Openbare CA versus private CA: wanneer welke te gebruiken en waarom dat belangrijker is dan ooit.

Introductie

Digitale certificaten vormen de ruggengraat van vertrouwen op internet en binnen bedrijfsnetwerken. Elke versleutelde websessie, elke geauthenticeerde VPN-tunnel, elke ondertekende e-mail en elk geverifieerd softwareprogramma is afhankelijk van een certificaat dat is uitgegeven door een erkende certificeringsinstantie. Certificate Authority (CA)Toch is een van de meest fundamentele beslissingen waar organisaties voor staan, of ze een Openbare CA nodig heeft of Privé CAwordt vaak slecht begrepen of als een bijzaak beschouwd.

Deze beslissing is nog belangrijker geworden door de goedkeuring van Ballot SC-081v3 door het CA/Browser Forum in april 2025, die een gefaseerde verkorting van de geldigheidsduur van openbare TLS-certificaten van de huidige 398 dagen naar slechts ... dagen verplicht stelt. 47 dagen tot maart 2029De eerste verkorting, naar 200 dagen, treedt in werking in maart 2026. Deze ingrijpende verandering maakt het essentieel voor elke organisatie om de verschillen tussen publieke en private CA's duidelijk te begrijpen, te weten wanneer welke te gebruiken en de benodigde automatiseringsinfrastructuur op te bouwen om certificaten op grote schaal te beheren.

In deze blog bespreken we de basisprincipes van publieke en private CA's, onderzoeken we wanneer elk type geschikt is, vergelijken we ze op cruciale punten en laten we zien hoe Encryption Consulting's CertSecure Manager kan dienen als het uniforme platform voor het beheren van certificaten van zowel publieke als private instanties.

Wat is een certificeringsinstantie?

Een certificeringsinstantie (CA) is een vertrouwde entiteit die verantwoordelijk is voor het uitgeven, ondertekenen en beheren van digitale certificaten. Deze certificaten koppelen een publieke sleutel aan de identiteit van de certificaathouder, of die houder nu een persoon, een server, een apparaat of een applicatie is. De digitale handtekening van de CA op een certificaat stelt gebruikers (browsers, besturingssystemen, applicaties) in staat te verifiëren dat de identiteit in het certificaat legitiem is en dat de bijbehorende publieke sleutel daadwerkelijk van die entiteit is.

CA's vormen de meest cruciale pijler van elk Publieke Sleutel Infrastructuur (PKI)Ze maken gebruik van asymmetrische cryptografie: een openbare sleutel die vrijelijk wordt verspreid en een privésleutel die geheim blijft. De certificeringsinstantie (CA) ondertekent certificaten met zijn eigen privésleutel, en iedereen die de CA vertrouwt, kan die handtekeningen verifiëren met de openbare sleutel van de CA. Deze vertrouwensketen maakt veilige communicatie mogelijk via internet en binnen bedrijfsomgevingen.

Er zijn twee hoofdcategorieën van CA's die organisaties moeten begrijpen en correct moeten implementeren: Openbare CA's en Particuliere CA's.

Inzicht in openbare certificeringsinstanties

Een openbare certificeringsinstantie (Public Certificate Authority, CA) is een onafhankelijke, wereldwijd vertrouwde organisatie die digitale certificaten uitgeeft aan particulieren, bedrijven en andere entiteiten. Openbare CA's vallen niet onder het bestuur van de organisaties die ze bedienen; ze opereren als neutrale derde partijen. De certificaten die ze uitgeven worden automatisch vertrouwd door alle belangrijke webbrowsers, besturingssystemen en e-mailclients, omdat hun rootcertificaten vooraf zijn geïnstalleerd in de vertrouwensarchieven van systemen en browsers.

Openbare CA's moeten voldoen aan strenge normen die zijn vastgesteld door de CA/Browser Forum's Basiseisen, regelmatige audits door WebTrust of ETSI en naleving van strikte certificeringsrichtlijnen. Dit externe toezicht zorgt ervoor dat openbare certificaten wereldwijd als betrouwbaar worden beschouwd.

Veelvoorkomende gebruiksscenario's voor openbare CA's

• Beveiligd internetten (HTTPS): Publieke SSL/TLS-certificaten Authenticatie van websites en versleuteling van gegevens tussen browsers van gebruikers en webservers. Wanneer een browser verbinding maakt met een site, controleert deze het certificaat aan de hand van de vertrouwensopslag om te bevestigen dat het is uitgegeven door een erkende certificeringsinstantie (CA).
• E-mailondertekening en -versleuteling (S/MIME): Openbare certificaten stellen e-mailafzenders in staat om berichten digitaal te ondertekenen voor authenticiteitsverificatie en de inhoud te versleutelen, zodat alleen de beoogde ontvanger ze kan lezen.
• Codeondertekening: Softwareontwikkelaars gebruiken algemeen erkende certificaten om applicaties en uitvoerbare bestanden te ondertekenen. Dit geeft eindgebruikers de zekerheid dat de software authentiek is en sinds de publicatie niet is gemanipuleerd.
• Documentondertekening: Openbare certificaten kunnen juridisch bindende digitale handtekeningen toevoegen aan PDF-documenten, contracten en wettelijke documenten.

Inzicht in particuliere certificeringsinstanties

Een private certificeringsinstantie (CA) is een interne CA die is opgezet en beheerd door de organisatie zelf. Deze CA geeft certificaten uit die alleen binnen het eigen netwerk van de organisatie en door systemen die expliciet zijn geconfigureerd om het rootcertificaat van de CA te vertrouwen, worden vertrouwd. Zie het als het verschil tussen een door de overheid uitgegeven paspoort (publieke CA) en een bedrijfspas (private CA); beide verifiëren de identiteit, maar hun vertrouwensbereik is fundamenteel verschillend.

Particuliere CA's worden meestal ingezet op platforms zoals Microsoft Active Directory-certificaatservices (AD CS)AWS Private CA, HashiCorp Vault of EJBCA. Organisaties die gebruikmaken van private CA's hebben volledige autonomie over hun certificaatbeleid, inclusief uitgiftecriteria, sleutelalgoritmen, geldigheidsperioden en intrekkingsregels.

Veelvoorkomende gebruiksscenario's voor private CA's

• Interne websites en applicaties: Het beveiligen van intranetportalen, interne API's en applicaties voor medewerkers die niet door het grote publiek hoeven te worden vertrouwd.
• VPN en netwerkverificatie: Privécertificaten authenticeren zowel clients als servers in VPN-tunnels, waardoor alleen geautoriseerde apparaten verbinding kunnen maken met het bedrijfsnetwerk.
• Mutual TLS (mTLS) voor microservices: In cloud-native en Kubernetes-omgevingen maken privécertificaten authenticatie tussen services mogelijk, waarbij beide uiteinden van een verbinding elkaars identiteit verifiëren.
• Wi-Fi-authenticatie (802.1X): Privécertificaten authenticeren apparaten die via RADIUS-servers verbinding maken met bedrijfs-Wi-Fi-netwerken.
• IoT-apparaatidentiteit: Particuliere certificeringsinstanties (CA's) verstrekken certificaten aan IoT-apparaten voor authenticatie en versleutelde communicatie binnen gecontroleerde omgevingen.
• Interorganisatorische communicatie: Partnerbedrijven kunnen handmatig vertrouwensrelaties configureren om elkaars privécertificaten te accepteren voor B2B-integraties.

Openbare CA versus particuliere CA: een uitgebreide vergelijking

Hoewel publieke en private CA's dezelfde fundamentele PKI-technologie delen, waaronder asymmetrische cryptografie, X.509-certificatenHoewel certificaatketens en andere beveiligingsoplossingen verschillen, verschillen ze aanzienlijk in reikwijdte, vertrouwensmodel, governance en kostenstructuur. De onderstaande tabel biedt een gedetailleerde vergelijking van alle belangrijke aspecten.

Afmeting	Openbare CA	Privé CA
Emittent	Onafhankelijke, publiekelijk vertrouwde derde partijen (bijv. DigiCert, Sectigo, GlobalSign, Let's Encrypt).	Een interne CA die door de organisatie zelf wordt beheerd (bijv. Microsoft AD CS, AWS Private CA, HashiCorp Vault).
Vertrouwensomvang	Wereldwijd vertrouwde rootcertificaten zijn standaard geïnstalleerd in alle belangrijke browsers en vertrouwensarchieven van besturingssystemen.	Vertrouwd alleen binnen de organisatie of door systemen die expliciet geconfigureerd zijn om de privéroot te vertrouwen.
Naleving en audit	Moet voldoen aan de basisvereisten van CA/Browser Forum; jaarlijkse WebTrust/ETSI-audits.	Gereguleerd door interne organisatierichtlijnen. Geen verplichte externe audit, maar moet wel voldoen aan kaders zoals HIPAA en PCI DSS.
Geldigheid van het certificaat	Beheerd door het CA/B Forum: 398 dagen (huidig) → 200 dagen (mrt 2026) → 100 dagen (mrt 2027) → 47 dagen (mrt 2029).	De organisatie bepaalt zelf de geldigheidsduur. Certificaten kunnen geldig zijn voor 1, 2, 5 of zelfs meer dan 10 jaar.
Kostenstructuur	Abonnement per certificaat. OV/EV-certificaten brengen hogere kosten met zich mee. Er zijn gratis DV-opties beschikbaar (Let's Encrypt).	Geen kosten per certificaat. De investering betreft CA-infrastructuur, HSM's, personeelsexpertise en beheertools.
Controle en maatwerk	Beperkt, moet voldoen aan de CA/B Forum-regels voor sleutelgroottes, algoritmen, SAN's, geldigheid en uitbreidingen.	Volledige autonomie: de organisatie bepaalt al het beleid, zoals algoritmen, extensies, sjablonen, goedkeuringsworkflows en naamgeving.
herroeping	CRL en OCSP worden beheerd door de publieke CA. Intrekking is vaak onbetrouwbaar vanwege soft-fail gedrag van browsers.	De organisatie beheert haar eigen CRL/OCSP infrastructuur. Kan intern een harde-foutcontrole op intrekking afdwingen.
Gebruikers verhalen	Openbare websites, e-mailversleuteling (S/MIME), codeondertekening, documentondertekening, alles wat universeel vertrouwen vereist.	Intranet, VPN, mTLS, wifi-authenticatie, IoT, interne API's, Kubernetes, alles binnen een gecontroleerde omgeving.
Complexiteit instellen	Laag tarief, aanschaf en installatie. CA beheert de infrastructuur.	High vereist het ontwerpen van de CA-hiërarchie, de aanschaf van HSM's, het opstellen van beleid, de distributie naar root-servers en het doorlopende onderhoud ervan.
Schaalbaarheid	Schaalbaar via de infrastructuur van de certificeringsinstantie. De organisatie betaalt per certificaat naarmate het volume toeneemt.	Schaalbaar met interne investeringen in infrastructuur. Geen kosten per certificaat, maar vereist capaciteitsplanning.
Impact van de verplichting van 47 dagen	Directe gevolgen. Alle openbare TLS-certificaten moeten voldoen aan de nieuwe, kortere geldigheidsduur.	Niet direct onderworpen aan de regels van het CA/B Forum. Het hanteren van een kortere geldigheidsduur als beste praktijk verbetert echter de beveiliging.

Wanneer een openbare CA gebruiken in plaats van een privé-CA?

Kies een openbare CA wanneer:

1. Uw dienst is openbaar toegankelijk en moet door elke gebruiker, ongeacht het browsertype of apparaat, zonder handmatige configuratie vertrouwd kunnen worden.
2. Je bent aan het implementeren HTTPS op openbare websites, webapplicaties of API's die door externe klanten worden gebruikt.
3. Voor versleutelde e-mailcommunicatie met externe partijen hebt u S/MIME-certificaten nodig.
4. U ondertekent software of code die openbaar zal worden verspreid.
5. Regelgeving of nalevingskaders vereisen het gebruik van openbaar gecontroleerde, door derden uitgegeven certificaten.

Kies een particuliere registeraccountant wanneer:

1. De certificaten zullen alleen binnen uw organisatie of tussen bekende, gecontroleerde partijen worden gebruikt.
2. Je moet interne services beveiligen, zoals intranetsites, interne API's, databases en microservices.
3. U heeft nodig wederzijdse TLS (mTLS) voor service-to-service authenticatie in Kubernetes of cloud-native omgevingen.
4. U wilt volledige controle over het certificaatbeleid, inclusief aangepaste geldigheidsperioden, sleutelalgoritmen en extensies.
5. U moet grote aantallen certificaten uitgeven zonder kosten per stuk (bijvoorbeeld certificaten voor IoT-apparaten).
6. Je wilt voorkomen dat je voor de beveiliging van je interne infrastructuur afhankelijk bent van externe CA-leveranciers.

De meeste bedrijven hebben beide nodig. Een typische organisatie gebruikt openbare CA's voor haar externe assets (websites, klantportalen, e-mail) en private CA's voor interne infrastructuur (authenticatie van medewerkers, server-naar-servercommunicatie, VPN, wifi). De grootste uitdaging is het beheren van beide op een uniforme, geautomatiseerde manier, en dat is waar een robuust Certificate Lifecycle Management (CLM)-platform onmisbaar wordt.

De verplichting tot het behalen van een certificaat binnen 47 dagen: waarom dit alles verandert.

Het voorstel SC-081v3 van het CA/Browser Forum, dat in april 2025 werd goedgekeurd, introduceert een gefaseerde verlaging van de maximale geldigheidsduur van publiek vertrouwde TLS-certificaten. Dit is de meest ingrijpende operationele verandering in de geschiedenis van certificaatbeheer en heeft directe gevolgen voor de manier waarop organisaties hun strategie voor publieke CA's plannen.

Datum	Maximale geldigheid	Impact
Vóór maart 2026	398 dagen	Huidige status, jaarlijkse vernieuwingscyclus.
15 maart 2026	200 dagen	Halfjaarlijkse verlenging. Ook het hergebruik van DCV-voertuigen wordt teruggebracht tot 200 dagen.
15 maart 2027	100 dagen	Driemaandelijkse verlengingen. Handmatige processen beginnen te haperen.
15 maart 2029	47 dagen	Vernieuwing om de ~6 weken. Hergebruik van DCV daalt tot 10 dagen. Volledige automatisering is verplicht.

Voor organisaties die duizenden certificaten beheren in hybride en multi-cloudomgevingen, betekent dit het volgende: achtvoudige toename van de werklast bij verlengingenHandmatig beheer via spreadsheets of scripts is in deze nieuwe realiteit simpelweg niet schaalbaar. Deze eis onderstreept de noodzaak van een gecentraliseerd CLM-platform dat zowel openbare als private certificaten via één dashboard kan beheren.

Opvallend is dat particuliere CA-certificaten niet onderworpen aan de CA/B Forum-regelsOrganisaties kunnen certificaten met een langere geldigheidsduur blijven uitgeven voor intern gebruik. Encryption Consulting adviseert echter om, zelfs voor privécertificaten, kortere geldigheidsperioden te hanteren als beste beveiligingspraktijk. Dit verkleint de kans op misbruik van sleutels en bouwt de operationele slagkracht op die nodig is voor de overgang naar cryptografie na het kwantumtijdperk.

CertSecure Manager: Een uniforme oplossing voor het beheer van de levenscyclus van certificaten

Of u nu gebruikmaakt van openbare CA's, private CA's of, zoals de meeste bedrijven, een combinatie van beide, het beheren van certificaten in deze gemengde omgeving is de grootste operationele uitdaging. Encryption Consulting heeft hiervoor oplossingen ontwikkeld. CertSecure Manager om precies dit probleem op te lossen.

CertSecure Manager is een leveranciersneutraal, bedrijfsbreed platform voor certificaatlevenscyclusbeheer dat een enkele ruit Voor het beheren van certificaten van al uw certificeringsinstanties, zowel openbare als particuliere, in één overzichtelijk dashboard. Het is ontwikkeld met een diepe, native integratie met Microsoft AD CS (het meest gebruikte platform voor particuliere certificeringsinstanties) en maakt tegelijkertijd een naadloze verbinding met openbare certificeringsinstanties zoals DigiCert, Entrust, GlobalSign en Let's Encrypt.

Kerncapaciteiten

• Geautomatiseerde ontdekking en inventarisatie: De geautomatiseerde scans van CertSecure Manager bieden een uitgebreid, realtime overzicht van uw certificaatecosysteem in on-premises, cloud- en hybride omgevingen. Het identificeert frauduleuze certificaten, zelfondertekende certificaten en certificaten van onbetrouwbare bronnen, en bouwt zo een complete, gecentraliseerde inventaris op.
• Multi-CA-integratie: Integreer al uw certificeringsinstanties (CA's), zowel publieke (DigiCert, Entrust, GlobalSign, Let's Encrypt via ACME) als private (Microsoft AD CS, AWS Private CA, HashiCorp Vault), in één beheerconsole. De HA-architectuur en connectors van CertSecure vereisen geen grote wijzigingen in de netwerkconfiguratie.
• Verlengen en intrekken met één klik: Geautoriseerde eigenaren en beheerders kunnen certificaten met één klik verlengen of intrekken. Bevestigingsmeldingen worden per e-mail en Microsoft Teams verzonden om alle betrokkenen op de hoogte te houden.
• Vernieuwingsagenten voor serverautomatisering: De vernieuwingsagents van CertSecure Manager worden rechtstreeks op webservers geïmplementeerd (IIS, apache, Kater, Nginx), load balancers (F5), en databases (MongoDB, Oracle, MSSQL) om de certificaatrotatie te automatiseren zonder menselijke tussenkomst. Dit is cruciaal om te voldoen aan de 47-dagenvereiste.
• Handhaving van het beleid en naleving van de FIPS-wetgeving: Definieer organisatiebrede inschrijvings- en beveiligingsbeleidsregels. Beperk encryptiealgoritmen tot FIPS-goedgekeurde standaarden, handhaaf beleid voor sleutellengte en implementeer M-van-N-goedkeuringsworkflows op meerdere niveaus voor certificaten met hoge betrouwbaarheid.
• DevOps- en CI/CD-integratie: REST API's, het ACME-protocol, SCEP en EST-ondersteuning stellen DevOps-teams in staat om certificaatuitgifte te integreren in Jenkins-, Ansible-, Terraform- en GitOps-pipelines, waardoor automatisering de governance niet omzeilt.
• ServiceNow-integratie: CertSecure Manager integreert met ServiceNow voor geautomatiseerde waarschuwingen, ticketgebaseerde certificaatuitgifte en volledige lifecycle-tracking binnen bestaande ITSM-workflows.
• Geavanceerde rapportage en KPI's: Het vernieuwde dashboard biedt 12 belangrijke prestatie-indicatoren voor actieve, verlopen, in behandeling zijnde en ingetrokken certificaten. Rapporten over certificaten met een hoog risico, analyses van de cryptografische sleutelsterkte en analyses van vervaltrends ondersteunen de naleving van GDPR, HIPAA, PCI DSS en andere raamwerken.
• Flexibele implementatie: Implementeer on-premises voor volledige controle, in de cloud voor flexibiliteit, als SaaS voor eenvoud, of in een hybride model dat alle drie combineert. CertSecure Manager past zich aan uw omgeving aan, niet andersom.

Hoe kan Encryption Consulting u helpen?

Encryption Consulting is een vertrouwde leider in toegepaste cryptografie, gespecialiseerd in PKI-ontwerp, -implementatie en beheerde services. We bieden niet alleen tools, maar leveren end-to-end expertise om het gehele cryptografische ecosysteem van uw organisatie te versterken. Hieronder leggen we uit hoe we bedrijven helpen hun weg te vinden in het landschap van openbare en private certificeringsinstanties (CA's):

• PKI-ontwerp en -implementatie: Wij ontwerpen en implementeren robuuste, schaalbare PKI-architecturen, zowel on-premises met Microsoft AD CS en HSM-beveiligde sleutels, cloud-native met AWS Private CA of Azure, als hybride modellen die beide combineren. Onze implementaties voldoen aan de NIST-richtlijnen, de vereisten van het CA/Browser Forum en de beste praktijken in de branche.
• 47-daags voorbereidingsprogramma: Wij helpen organisaties zich voor te bereiden op de 47-daagse certificaatplicht door middel van geautomatiseerde detectie van alle openbare TLS-certificaten, migratieplanning, implementatie van het ACME-protocol en integratie van de vernieuwingsagents van CertSecure Manager op webservers, loadbalancers en cloudinfrastructuur.
• CLM beheren met CertSecure Manager: Naast het inzetten van CertSecure ManagerOns team kan uw volledige infrastructuur voor de levenscyclus van certificaten beheren als een managed service, waarbij wij namens u de ontdekking, inschrijving, verlenging, intrekking, nalevingsrapportage en incidentafhandeling verzorgen.

Conclusie

Openbare en private certificeringsinstanties (CA's) zijn geen concurrerende opties, maar complementaire pijlers van een complete PKI-strategie. Openbare CA's bieden het wereldwijde vertrouwen dat nodig is voor externe diensten, terwijl private CA's de controle, flexibiliteit en kostenefficiëntie leveren die nodig zijn voor interne processen. Elke volwaardige onderneming heeft beide nodig.

De verplichting tot een geldigheidsduur van 47 dagen voor certificaten maakt één ding duidelijk: handmatig certificaatbeheer is niet langer haalbaar. Of u nu openbare TLS-certificaten beheert die moeten voldoen aan de nieuwe, kortere geldigheidsperioden, of privécertificaten die uw interne infrastructuur beveiligen, automatisering is niet optioneel, maar essentieel. CertSecure Manager van Encryption Consulting biedt het uniforme, leveranciersneutrale platform om al uw certificaten, zowel openbare als privé, te beheren via één centraal dashboard, met de automatisering, governance en zichtbaarheid die moderne bedrijven eisen.