Certificaat, digitaal

Op deze pagina:

    Een bestand, dat door een daartoe aangestelde organisatie wordt verstrekt, aan de hand waarvan de afzender van gegevens die via het netwerk worden verzonden kan worden geïdentificeerd. Ook bekend als validatiecertificaat.

    Een Certificaat is een digitale representatie van informatie die u identificeert als een relevante entiteit door een vertrouwde derde partij (TTP).

    CA
    Een CA (Certification Authority) is een entiteit vertrouwd door een of meer gebruikers om certificaten beheren.
    CA-certificaat
    Certificaat voor de publieke sleutel van een CA, uitgegeven door een andere CA. In het geval van de root-CA geeft de CA een certificaat voor zichzelf uit: het root-certificaat.
    CAO
    Certification Authority Operator.
    Certificaathouder
    Rechtmatige eigenaar van een certificaat met publieke sleutel(s).
    Certificate Policy (CP)
    Stelsel van regels dat de toepasbaarheid beschrijft van een certificaat voor een bepaalde gemeenschap of een klasse van toepassingen met gemeenschappelijke beveiligingseisen. Een CP kan bijvoorbeeld aangeven of een bepaald type certificaat te gebruiken is voor authenticatie van EDI transacties binnen een gegeven prijsklasse.
    Certificate Revocation List (CRL)
    Dit is een lijst van door een CA uitgegeven certificaten die niet meer geldig zijn. CRL's worden verdeeld op twee manieren:
    PUSH model: CA stuurt automatisch de CRL op regelmatige tijdstippen.
    Pull-model: De CRL wordt gedownload van de CA door degenen die een certificaat willen controleren. De eindgebruiker is verantwoordelijk.
    Certificatiepad
    Geordende keten van certificaten waarmee een relying party de geldigheid van een digitale handtekening kan verifiëren, te beginnen bij het certificaat met de digitale handtekening, en eindigend bij de uitgevende CA.
    Certification Practice Statement (CPS)
    Gedetailleerde beschrijving van de procedures die een Certification Authority hanteert bij de uitgifte van certificaten.
    CP
    Certificate Policy is een set van regels die bepaalt hoe een certificaat kan worden gebruikt.
    Cross-certificering
    Proces wederzijdse erkenning tussen twee CA's van elkaars certificaten; CA1 geeft een CA-certificaat uit met de publieke sleutel van CA2, en vice versa.
    Intrekking
    Het permanent onbruikbaar maken van een certificaat vanaf een specifiek tijdstip. Uitgevoerd door opname in een lijst van ingetrokken certificaten, Certificate Revocation List (CRL) genaamd. Intrekking betekent niet dat het certificaat fysiek wordt vernietigd of anderszins onleesbaar gemaakt. Ingetrokken certificaten kunnen niet terugkeren naar een bruikbare status.
    KeySteps
    Leveranciersonafhankelijke methodiek van de firma Baltimore, voor de inrichting van een Public Key Infrastructure. Bevat templates en checklists voor alle documenten die een rol spelen bij deze inrichting.
    Local Registration Authority (LRA)
    Lokale vertegenwoordiging van de Registration Authority, werkend voor een Certification Authority.
    PKCS (Public Key Cryptography Standards)
    Ingesteld door RSA voor een uniform Certificaat beheer in het gehele internet.
    PKI Public Key Infrastructure
    Een PKI maakt gebruik van asymmetrische sleutelparen en combineert software, encryptie en diensten om een middel ter bescherming van de veiligheid van zakelijke communicatie en transacties aan te bieden.
    PKI Trusts
    Trusts worden gelegd tussen CA's door het uitgeven van certificaten aan elkaar.
    MESH (Web-of-trust) vertrouwens architectuur: de afgifte van certificaten door alle CA's voor alle andere CA's. Dit biedt meerdere vertrouwenspaden die kunnen worden gebruikt voor certificaatvalidatie.
    Hiërarchische trusts stellen een top level CA in, bekend als de ROOT CA. Ondergeschikte CA's kunnen hieronder worden gecreëerd. Certificaten valideren door de root.
    Browser Trust List model: (soms een CA lijst genoemd) Elke gebruiker heeft publieke sleutels van alle CA's die de gebruiker vertrouwt. Verschillende CA's kunnen worden gebruikt voor verschillende toepassingen.
    Policy Trust List Model: beperkt de toegang op basis van het beleid op grond waarvan het certificaat wordt afgegeven.
    Bridge model: Verbindt MESH en hiërarchische modellen. CA's geven alleen certificaten aan andere CA's en nooit aan eindgebruikers.
    Public Key Infrastructure (PKI)
    Infrastructuur voor het genereren, uitgeven, beheren en archiveren van sleutels, certificaten en CRLs, en de opslagplaats voor certificaten en CRLs.
    RA (Registration Authority)
    Wordt gebruikt om de last te verlichten van een CA door de verificatie van certificaten te doen voordat ze worden uitgegeven. RA fungeert als een proxy tussen de gebruiker en de CA. RA ontvangt het verzoek verifieert het en stuurt het naar de CA.
    Relying party
    Ontvanger van een certificaat die handelt in vertrouwen op dat certificaat en/of digitale handtekeningen geverifieerd door middel van dat certificaat. Equivalent met het begrip "certificaatgebruiker".
    Root-CA
    CA van het hoogste niveau in een PKI-hiërarchie, die de ondergeschikte CA's certificeert door hun publieke sleutels te tekenen.
    Root-certificaat
    Speciaal CA-certificaat, waarbij uitgevende CA tevens certificaathouder is, en beschikt over zowel de privésleutel als de publieke sleutel voor ondertekening van certificaten; hiermee certificeert de root-CA zichzelf.
    Snakeoil certificate
    Een snake-oil certificaat is een zelf ondertekend certificaat. Ze worden snake-oil certificaten genoemd omdat ze niet zijn ondertekend door een publieke Certificate Authority. Deze certificaten kunnen wel voor versleuteling van verkeer gebruikt worden, maar zijn gevoelig voor man-in-the-middle attacks. De let's Encrypt service maakt snake-oil certificaten voor een groot deel overbodig.
    Wanneer het pakket ssl-cert wordt geinstaleerd, dan wordt er automatisch een zelf ondertekend certificaat gemaakt. Dit certificaat is te vinden in:
    /etc/ssl/certs/ssl-cert-snakeoil.pem
    en de private sleutel is te vinden in:
    /etc/ssl/private/ssl-cert-snakeoil.key
    Het certificaat en de sleutel kunnen ook handmatig worden gemaakt met:
    sudo make-ssl-cert generate-default-snakeoil --force-overwrite
    Status Checking
    Het concept van de status controle is om een afhankelijke partij te gebruiken om "real-time" de geldigheid na te gaan ter ondersteuning van een hoogwaardige transactie. CRL's worden gemaakt met specifieke looptijden (mogelijk grenzeloos) en zijn daarom niet geschikt voor real-time status controles. De voor dit soort controle binnen de PKIX infrastructuur meest voorgestelde technologie is de "Online Certificate Status Controle Protocol" [OCSP], deze is op weg om een Internet-standaard te worden. OCSP heeft twee belangrijke kenmerken: ten eerste, OCSP hangt af van de opkomst van de eigen drie-rangen (Client - Certificate Authority - Aangewezen Responder) infrastructuur, en ten tweede, OCSP definieert een nieuwe reeks van berichtformaten die verder reikt dan de basis PKIX standaard.
    X.509
    Dit is een internationale standaard voor de indeling en de informatie in een digitaal certificaat. X.509 is de meest voorkomende vorm van digitaal certificaat in de wereld. Het is een digitaal document dat een door de betrouwbare derde partij die bekend staat als een Certificate Authority, of CA, getekende publieke sleutel bevat.

     

    Verwante artikelen