Home

TLScertificaat

TLScertificaat is een digitaal certificaat dat de relatie tussen een domeinnaam en een entiteit (meestal een organisatie) vastlegt en het mogelijk maakt om TLS-verbindingen te verharden. Het certificaat bevestigt de identiteit van de entiteit en bevat een publieke sleutel die wordt gebruikt bij het opzetten van versleutelde communicatie tussen client en server.

Het certificaat wordt uitgegeven door een Certificate Authority (CA) en bevat onder meer de publieke sleutel

TLScertificaten komen in verschillende types: DV (domain validation), OV (organization validation) en EV (extended validation). DV

Het levenscyclusproces omvat het genereren van een CSR (certificate signing request) met de publieke sleutel en

Bestanden en formaat kunnen PEM- of DER-indeling zijn; het certificaat bevat de certificaatketen, terwijl de privé

van
de
entiteit,
de
domeinnaam
(subject),
de
geldigheidsperiode
en
de
digitale
handtekening
van
de
CA.
Tijdens
een
TLS-handdruk
presenteert
de
server
het
certificaat
aan
de
client;
de
client
verifieert
de
geldigheid
van
het
certificaat,
controleert
dat
de
domeinnaam
klopt
en
volgt
de
certificaatketen
tot
een
vertrouwde
root-CA.
Vervolgens
wordt
via
een
key
exchange
een
sessiesleutel
afgesproken
voor
symmetrische
encryptie,
zodat
latere
communicatie
privé
en
integraal
is.
bevestigt
enkel
controle
over
het
domein;
OV
en
EV
leveren
extra
identiteitsinformatie
en
een
hoger
vertrouwen.
Zelfondertekende
certificaten
bestaan
maar
worden
doorgaans
niet
door
browsers
vertrouwd.
relevante
bedrijfsgegevens,
het
indienen
bij
een
CA,
verificatie
door
de
CA,
uitgifte
en
installatie
op
de
server.
Certificaten
verlopen
na
een
bepaalde
periode
en
moeten
vóór
vervaldatum
verlengd
worden.
In
geval
van
compromittering
kan
het
certificaat
ingetrokken
worden
via
CRL
of
OCSP;
sommige
systemen
ondersteunen
OCSP-stapeling
en
certificaattransparantie.
sleutel
privé
op
de
server
blijft.
TLScertificaten
spelen
een
centrale
rol
in
PKI
en
vertrouwen:
cliënten
vertrouwen
op
de
wortel-CA
in
hun
trust
store.
Beveiligings-
en
beheerpraktijken
omvatten
sterke
sleutels,
TLS
1.3
of
hoger,
uitschakelen
van
verouderde
protocollen
en
certificaatbeheer
zoals
tijdige
vernieuwing.