Wat is een CA?
A certificeringsinstantie (CA), ook wel aangeduid als een certificeringsinstantie, is een bedrijf of organisatie die optreedt om de identiteit van entiteiten te valideren (zoals websites, e-mailadressen, bedrijven of individuele personen) en deze te binden aan cryptografische sleutels door de uitgifte van elektronische documenten die bekend staan als digitale certificaten.
Een digitaal certificaat biedt:
authenticatie, door als referentie te dienen om de identiteit van de entiteit waaraan ze is afgegeven te valideren.
Versleuteling, voor veilige communicatie via onveilige netwerken zoals internet.
Integriteit van documenten ondertekend met het certificaat zodat ze tijdens het transport niet kunnen worden gewijzigd door een derde partij.
Doorgaans zal een aanvrager van een digitaal certificaat een sleutelpaar een consistente en privé sleutel en publieke sleutel, samen met een aanvraag voor certificaatondertekening (CSR). Een CSR is een gecodeerd tekstbestand dat de openbare sleutel en andere informatie bevat die in het certificaat zal worden opgenomen (bijv. domeinnaam, organisatie, e-mailadres, enz.). Sleutelpaar en CSR generatie wordt meestal gedaan op de server of het werkstation waar het certificaat zal worden geïnstalleerd, en het type informatie in de CSR varieert afhankelijk van het validatieniveau en het beoogde gebruik van het certificaat. In tegenstelling tot de openbare sleutel wordt de privésleutel van de aanvrager veilig bewaard en mag deze nooit aan de CA (of iemand anders) worden getoond.
Na het genereren van de CSR, stuurt de aanvrager het naar een certificeringsinstantie, die onafhankelijk controleert of de informatie die het bevat correct is, en zo ja, het certificaat digitaal ondertekent met een uitgevende privésleutel en het naar de aanvrager stuurt.
Wanneer het ondertekende certificaat wordt aangeboden aan een derde partij (zoals wanneer die persoon de website van de certificaathouder bezoekt), kan de ontvanger de digitale handtekening van de CA cryptografisch bevestigen via de openbare sleutel van de CA. Bovendien kan de ontvanger het certificaat gebruiken om te bevestigen dat ondertekende inhoud is verzonden door iemand die in het bezit is van de bijbehorende privésleutel en dat de informatie niet is gewijzigd sinds de ondertekening. Een belangrijk onderdeel van dit aspect van het certificaat is iets dat een vertrouwensketen wordt genoemd.
In SSL /TLS, S/MIME, code ondertekening, en andere toepassingen van X.509-certificatenwordt een hiërarchie van certificaten gebruikt om de geldigheid van de uitgever van een certificaat te verifiëren. Deze hiërarchie staat bekend als een keten van vertrouwen. In een vertrouwensketen worden certificaten uitgegeven en ondertekend door certificaten die hoger in de hiërarchie leven.
A keten van vertrouwen bestaat uit verschillende delen:
1. De vertrouw anker, dat is de oorspronkelijke certificeringsinstantie (CA).
2. Ten minste één tussencertificaat, die dient als "isolatie" tussen de CA en het eindentiteitscertificaat.
3. De certificaat eindentiteit, die wordt gebruikt om de identiteit van een entiteit zoals een website, bedrijf of persoon te valideren.
Het is gemakkelijk om voor uzelf een vertrouwensketen te zien door een HTTPS certificaat van de website. Wanneer je controle een SSL /TLS certificaat in een webbrowser, vindt u een uitsplitsing van de vertrouwensketen van dat digitale certificaat, inclusief het vertrouwensanker, eventuele tussenliggende certificaten en het eindentiteitscertificaat. Deze verschillende punten van verificatie worden ondersteund door de geldigheid van de vorige laag of "link", teruggaand naar het vertrouwensanker.
Het onderstaande voorbeeld toont de vertrouwensketen van de website van SSL.com, die van het websitecertificaat van de eindentiteit terug naar de root-CA leidt, via één tussenliggend certificaat:
De wortel certificeringsinstantie (CA) fungeert als de vertrouw anker in een keten van vertrouwen. De geldigheid van dit vertrouwensanker is essentieel voor de integriteit van de keten als geheel. Als de CA is publiekelijk vertrouwd (zoals SSL.com), worden de root-CA-certificaten door grote softwarebedrijven opgenomen in hun browser en besturingssysteemsoftware. Deze opname zorgt ervoor dat certificaten in een vertrouwensketen die teruggaat naar een van de rootcertificaten van de CA, door de software worden vertrouwd.
Hieronder ziet u het vertrouwensanker van de website van SSL.com (SSL.com EV Root Certification Authority RSA R2):
De root-CA of het vertrouwde anker heeft de mogelijkheid om te ondertekenen en uit te geven tussenliggende certificaten. Tussenliggende certificaten (ook bekend als tussen-, ondergeschiktof CA's afgeven) een flexibele structuur bieden om de geldigheid van het vertrouwensanker te verlenen aan aanvullende tussenliggende en eindentiteitscertificaten in de keten. In die zin vervullen tussencertificaten een administratieve functie; elk tussenproduct kan worden gebruikt voor een specifiek doel, zoals het uitgeven van SSL /TLS of certificaten voor codeondertekening - en kan er zelfs aan worden gebruikt verlenen het vertrouwen van de root-CA aan andere organisaties.
Tussenliggende certificaten bieden ook een buffer tussen het eindentiteitscertificaat en de root-CA, waardoor de private root-sleutel wordt beschermd tegen inbreuk. Voor openbaar vertrouwde CA's (inclusief SSL.com), de CA / Browser-forums Basisvereisten verbiedt eigenlijk het uitgeven van eindentiteitscertificaten rechtstreeks vanuit de root-CA, die veilig offline moet worden bewaard. Dit betekent dat de vertrouwensketen van elk openbaar vertrouwd certificaat ten minste één tussenliggend certificaat omvat.
In het onderstaande voorbeeld, SSL.com EV SSL Intermediate CA RSA R3 is het enige tussenliggende certificaat in de vertrouwensketen van de SSL.com-website. Zoals de naam van het certificaat suggereert, wordt het alleen gebruikt voor het uitgeven van EV SSL /TLS certificaten:
De certificaat eindentiteit is de laatste schakel in de vertrouwensketen. Het eindentiteitscertificaat (ook wel bekend als een blad certificaat or abonnementscertificaat), dient om het vertrouwen van de root-CA, via tussenpersonen in de keten, over te dragen aan een entiteit zoals een website, bedrijf, overheidof individuele persoon.
Een eindentiteitscertificaat verschilt van een vertrouwensanker of tussenliggend certificaat doordat het geen aanvullende certificaten kan uitgeven. Het is in zekere zin de laatste schakel wat de ketting betreft. Het onderstaande voorbeeld toont de eindentiteit SSL /TLS certificaat van de website van SSL.com:
Een vertrouwensketen zorgt voor beveiliging, schaalbaarheid en naleving van normen voor CA's. Het zorgt ook voor privacy, vertrouwen en veiligheid voor degenen die vertrouwen op certificaten van eindentiteiten, zoals website-exploitanten en gebruikers.
Het is belangrijk voor website-eigenaren en andere gebruikers van eindentiteitscertificaten om te begrijpen dat een volledige vertrouwensketen nodig is voor hun certificaat om het vertrouwen van een CA met succes te verlenen. Zie voor informatie over het diagnosticeren en oplossen van browserfouten als gevolg van een onvolledige vertrouwensketen ons artikel over het installeren van tussenliggende certificaten en gids voor browserfoutmeldingen.
