Home

certificaatketens

Een certificaatketen, of PKI-keten, is een reeks ondertekende certificaten die samen een pad vormen van een vertrouwde basiscertificeringsautoriteit (root CA) via één of meer tussenliggende CAs (intermediate CAs) tot aan het eindgebruikercertificaat. De keten wordt gebruikt om vertrouwen te valideren bij digitale identiteiten, zoals een website, code of e-mail.

De kernonderdelen zijn de root-certificaat, de intermediates en het eindcertificaat. Root-certificaten zijn zelfondertekend en bevinden zich

Bij validatie probeert een cliënt een pad van het eindcertificaat naar een vertrouwde root te reconstrueren

Ketenbeheer omvat het kiezen van passende trust anchors, het beheren van verlopen certificaten, het beschermen van

in
de
truststore
van
besturingssystemen
en
browsers.
Intermediate
certificaten
zijn
ondertekend
door
root-of
door
andere
intermediates
en
dienen
als
uitgevende
schakel
tussen
de
root
en
het
eindcertificaat.
Het
eindcertificaat
is
het
certificaat
van
de
entiteit
zelf
(bijv.
een
TLS-website)
en
bevat
mogelijk
beperkingen
via
extensions
zoals
SubjectAltName
en
KeyUsage.
en
te
verifiëren
dat
alle
handtekeningen
geldig
zijn,
de
data
geldig
is
en
het
certificaat
nog
niet
verlopen
of
ingetrokken
is.
Revocatie-controles
via
CRL
of
OCSP
spelen
daarbij
een
rol.
Certificaatketenen
kunnen
meerdere
paden
opleveren;
soms
ontbrekende
intermediates
worden
gedownload
of
gepresenteerd
door
de
server.
root-
en
intermediate-sleutels,
en
het
volgen
van
standaarden
zoals
X.509
en
RFC
5280.
Onjuiste
ketens
kunnen
leiden
tot
foutieve
vertrouwen
of
kwetsbaarheden
bij
TLS,
codeondertekening
en
digitale
handtekeningen.