Introductie
Publieke Sleutel Infrastructuur (PKI) vertrouwt op een raamwerk van beleid en praktijken om vertrouwen te creëren. Twee belangrijke documenten in elke PKI zijn de Certificaatbeleid (CP) en Certificeringspraktijkverklaring (CPS)Deze documenten helpen bij het definiëren van de beveiligingsgaranties die een certificaat biedt en hoe een certificeringsinstantie deze levert. In dit artikel gaan we dieper in op CP en CPS, maken we onderscheid tussen beide en verwijzen we naar relevante standaarden (RFC 3647, RFC 6484, RFC 7382), auditcriteria (WebTrust) en brancherichtlijnen (CA/Browser Forum).
In een PKI is een Certificaatbeleid (CP) is in wezen een specificatie op hoog niveau van beveiligingsvereisten en regels voor certificaatgebruik. CP schetst wat waarvoor een certificaat bedoeld is en het niveau van vertrouwen of zekerheid dat het biedt. Het beschrijft de “Grenzen en acceptabel gebruik van certificaten van een bepaalde PKI.” Een CP kan bijvoorbeeld specificeren dat een bepaalde klasse certificaten geschikt is voor het beveiligen van TLS-webservers en de vereisten (bijvoorbeeld stappen voor identiteitsverificatie) voor het uitgeven van die certificaten definiëren.
Een Certification Practice Statement (CPS) is daarentegen een gedetailleerde beschrijving van hoe de certificeringsinstantie (CA) voldoet aan de eisen van de CP. Het is “een verklaring van de praktijken die een certificeringsinstantie hanteert bij het uitgeven, beheren, intrekken en vernieuwen van certificaten.” De CPS documenteert de operationele procedures en beveiligingsmaatregelen die door de CA worden geïmplementeerd. Het behandelt aspecten zoals hoe de CA identiteitsverificatie uitvoert, hoe de privésleutels worden beschermd, hoe certificaten worden gegenereerd, hoe intrekkingen worden afgehandeld, enzovoort.
De CPS moet consistent zijn met de CP; in feite, “De CPS beschrijft gedetailleerder hoe een CA een bepaald certificaatbeleid implementeert, en kan niet in tegenspraak zijn met wat er in de CP staat.” Als de CP bijvoorbeeld alleen het uitgeven van e-mailversleutelingscertificaten toestaat, kan de CPS kan niet procedures beschrijven voor het uitgeven van TLS-servercertificaten buiten dat bereik.
In de praktijk vertegenwoordigen de CP en CPS samen de CA's openbaarmakingen van bedrijfspraktijken; ze dienen als het governancekader voor de activiteiten van de CA. Het wordt beschouwd als een best practice (en vaak een vereiste) dat de CP openbaar beschikbaar is voor alle vertrouwende partijen, en de meeste CA's publiceren hun CPS ook openbaar. Sommige organisaties kiezen ervoor om deze te combineren tot één enkel CPS. CP/CPS-document voor de eenvoud, terwijl anderen ze apart houden.
Belangrijkste aspecten van een certificaatbeleid
De soorten certificaten en hun toepassingen (bijvoorbeeld authenticatie, digitale handtekening, encryptie), en de niveau van identiteitsverificatie of beveiliging vereist voor het uitgeven van certificaten (vaak aangeduid als zekerheidsniveaus). Veel CP's definiëren meerdere niveaus van zekerheid of certificaatklassen. Zo definieert het PKI-certificaatbeleid van de Canadese overheid vier betrouwbaarheidsniveaus (Rudimentair, Basis, Gemiddeld, Hoog) voor elk van de twee brede toepassingen (digitale handtekening en vertrouwelijkheid), wat resulteert in acht verschillende beleids-OID's binnen één CP-document.
Elk niveau stelt steeds strengere eisen en komt overeen met een unieke beleidsobject-ID (OID) die in certificaten is opgenomen. Door de beleids-OID op te nemen in de extensie "Certificaatbeleid" van een certificaat, wordt het certificaat gekoppeld aan de regels van de CP, zodat software of auditors kunnen vaststellen aan welk beleid het certificaat beweert te voldoen.
Belangrijk is dat een CP vaak wordt gebruikt om vertrouwensbeslissingen en vergelijkingenVerschillende organisaties of CA's kunnen hun certificaten koppelen aan gestandaardiseerde CP OID's om aan te geven dat ze aan bepaalde gemeenschappelijke criteria voldoen. Bijvoorbeeld het CA/Browser Forum Basisvereisten document dient als een de facto Certificaatbeleid voor openbaar vertrouwde TLS-servercertificaten; het definieert de minimumvereisten waaraan al deze certificaten en CA's moeten voldoen. Elke openbaar vertrouwde CA moet een CP/CPS openbaar maken waarin de basisvereisten zijn opgenomen als beleid voor TLS-uitgifte.
Certificeringspraktijkverklaring (CPS) – Implementatie van het beleid
Als een CP het 'wat' en 'waarom' is, is de Certification Practice Statement het 'hoe'. De CPS is een gedetailleerd, technisch document dat de werkwijzen en procedures beschrijft die een certificeringsinstantie gebruikt om de vereisten van een of meer CP's te implementeren. Het wordt gedefinieerd als 'een verklaring van de werkwijzen die een certificeringsinstantie hanteert bij het uitgeven en beheren van certificaten'. Dit omvat hoe de certificeringsinstantie identificatie uitvoert en authenticatie van aanvragers, hoe sleutels worden gegenereerd en beschermd, hoe certificaten worden uitgegeven en geleverd, hoe intrekkingsinformatie wordt gepubliceerd en andere operationele details.
Een CPS wordt doorgaans geschreven vanuit het perspectief van de werkzaamheden van de certificeringsinstantie en wordt door auditors, interne beveiligingsteams en beleidsautoriteiten gebruikt om te controleren of de feitelijke praktijken van de certificeringsinstantie overeenkomen met het beleid.
In tegenstelling tot CP's, die vaak worden vastgesteld door een beleidsinstantie of brancheorganisatie, wordt een CPS meestal opgesteld door de CA zelf (of de organisatie die de CA beheert) om de concrete maatregelen te documenteren. Veel CA's maken hun CPS openbaar (met name publiek vertrouwde CA's voor transparantie), hoewel in sommige privé- of interne PKI's en een CPS kunnen intern worden gehouden en alleen worden gedeeld met vertrouwende partijen, auditors of partners.
De typische inhoud van een CPS omvat:
De organisatorische verantwoordelijkheden (rollen zoals CA, registratieautoriteit, enz.), procedures voor identiteitsverificatie, beheer van de levenscyclus van certificaten, controles van faciliteiten en personeel, technische beveiligingscontroles (cryptografische modulestandaarden voor HSM's, sleutelgeneratieceremonies, sleutelbeveiliging, back-up en herstel, enz.), certificaat- en CRL/OCSP-profielen en nalevings-/auditvereisten. De RFC 3647 Het raamwerk biedt, zoals we zullen bespreken, een gestandaardiseerd overzicht van deze onderwerpen dat de meeste CPS-documenten volgen.
Eén belangrijke regel is dat de CPS mag niet in tegenspraak zijn met CPHet kan specifieker of restrictiever zijn, maar het kan geen afbreuk doen aan een vereiste in de CP. Als de CP bijvoorbeeld persoonlijke identiteitsverificatie met een overheids-ID vereist, kan de CPS geen verificatie via e-mail alleen toestaan, omdat dit in strijd zou zijn met de CP. Omgekeerd kan een CPS extra procedures toevoegen die verder gaan dan de CP (zolang ze de vereisten van de CP niet ondermijnen).
CP versus CPS: verschillen en relatie
Het is duidelijk dat CP en CPS zijn nauw verwant en complementair. Een eenvoudige manier om het verschil te onthouden is: de CP is de strategie en de CPS is de tactiek. De CP richt zich op welke doelstellingen of garanties moeten worden behaald (en voor wie), terwijl de CPS zich richt op hoe deze in de praktijk kunnen worden bereikt. Hieronder vindt u een vergelijking van de belangrijkste aspecten van CP's en CPS-documenten:
| aspecten | Certificaatbeleid (CP) | Certificaatpraktijkverklaring (CPS) |
|---|---|---|
| Doel | Definieert waarvoor het certificaat bedoeld is en welke beveiligingsgaranties of -vereisten van toepassing zijn. Het is een algemene set regels of criteria voor certificaatgebruik. | Beschrijft hoe de CA voldoet aan de beleidsvereisten. Het is een gedetailleerde beschrijving van de werkwijzen en beschrijft de operationele procedures voor het uitgeven en beheren van certificaten. |
| Focus & Publiek | Richt zich op de behoeften van vertrouwende partijen en de vertrouwensgemeenschap. Hiermee kunnen gebruikers of certificeringsinstanties bepalen of ze certificaten vertrouwen die onder dit beleid zijn uitgegeven. Vaak ingesteld door een beleidsinstantie of brancheorganisatie. | Richt zich op de interne bedrijfsvoering en controles van de CA. Wordt gebruikt door auditors en interne PMA's om te garanderen dat de CA de vereiste procedures volgt. Opgesteld door de CA (of de operationele organisatie) zelf, in lijn met de eisen van de CP. |
| Beschrijving | Vereisten, reikwijdte en toepasbaarheid op hoog niveau. Omvat het gebruik en de toepasbaarheid van certificaten (bijv. 'cliëntautorisatie voor zorgverleners'), definities van het assurance-niveau en algemene vereisten (bijv. 'identiteit moet persoonlijk worden geverifieerd door een notaris'). Elk beleid wordt geïdentificeerd door een OID in uitgegeven certificaten. | Gedetailleerde procedures en technische controles. Omvat dagelijkse operationele details: identiteitsbewijsstappen, cryptografische praktijken (HSM-gegevens, sleutellengtes), fysieke beveiliging, personeelsbeveiliging, incidentrespons, enz. Vaak gestructureerd in secties zoals: I&A (identiteit en authenticatie), levenscyclus van certificaten, faciliteiten-/personeelscontroles, technische beveiligingsmaatregelen, enz. |
| Veelheid | Eén CP kan meerdere CA's of een hele PKI beheren, en één document kan meerdere gerelateerde beleidsregels bevatten (bijvoorbeeld meerdere betrouwbaarheidsniveaus of certificaattypen). Bovendien kan een CA meerdere CP-OID's in een certificaat claimen als deze aan al deze beleidsregels voldoet. | Meestal één CPS per CA (of CA-familie). Eén CPS-document kan echter meerdere CP's bestrijken. Als de CA onder elk beleid uitgeeft, zal de CPS eventuele verschillen in de processen voor elk beleid noteren. Soms voegen organisaties CP en CPS samen in één document voor de eenvoud. |
| Bestuur en veranderingen | Wijzigingen in CP vereisen mogelijk goedkeuring van een Policy Management Authority (PMA) of externe instantie, vooral als het een sector- of cross-certificeringsbeleid betreft. Vaak worden versies beheerd en beheerd op een hoger niveau (bijv. het CA/Browser Forum voor Baseline Requirements). | Wijzigingen in de CPS worden doorgaans door de CA doorgevoerd (onder toezicht van de PMA) en moeten in de praktijk worden doorgevoerd. Openbare CA's zijn verplicht om CP/CPS ten minste jaarlijks te herzien en bij te werken. Significante CPS-wijzigingen kunnen worden gemeld aan auditors of rootprogramma's om continue naleving te garanderen. |
Normen en kaders voor CP en CPS
RFC 3647 – Een raamwerk voor CP en CPS
Om consistentie te brengen in de manier waarop CP's en CPS's worden geschreven, heeft de IETF RFC3647: “Internet X.509 Public Key Infrastructure-certificaatbeleid en certificeringspraktijkenkader” in 2003. RFC 3647 biedt een gestandaardiseerd overzicht (kader) van onderwerpen die een CP- of CPS-document zou moeten bestrijken. Het doel was om het voor beleidsmakers en -lezers (waaronder auditors en kruiscertificerende instanties) gemakkelijker te maken om informatie in verschillende CP-/CPS-documenten te vinden en te vergelijken.
Het raamwerk van RFC 3647 is onderverdeeld in verschillende hoofdsecties (vaak negen of tien secties, met verdere subsecties) die gebruikt kunnen worden voor zowel CP- als CPS-documenten. De belangrijkste koppen zijn:
- Inleiding (en reikwijdte, documentidentificatie, enz.),
- Publicatie- en repositoryverantwoordelijkheden,
- Identificatie en authenticatie (d.w.z. hoe identiteiten worden gecontroleerd),
- Operationele vereisten voor de levenscyclus van certificaten (met betrekking tot certificaataanvraag, uitgifte, acceptatie, intrekking, vernieuwing, enz.)
- Faciliteiten, management en operationele controles (fysieke beveiliging, personeelsbeveiliging, auditregistratie, enz.)
- Technische beveiligingsmaatregelen (sleutelbeheer, cryptografische maatregelen, computerbeveiliging, levenscyclusbeveiligingsmaatregelen),
- Certificaat-, CRL- en OCSP-profielen (de technische details van het certificaatformaat),
- Compliant Audits en andere beoordelingen,
- Overige zakelijke en juridische zaken (disclaimers, financiële verantwoordelijkheid, privacy, vertrouwelijkheid, etc.).
Door deze gemeenschappelijke structuur te volgen, zullen een CP en een CPS voor dezelfde CA dezelfde categorieën informatie behandelen, waardoor het eenvoudig is om te zien hoe de praktijken van de CA (CPS) aan elke beleidsvereiste voldoen. Het helpt ook enorm beleidsmapping – zo kunnen bijvoorbeeld de CP van de Amerikaanse Federal Bridge CA en de CP van een externe entiteit sectie voor sectie worden vergeleken om de gelijkwaardigheid te bepalen vóór kruiscertificering.
De meeste moderne CP's en CPS'en zijn geschreven in overeenstemming met RFC 3647. Brancheorganisaties hebben dit zelfs verplicht gesteld. Het CA/Browser Forum (dat publiekelijk vertrouwde CA's beheert) heeft in 2015 zijn basisvereisten bijgewerkt om “omvat alle secties van het RFC 3647-raamwerk” en vereist dat CA's structureren hun CP/CPS-documenten volgens RFC 3647De Baseline Requirements (v1.3.0 en later) zelf zijn omgezet naar RFC 3647-formaat (waarbij de Baseline Requirements feitelijk als één groot CP worden behandeld) om eenvoudige vergelijking en nalevingscontrole mogelijk te maken.
Paragraaf 2.2 van de Basisvereisten stelt expliciet: “Het certificaatbeleid en/of de certificatiepraktijkverklaring MOET worden gestructureerd in overeenstemming met RFC 3647 en MOET alle door RFC 3647 vereiste materialen bevatten.” Daarnaast moeten CA's duidelijk aangeven welke delen van hun CP/CPS van toepassing zijn op welke roots of ondergeschikte CA's. Ook moeten ze in hun CP/CPS verklaringen opnemen waarin staat dat ze voldoen aan de basisvereisten.
Evenzo is de WebTrust voor CA's auditcriteria (die door auditors worden gebruikt om openbare CA's te beoordelen) bevelen het gebruik van RFC 3647 aan. De nieuwste WebTrust Principles and Criteria for CAs (v2.2.2) merkt op dat CA's “hun CP- en CPS-documenten structureren in overeenstemming met IETF RFC 3647”, en adviseert CA's die nog steeds het oudere RFC 2527-framework gebruiken om over te stappen op RFC 3647. In de praktijk betekent het volgen van RFC 3647 dat een CP en een CPS uitgelijnde sectiesHet komt vaak voor dat CPS-documenten een sectienummering hebben die overeenkomt met de CP.
Als een bepaald onderdeel niet van toepassing is of het beleid geen eisen stelt, staat er in de documenten vaak expliciet:Geen bepaling"(volgens de richtlijnen van de sector) in plaats van het leeg te laten. Dit laat lezers weten dat de weglating opzettelijk is. Als een CA bijvoorbeeld geen certificaatschorsing toestaat, zou de CPS-sectie over "Schorsing" vermelden: "Niet van toepassing, de CA schorst geen certificaten."
RFC 6484 – Certificaatbeleid voor de RPKI
RFC 6484 is een specifiek certificaatbeleid: Certificaatbeleid (CP) voor de Bron publieke sleutelinfrastructuur (RPKI)"De RPKI is een gespecialiseerde PKI die wordt gebruikt om internetroutering te beveiligen (door certificaten uit te geven voor IP-adresblokken en AS-nummers). RFC 6484 dient als een gemeenschappelijke, overeengekomen CP voor alle deelnemers aan de RPKI, zoals de Regional Internet Registries (RIR's). Opvallend is dat RFC 6484 is gestructureerd met behulp van de RFC 3647-sjabloon (zoals gebruikelijk).
Dit betekent dat het de bekende secties voor Introductie, Identificatie & Authenticatie, enz. bevat, afgestemd op de RPKI-context. Het bevat bijvoorbeeld secties over welke identificatie vereist is om een IP-adrescertificaat te verkrijgen, operationele vereisten zoals hoe snel intrekkingen moeten worden gepubliceerd, enzovoort.
RFC 7382 – CPS-sjabloon voor de RPKI
Ter aanvulling op de CP van de RPKI (RFC 6484) heeft de IETF ook RFC 7382: “Sjabloon voor een Certification Practice Statement (CPS) voor de RPKI”Dit document, gepubliceerd in 2015, is in wezen een standaard CPS, toegespitst op de RPKI-omgeving. Het neemt de RFC 3647-structuur over en vult richtlijnen of voorbeelden in die specifiek zijn voor RPKI-bewerkingen. Het beschrijft bijvoorbeeld hoe een RPKI-CA (zoals een RIR) sleutelrollovers moet afhandelen, hoe ze repositorygegevens beschikbaar moeten stellen, enz., in lijn met de behoeften van de RPKI.
WebTrust-principes en CAB Forum-richtlijnen
Naast de IETF hebben ook industriële auditors en forums hun eigen vereisten met betrekking tot CP/CPS:
- WebTrust voor certificeringsinstantiesZoals vermeld, moedigen de criteria van WebTrust sterk aan (en vereisen ze in feite voor openbare certificeringsinstanties) dat een certificeringsinstantie een CP/CPS heeft en dat deze voldoet aan het standaardkader. WebTrust-auditors controleren of de certificeringsinstantie haar sleutel- en certificaatlevenscycluspraktijken openbaar maakt, meestal via een CP/CPS-document, en of de certificeringsinstantie deze openbaar gemaakte praktijken daadwerkelijk volgt.
- Bij WebTrust-audits wordt van alle externe registratieautoriteiten (RA's) die een CA gebruikt, verwacht dat zij voldoen aan de relevante bepalingen van de CP/CPS van de CA. Dit onderstreept dat de CP/CPS de gezaghebbende bron is voor wat een RA mag doen. WebTrust definieert CP en CPS expliciet in haar richtlijnen: “Een CP is een benoemde reeks regels die de toepasbaarheid van een certificaat op een bepaalde gemeenschap en/of klasse van toepassingen aangeeft… en de grenzen en acceptabele gebruiken beschrijft.”“Een CPS is een verklaring van de praktijken die een CA hanteert bij het uitgeven en beheren van certificaten.”. '
- CA/Browserforum (CABF): Voor publiekelijk vertrouwde CA's (degene die zijn opgenomen in browsers en OS-trust stores) is de CA/Browser Forum's richtlijnen zijn van het grootste belang. De Basisvereisten (BR) kan worden beschouwd als een overkoepelende CP die al dergelijke CA's moeten opnemen. De BR's vereisen dat CA's een CP/CPS hebben en deze openbaar maken. Meer specifiek vereist artikel 2.2 van de BR's dat de CP/CPS 24/7 online beschikbaar zijn en dat deze documenten in een tekstformaat (zoals PDF) en in het Engels (of een Engelse vertaling) beschikbaar zijn.
- De BR's vereisen ook dat de CP/CPS duidelijk aangeeft op welke certificaten (roots, sub-CA's) ze van toepassing zijn. Zoals eerder opgemerkt, vereisen de BR's dat de CP/CPS het RFC 3647-formaat volgt. Ze bieden zelfs een mappingtabel om oudere BR-versies af te stemmen op de nieuwe RFC 3647-secties, en richtlijnen voor het invullen van elke subsectie (zelfs al is het alleen met "Geen bepaling") om ervoor te zorgen dat er niets over het hoofd wordt gezien.
- Bovendien vereisen CABF-richtlijnen, zoals de EV-richtlijnen (Extended Validation), specifieke inhoud in de CP/CPS. Zo moeten uitgevers van EV-certificaten een specifieke beleids-OID in EV-certificaten opnemen en in hun CP/CPS verklaren dat ze de EV-richtlijnen volgen.
- Het Mozilla Root Store Policy (waarin de CABF-vereisten zijn opgenomen) controleert ook of de CP/CPS bepaalde verklaringen bevat, zoals een toezegging om te voldoen aan de CABF Baseline Requirements en details over hoe de CA CAA DNS-records verwerkt (dit is feitelijk een BR-vereiste die in de CP/CPS moet worden weerspiegeld). Bovendien vereisen de CABF BR's dat CA's hun CP/CPS minstens jaarlijks herzien en bijwerken (Zelfs als er geen wijzigingen worden aangebracht, moeten ze een versienummer en datum krijgen.) Dit zorgt ervoor dat de documenten actueel blijven met de evoluerende eisen en werkwijzen.
Kortom, de combinatie van RFC 3647 en de eisen van de industrie heeft de structuur en het onderhoud van CP/CPS binnen de industrie vrijwel uniform gemaakt. Deze uniformiteit verbetert de transparantie en interoperabiliteit aanzienlijk: een vertrouwende partij of auditor kan in elke CP/CPS navigeren en vinden waar deze bijvoorbeeld spreekt over identiteitsbewijs (sectie 3 van RFC 3647) of sleutelbeheer (sectie 6) en deze vergelijken met de documenten van een andere CA of met de verwachte standaarden.
Hoe kan EC helpen?
Encryption Consulting LLC (EC) ondersteunt de ontwikkeling van het CP/CPS-concept en PKI-naleving:
Encryption Consulting LLC biedt gespecialiseerde expertise in het ontwikkelen van documenten voor het Certificaatbeleid (CP) en de Certificeringspraktijkverklaring (CPS) om ervoor te zorgen dat de Public Key Infrastructure (PKI) van een klant compliant, veilig en in lijn met de industriestandaarden is. Hun consultants gebruiken RFC 3647 als sjabloon voor CP/CPS-documentatie, waarbij ervoor wordt gezorgd dat alle vereiste secties en controles worden uitgevoerd in overeenstemming met de beste praktijken.
Dit betekent dat de CP/CPS-documenten het internationaal erkende format volgen (met betrekking tot onderwerpen zoals identificatie, authenticatie, operationele controles en technische beveiligingsmaatregelen) en voldoen aan richtlijnen zoals de basisvereisten van het CA/Browser Forum en de WebTrust-criteria voor CA's. Belangrijk is dat Encryption Consulting deze beleidsdocumenten afstemt op de unieke omgeving van de organisatie en aansluit bij de interne governancebehoeften en specifieke complianceverplichtingen.
Gapanalyse en PKI-nalevingsbeoordelingen
Naast het opstellen van documenten, assisteert Encryption Consulting klanten met uitgebreide PKI-beoordelingen en gapanalyses om compliance gereed te maken. Hun PKI-beoordelingsdiensten omvatten een gedetailleerde gap-analyse die cryptografische praktijken, operationele procedures en bestaand beleid onderzoekt. Dit proces identificeert eventuele hiaten tussen de huidige stand van zaken en de beste praktijken of vereiste normen in de sector, en brengt kwetsbaarheden of niet-conforme gebieden aan het licht die de PKI in gevaar kunnen brengen.
Als onderdeel van deze assessments, Encryption Consulting voert een gerichte beleidsbeoordeling – het beoordelen van de bestaande CP- en CPS-documenten van de organisatie om ervoor te zorgen dat ze voldoen aan de relevante industrienormen. Eventuele afwijkingen van normen zoals NIST-richtlijnen, ISO 27001 of andere regelgeving worden gemarkeerd voor herstel. Door zwakke punten in governance, certificeringspraktijken of technische controles te identificeren, bereidt Encryption Consulting organisaties voor op het behalen van de certificeringsvereisten. audits (zowel intern, extern als WebTrust voor openbare CA's) met vertrouwen.
Hun rapporten en richtlijnen dienen als een stappenplan om de PKI-beveiliging te versterken en continue naleving te garanderen, in plaats van slechts een eenmalige audit. Deze proactieve aanpak betekent dat klanten problemen kunnen aanpakken voordat ze leiden tot auditbevindingen of beveiligingsincidenten, waardoor een betrouwbare en conforme PKI op lange termijn behouden blijft.
Conclusie
CP's en CPS'en belichamen het principe van “vertrouw, maar controleer.” Het zijn de documenten waarmee wij kunnen verifiëren Waarom we moeten een digitaal certificaat vertrouwen en hoe Dat vertrouwen wordt beheerd. In een wereld die steeds afhankelijker wordt van PKI, van HTTPS en codeondertekening tot smart grid- en IoT-apparaatidentificatie, zullen deze beleidsregels en praktijkverklaringen een cruciale (zij het vaak achter de schermen) rol blijven spelen in cybersecurity.
