Certificeringsinstantie – Hiërarchie en gebruik

Veiligheid en beveiliging op internet zijn essentieel. Vaak hebben individuen en organisaties een legitieme behoefte om de identiteit van de personen waarmee ze communiceren te versleutelen en te verifiëren.

A certificaat autoriteit is een vertrouwde entiteit die uitgeeft digitale certificatenEen certificeringsinstantie voert drie belangrijke taken uit:

• Geeft certificaten uit
• Certificeert de identiteit van de certificaathouder
• Bewijst de geldigheid van het certificaat

Digitale certificaten

Een certificaat, of een digitaal certificaat, is een set gegevens om de identiteit van een entiteit te verifiëren. Certificaten worden uitgegeven door CA's en volgen een specifiek formaat (X.509-certificaatstandaard).

De informatie in een certificaat is:

• Onderwerp

  Geeft de naam van de computer, de gebruiker, het netwerkapparaat of de service waarvoor de CA het certificaat uitgeeft.

• Serienummer

  Biedt een unieke identificatie voor elk certificaat dat een CA uitgeeft.

• Emittent

  Geeft een unieke naam voor de CA die het certificaat heeft uitgegeven.

• Geldig vanaf

  Geeft de datum en tijd weer waarop het certificaat geldig wordt.

• Geldig voor

  Geeft de datum en tijd weer waarop het certificaat niet langer als geldig wordt beschouwd.

• public Key

  Bevat de openbare sleutel van het sleutelpaar dat aan het certificaat is gekoppeld.

• Handtekeningalgoritme

  Het algoritme dat wordt gebruikt om het certificaat te ondertekenen.

• Handtekeningwaarde

  Bitstring die de digitale handtekening bevat.

Hoe werkt een certificeringsinstantie?

Hieronder wordt het proces uitgelegd om een ​​certificeringsinstantie een ondertekend certificaat te laten uitgeven:

1. De aanvrager of cliënt maakt een sleutelpaar (openbare en privésleutel) aan en dient een aanvraag in bij een vertrouwde certificeringsinstantie, een zogenaamd Certificate Signing Request (CSR). De CSR bevat de openbare sleutel van de cliënt en alle informatie over de aanvrager.
2. De CA controleert of de informatie in de CSR correct is. Zo ja, dan geeft hij een certificaat uit en ondertekent dit met de privésleutel van de CA. Vervolgens geeft hij dit certificaat aan de aanvrager voor gebruik.
3. De aanvrager kan het ondertekende certificaat gebruiken voor het juiste beveiligingsprotocol:

Toepassingen van een certificeringsinstantie

Certificaatautoriteiten geven verschillende soorten certificaten uit, waarvan er één een is SSL certificaat. SSL-certificaten worden gebruikt op servers en zijn de meest voorkomende certificaten waarmee een dagelijkse gebruiker in aanraking komt. De drie niveaus van een SSL-certificaat zijn:

• Uitgebreide validatie (EV)
• Organisatie validatie (OV)
• Domeinvalidatie (DV)

Certificaten met een hoger vertrouwensniveau kosten doorgaans meer, omdat ze meer werk vergen van de certificeringsinstantie.

1. Uitgebreide validatie (EV)

   Deze certificaten bieden de hoogste mate van zekerheid van de certificeringsinstantie dat zij de entiteit die het certificaat aanvraagt, hebben gevalideerd. Tijdens de verificatie van een EV SSL-certificaat doorloopt de eigenaar van de website een grondig en wereldwijd gestandaardiseerd identiteitsverificatieproces (een reeks controleprincipes en -beleidsregels die zijn goedgekeurd door het CA/Browserforum) om exclusieve rechten op het gebruik van een domein aan te tonen, het juridische, operationele en fysieke bestaan ​​ervan te bevestigen en aan te tonen dat de entiteit geautoriseerd is om het certificaat uit te geven. Deze geverifieerde identiteitsinformatie is opgenomen in het certificaat.

   Bijvoorbeeld: Als iemand een EV-certificaat aanvraagt, moet de goedkeuring van de aanvrager plaatsvinden door middel van een persoonlijk gesprek. Ook moet hij/zij een persoonlijke verklaring, één primair identificatiebewijs, zoals een paspoort of rijbewijs, en twee secundaire identificatiebewijzen overleggen.

2. Organisatie validatie (OV)

   OV-certificaten garanderen de veiligheid en vereisen menselijke verificatie van de identiteit van de organisatie. OV SSL-certificaten garanderen bezoekers dat ze zich op een website bevinden die wordt beheerd door een erkend bedrijf. Voordat een OV-certificaat wordt verleend, moet een lid van het beveiligingsteam contact opnemen met het bedrijf om te bevestigen dat de eigenaren het SSL-certificaat daadwerkelijk hebben aangevraagd.

3. Domeinvalidatie (DV)

   Certificaten met domeinvalidatie zijn het gemakkelijkst te verkrijgen van alle andere certificaten, omdat er geen handmatige identiteitscontrole plaatsvindt. DV SSL-certificaten vereisen alleen dat de aanvrager aantoont eigenaar te zijn van het domein waarvoor het certificaat wordt aangevraagd. DV-certificaten kunnen vrijwel direct en tegen lage tot geen kosten worden verkregen. Bijvoorbeeld: DNS- of e-mailvalidatie van ACM Cert Manager.

Certificaatautoriteiten geven ook andere typen digitale certificaten uit:

1. Code Signing-certificaten

   Code ondertekening Certificaten worden door software-uitgevers en -ontwikkelaars gebruikt om hun softwaredistributies te ondertekenen. Eindgebruikers gebruiken deze om softwaredownloads van de leverancier of ontwikkelaar te verifiëren en valideren.

2. E-mailcertificaten

   Geef entiteiten de mogelijkheid om e-mail te ondertekenen, versleutelen en te verifiëren met behulp van het S/MIME-protocol (Secure Multipurpose Internet Mail Extension) voor beveiligde e-mailbijlagen.

3. Apparaatcertificaten

   Uitgegeven aan IoT-apparaten (Internet of Things) om veilig beheer en authenticatie van software- of firmware-updates mogelijk te maken.

4. Objectcertificaten

   Wordt gebruikt om elk type softwareobject te ondertekenen en te authenticeren.

5. Gebruikers- of clientcertificaten

   Wordt door individuen gebruikt voor verschillende authenticatiedoeleinden.

Client-serverauthenticatie via certificeringsinstantie (CA)

De CA creëert een digitaal certificaat, ook wel SSL/TLS-certificaat genoemd, dat een openbare sleutel koppelt aan bepaalde informatie met betrekking tot de entiteit die die openbare sleutel bezit. Dit stelt elk systeem in staat de entiteit-sleutelbinding van elk aangeboden certificaat te verifiëren.

1. De eerste stap is om te achterhalen of de CA een vertrouwde CA is. De CA-naam wordt uit het certificaat gehaald en vergeleken met een lijst met vertrouwde CA's die door de webbrowser wordt verstrekt. Als de CA-naam een ​​vertrouwde CA blijkt te zijn, ontvangt de client de bijbehorende openbare sleutel van de CA voor gebruik in de volgende validatiestap.
2. In deze stap wordt de digitale handtekening op het certificaat van de server gevalideerd. Dit is in feite de hash van de openbare sleutel van de CA.
3. Om de digitale handtekening te valideren, hasht de client de openbare sleutel van de CA met hetzelfde hash-algoritme dat door de CA wordt gebruikt om de digitale handtekening te verkrijgen.
4. Als de twee hashes overeenkomen, is de digitale handtekening geldig en is het certificaat geauthenticeerd. Als de hashes niet overeenkomen, is het certificaat ongeldig en kan het niet worden geauthenticeerd.
5. Ook de vervaldatums van certificaten moeten worden gecontroleerd om het certificaat te valideren.
6. Zodra een certificaat is geauthenticeerd, wordt ook de identiteit van de eigenaar van het certificaat geverifieerd.

CA-hiërarchieopties

CA's hebben een hiërarchische structuur. Er zijn over het algemeen drie typen hiërarchieën: eenlaags, tweelaags en drielaags.

Enkele/één-laag hiërarchie

In dit type hiërarchie is de individuele CA zowel een uitgevende CA als een root-CA. De root-CA wordt geïnstalleerd als een Enterprise-CA, waarbij de root-CA in het netwerk blijft als lid van een specifiek domein. Kortom, de root-CA is altijd beschikbaar om certificaten uit te geven aan aanvragende gebruikers, computers, netwerkapparaten, enz.

Deze enkelvoudige hiërarchie wordt niet aanbevolen voor een productiescenario, omdat bij deze hiërarchie een inbreuk op deze ene CA gelijkstaat aan een inbreuk op de volledige PKI.

Twee-tier hiërarchie

Een tweelaagse hiërarchie voldoet aan de behoeften van de meeste bedrijven. Dit ontwerp bestaat uit een offline root-CA en een online sub-CA die de root-CA uitgeeft. In dit model wordt het beveiligingsniveau verhoogd omdat de root-CA losgekoppeld is van het netwerk, waardoor de privésleutel van de root-CA beter beschermd is tegen eventuele inbreuken. De tweelaagse hiërarchie verhoogt ook de schaalbaarheid en flexibiliteit, omdat er meerdere sub-CA's kunnen zijn die ondergeschikt zijn aan de root-CA. Dit maakt het mogelijk dat CA's op verschillende geografische locaties en met verschillende beveiligingsniveaus actief zijn.

Drie-lagenhiërarchie

In een CA-hiërarchie met drie niveaus wordt een offline root-CA geïnstalleerd als een zelfstandige root-CA, en worden een of meer offline intermediaire/beleids-CA's en een of meer uitgevende CA's geïnstalleerd als onderliggende Enterprise-CA's. De beleids-CA is geconfigureerd om certificaten uit te geven aan de uitgevende CA, die beperkt is in het type certificaten dat deze uitgeeft. Een van de redenen waarom de tweede laag in deze hiërarchie is toegevoegd, is dat als u een aantal CA's moet intrekken vanwege een sleutelcompromittering, u dit op het tweede niveau kunt doen, waardoor andere "takken vanuit de root" beschikbaar blijven. Net als de root kunnen tweedelijns-CA's in deze hiërarchie offline blijven.

Conclusie

Een certificeringsinstantie speelt een belangrijke rol bij het faciliteren van veilige communicatie en het opbouwen van vertrouwen tussen een gebruiker en een bron, door te verifiëren of de betreffende organisatie en client authentiek en geldig zijn.

Voor een volledige lijst met aanbevelingen voor het plannen van een CA-hiërarchie, samen met het niveau van bedrijfsimpact waarop u deze zou moeten overwegen te implementeren, raadpleegt u PKI beveiligen: Bijlage F: Lijst met aanbevelingen per impactniveau.