In juridische terminologie, a keten van bewaring is een manier om de veiligheid en legitimiteit te garanderen en eenvoudigweg te weten waar en bij wie gevoelige informatie is geweest (en wie er toegang toe heeft gehad). In de wereld van digitale certificaten, een keten van vertrouwen functioneert enigszins vergelijkbaar, maar met dezelfde bedoeling: een gekoppeld pad van validatie en verificatie vormen van een vertrouwensanker naar een eindentiteitscertificaat.
Laten we met deze intro eens nader kijken naar de ketens van vertrouwen:
In SSL /TLS, S/MIME, code ondertekening, en andere toepassingen van X.509-certificatenwordt een hiërarchie van certificaten gebruikt om de geldigheid van de uitgever van een certificaat te verifiëren. Deze hiërarchie staat bekend als een keten van vertrouwen. In een vertrouwensketen worden certificaten uitgegeven en ondertekend door certificaten die hoger in de hiërarchie leven.
A keten van vertrouwen bestaat uit verschillende delen:
1. De vertrouw anker, dat is de oorspronkelijke certificeringsinstantie (CA).
2. Ten minste één tussencertificaat, die dient als "isolatie" tussen de CA en het eindentiteitscertificaat.
3. De certificaat eindentiteit, die wordt gebruikt om de identiteit van een entiteit zoals een website, bedrijf of persoon te valideren.
Het is gemakkelijk om voor uzelf een vertrouwensketen te zien door een HTTPS certificaat van de website. Wanneer je controle een SSL /TLS certificaat in een webbrowser, vindt u een uitsplitsing van de vertrouwensketen van dat digitale certificaat, inclusief het vertrouwensanker, eventuele tussenliggende certificaten en het eindentiteitscertificaat. Deze verschillende punten van verificatie worden ondersteund door de geldigheid van de vorige laag of "link", teruggaand naar het vertrouwensanker.
Het onderstaande voorbeeld toont de vertrouwensketen van de website van SSL.com, die van het websitecertificaat van de eindentiteit terug naar de root-CA leidt, via één tussenliggend certificaat:
De wortel certificeringsinstantie (CA) fungeert als de vertrouw anker in een keten van vertrouwen. De geldigheid van dit vertrouwensanker is essentieel voor de integriteit van de keten als geheel. Als de CA is publiekelijk vertrouwd (zoals SSL.com), worden de root-CA-certificaten door grote softwarebedrijven opgenomen in hun browser en besturingssysteemsoftware. Deze opname zorgt ervoor dat certificaten in een vertrouwensketen die teruggaat naar een van de rootcertificaten van de CA, door de software worden vertrouwd.
Hieronder ziet u het vertrouwensanker van de website van SSL.com (SSL.com EV Root Certification Authority RSA R2):
De root-CA of het vertrouwde anker heeft de mogelijkheid om te ondertekenen en uit te geven tussenliggende certificaten. Tussenliggende certificaten (ook bekend als tussen-, ondergeschiktof CA's afgeven) een flexibele structuur bieden om de geldigheid van het vertrouwensanker te verlenen aan aanvullende tussenliggende en eindentiteitscertificaten in de keten. In die zin vervullen tussencertificaten een administratieve functie; elk tussenproduct kan worden gebruikt voor een specifiek doel, zoals het uitgeven van SSL /TLS of certificaten voor codeondertekening - en kan er zelfs aan worden gebruikt verlenen het vertrouwen van de root-CA aan andere organisaties.
Tussenliggende certificaten bieden ook een buffer tussen het eindentiteitscertificaat en de root-CA, waardoor de private root-sleutel wordt beschermd tegen inbreuk. Voor openbaar vertrouwde CA's (inclusief SSL.com), de CA / Browser-forums Basisvereisten verbiedt eigenlijk het uitgeven van eindentiteitscertificaten rechtstreeks vanuit de root-CA, die veilig offline moet worden bewaard. Dit betekent dat de vertrouwensketen van elk openbaar vertrouwd certificaat ten minste één tussenliggend certificaat omvat.
In het onderstaande voorbeeld, SSL.com EV SSL Intermediate CA RSA R3 is het enige tussenliggende certificaat in de vertrouwensketen van de SSL.com-website. Zoals de naam van het certificaat suggereert, wordt het alleen gebruikt voor het uitgeven van EV SSL /TLS certificaten:
Het certificaat eindentiteit is de laatste schakel in de vertrouwensketen. Het eindentiteitscertificaat (ook wel bekend als een blad certificaat or abonnementscertificaat), dient om het vertrouwen van de root-CA, via tussenpersonen in de keten, over te dragen aan een entiteit zoals een website, bedrijf, overheidof individuele persoon.
Een eindentiteitscertificaat verschilt van een vertrouwensanker of tussenliggend certificaat doordat het geen aanvullende certificaten kan uitgeven. Het is in zekere zin de laatste schakel wat de ketting betreft. Het onderstaande voorbeeld toont de eindentiteit SSL /TLS certificaat van de website van SSL.com:
Een vertrouwensketen zorgt voor beveiliging, schaalbaarheid en naleving van normen voor CA's. Het zorgt ook voor privacy, vertrouwen en veiligheid voor degenen die vertrouwen op certificaten van eindentiteiten, zoals website-exploitanten en gebruikers.
Het is belangrijk voor website-eigenaren en andere gebruikers van eindentiteitscertificaten om te begrijpen dat een volledige vertrouwensketen nodig is voor hun certificaat om het vertrouwen van een CA met succes te verlenen. Zie voor informatie over het diagnosticeren en oplossen van browserfouten als gevolg van een onvolledige vertrouwensketen ons artikel over het installeren van tussenliggende certificaten en gids voor browserfoutmeldingen.
