertegenwoordigt het hoogste vertrouwensniveau in een certificaathiërarchie. Rootcertificaten worden soms trust anchors genoemd omdat ze de ultieme bron van verificatie zijn voor uitgegeven certificaten.
Wanneer een CA een certificaat uitgeeft aan een entiteit zoals een website, moet het gevalideerd worden door het terug te traceren naar een vertrouwde root. Het rootcertificaat bevat de publieke sleutel die nodig is om die vertrouwensketen te verifiëren. Rootcertificaten zijn doorgaans zelfondertekend, wat betekent dat hun handtekening gegenereerd wordt met de eigen privésleutel van het certificaat.
Alle grote webbrowsers en besturingssystemen worden geleverd met een vooraf geïnstalleerde set vertrouwde rootcertificaten van grote certificaatautoriteiten. Hiermee kunnen ze automatisch SSL/TLS certificaten die worden gebruikt voor het beveiligen en identificeren van webservers, waarna de browser weergeeft dat het certificaat vertrouwd is en de webserver beveiligd is. Op dezelfde manier onderhoudt Adobe een trust store van roots die vertrouwd zijn voor digitale handtekeningen en onderhoudt Microsoft een trust store van roots die vertrouwd zijn voor codeondertekeningshandtekeningen.
Hiërarchie van vertrouwen
Root-CA's staan bovenaan de certificeringshiërarchie die doorloopt in tussenliggende certificaten en eindentiteitscertificaten:
- Rootcertificaten zoals die van SSL.com (self-signed root) staan voor ultiem vertrouwen.
- Tussenliggende certificaten – ondertekend door de root-CA.
- Eindentiteitscertificaten – uitgegeven aan gebruikers en servers, ondertekend door tussenpersonen
Door taken te scheiden, kunnen tussenliggende CA's, ook wel "uitgevende CA's" genoemd, dagelijks certificaten uitgeven zonder toegang te hebben tot de zeer beveiligde root-sleutels. De root-sleutels kunnen offline worden bewaard en worden alleen af en toe gebruikt om tussenliggende CA's en andere speciale certificaten te genereren, zoals tijdstempels of CRL's.
Wanneer een tussenliggende autoriteit een digitaal certificaat uitgeeft, bevat het de uitgevende CA-handtekening en een keten van certificaten die teruglinken naar de root. Deze keten wordt gevolgd om het eindcertificaat te verifiëren.
Belang en functie van rootcertificaten
Rootcertificaten vervullen verschillende cruciale functies:
- Trust Anchor – Zij zijn het trust anchor dat een vertrouwensketen creëert. Alle certificaten die door de PKI kan worden gevalideerd door terug te gaan naar de Root.
- Veilig web browsen – Maakt veilige HTTPS-verbindingen mogelijk. Browsers verifiëren websitecertificaten door ze aan een vertrouwde root te koppelen.
- Software verifiëren – Wordt gebruikt om digitaal ondertekende software zoals OS-updates, apps, hulpprogramma's, enz. te verifiëren. Handtekeningen worden gecontroleerd tegen de root.
- Communicatie versleutelen – Maakt veilige e-mail- en gegevensoverdracht mogelijk door versleuteling in combinatie met de handtekening van de root.
- Zonder Root-certificaten zou er geen gecentraliseerd mechanisme zijn om vertrouwen voor certificaten en openbare sleutels te vestigen. Ze bieden de gezaghebbende vertrouwensbron die ten grondslag ligt aan openbare sleutelcryptografie.
Belangrijkste root-certificeringsinstanties
Er zijn ongeveer 60 autoriteiten die Publicly Trusted Root-certificaatprogramma's beheren. SSL.com is een toonaangevend voorbeeld, dat fungeert als Root CA. We gebruiken uitgebreide validatieprocedures voordat we tussenliggende CA-certificaten uitgeven aan domeineigenaren die SSL-certificaten nodig hebben. Onze root-sleutels worden beschermd door hardware en software in beveiligde faciliteiten.
Grote organisaties zoals Microsoft, Apple, Mozilla en Oracle bepalen welke Root CA's ze standaard vertrouwen in hun software. Op dezelfde manier heeft Adobe een trust store van roots die vertrouwd zijn om documentondertekeningscertificaten uit te geven waarvan de handtekeningen door Adobe-lezers als geldig worden herkend. Naast hun browsersoftware onderhoudt Microsoft ook een trust store van roots waarvan de codeondertekeningscertificaten vertrouwd zijn. Een CA zoals SSL.com moet aan strenge eisen voldoen om een Publicly Trusted Certification Authority te worden die is ingebed in root stores. Door op te treden als een Root CA, kunnen we vertrouwde certificaten uitgeven zonder afhankelijk te zijn van een externe root authority. Ons rootcertificaat fungeert als het trust anchor voor onze hiërarchie.
Browsers en rootcertificaten
Webbrowsers worden geleverd met een vooraf geladen trust store met meer dan 100 vertrouwde rootcertificaten van grote CA's. Dit stelt hen in staat om SSL/TLS certificaten die voor HTTPS-websites worden gebruikt, naadloos.
Wanneer u een website bezoekt die beveiligd is met SSL/TLS, zal de browser:
- Ontvang het certificaat van de website en de reeks tussenliggende certificaten.
- Valideer de vertrouwensketen terug naar een ingebouwd vertrouwd basiscertificaat.
- Controleer of de domeinnaam overeenkomt met het websitecertificaat.
- Geef het beveiligde slotpictogram weer en sta een gecodeerde verbinding toe.
De gebruiker wordt gewaarschuwd als de browser een ongeldig certificaat, een niet-vertrouwde root of een domeinnaammismatch tegenkomt.
Browsers hebben ook certificaatbeheertools voor het bekijken van root-CA's en het nemen van vertrouwensbeslissingen. Chrome, Firefox, Edge en Safari stellen gebruikers in staat om rootcertificaten te bekijken, exporteren of uit te schakelen.
Rootcertificaten installeren en beheren
Hoewel besturingssystemen en browsers standaard rootcertificaten bevatten, moet u in sommige gevallen mogelijk extra rootcertificaten installeren:
- Vertrouw op de privacy van uw bedrijf PKI certificaatketen
- Als u een nieuwe of onbekende certificeringsinstantie gebruikt
- Bij het oplossen van fouten met betrekking tot 'niet-vertrouwde certificaten'
Rootcertificaten kunnen globaal op OS-niveau of lokaal op browser- of applicatieniveau worden geïnstalleerd. Op Windows verwerkt de Certificate Manager vertrouwde roots. Op Mac bevinden roots zich in Keychain Access. In Linux vallen ze onder /etc/ssl. SSL.com biedt zijn root- en tussenliggende certificaten aan om te downloaden op onze website.
Bij het installeren van een nieuwe root is het belangrijk om te controleren of deze geldig is en afkomstig is van een betrouwbare bron. Na installatie kunnen ongeldige of gecompromitteerde roots niet meer vertrouwd worden of verwijderd worden. Het intrekken van vertrouwen in een belangrijke openbare root kan echter leiden tot wijdverbreide applicatiebreuk.
Verlopen en vernieuwen van rootcertificaten
Rootcertificaten hebben een lange levensduur van 20 jaar of meer. Maar ze verlopen uiteindelijk toch om veiligheidsredenen. Omdat roots bijna verlopen, moeten CA's nieuwe roots uitrollen en gebruikers en software laten overstappen op de nieuwe sleutels.
Enkele gevolgen van verlopende, oude of niet-vertrouwde rootcertificaten zijn:
- Waarschuwingen over ongeldige certificaten in browsers
- Gebroken certificaatketens veroorzaken verbindingsfouten
- Software kan handtekeningcontroles niet valideren
De beste werkwijzen voor het beheren van root-vervaldata zijn onder meer:
- Vernieuwen van rootsleutels op een lange termijn met overlapping
- Het gebruik van parallelle wortels en overlappende geldigheidsperioden
- Nieuwe roots verspreiden in clientsoftware-updates
- Het verwijderen/herroepen van oude wortels nadat de overgang is voltooid
Een goed beheer van de levenscyclus van rootcertificaten is essentieel om verstoringen in vertrouwde communicatie en softwareverificatie te voorkomen.
Rootcertificaatsleutels beschermen
Vanwege hun fundamentele rol bij het vestigen van vertrouwen, moeten de privésleutels die aan rootcertificaten zijn gekoppeld, extreem goed worden beschermd. Industrienormen bevelen het volgende aan:
- Sleutels offline bewaren in een veilige opslag, zoals een hardwarebeveiligingsmodule (HSM)
- Het onderhouden van uitgebreide fysieke en softwarebeveiliging
- Alleen toegang indien nodig, met behulp van multi-party controles
- Sleutels alleen beheren binnen beveiligde cryptografische modules
- Privésleutels volledig verwijderen wanneer ze niet langer nodig zijn
Door strikte sleutelceremonieprocedures en scheiding van taken voor root-CA's te volgen, wordt de PKI Vertrouw op het anker tegen compromissen.