Certificaat voor beveiligde website

Transport Layer Security (TLS)-certificaten verifiëren de integriteit van zowel het eigendom als de gegevens van door u bezochte websites. Dit artikel legt uit hoe dat werkt.

Welke websites gebruiken certificaten?

Websites waarvan het webadres met https begint, gebruiken TLS-certificaten. Websites die TLS-certificaten gebruiken, zijn alleen in zoverre veilig dat ze twee zaken verifiëren:

  • De websitebeheerder is eigenaar van de websitenaam of weet wie dat is
  • De website versleutelt de verbinding tussen uw browser en de website zelf om meeluisteren te voorkomen

Vertrouwensketen

Browsers, zoals Firefox, verifiëren certificaten via een hiërarchie die een vertrouwensketen wordt genoemd. Deze definieert een structuur voor browser en andere programma’s om de integriteit van een certificaat te verifiëren. Onderstaand diagram illustreert de vertrouwensketen:

chain-of-trust

Het is een lijst met drie certificaten:

  • Het rootcertificaat (vertrouwensanker)
  • Het tussencertificaat
  • Het servercertificaat (eind-entiteit)

Laten we ze definiëren: het rootcertificaat behoort toe aan de Certificaatautoriteit (CA), die TLS-certificaten uitgeeft en die inherent door de browser wordt vertrouwd; het tussencertificaat treedt op als tussenpersoon tussen de root-CA en de website; het servercertificaat behoort toe aan de websitebeheerder.

Deze certificaten bevatten de volgende gegevens:

  • Details over de certificaatautoriteit (CA)
  • Een asymmetrisch sleutelpaar
    • Een privésleutel die het volgende certificaat in de keten cryptografisch ondertekent; het servercertificaat heeft er een voor andere taken
    • Een publieke sleutel voor het ontsleutelen van de ondertekening van het volgende certificaat in de keten voor identiteitsverificatie; het servercertificaat gebruikt deze voor andere taken

We kunnen nu beschrijven hoe Firefox bepaalt of een website veilig is.

Hoe verifieert Firefox de certificaatintegriteit?

Firefox gebruikt als volgt de vertrouwensketen om TLS-certificaten te verifiëren:

  1. Firefox downloadt het certificaat van de bezochte website
  2. Firefox controleert het certificaat tegen de interne database van certificaatautoriteiten (CA’s)
    • Firefox gebruikt de publieke sleutel van het rootcertificaat van de CA om te controleren of het rootcertificaat en het tussencertificaat correct zijn afgetekend in de keten
  3. Firefox controleert bij de CA om na te gaan of de website die u bezoekt overeenkomt met de website op het servercertificaat
  4. Firefox genereert een symmetrische (enkele) sleutel voor het versleutelen van HTTP-verkeer voor de verbinding
  5. Firefox versleutelt de symmetrische sleutel met de publieke sleutel van het servercertificaat
  6. De privésleutel, die zich op de webserver bevindt, ontsleutelt de verbindingsgegevens

Een certificaat bekijken

Volg deze stappen om een certificaat te bekijken:

  1. Klik op het hangslotpictogram
    padlock-icon
  2. Klik op Verbinding beveiligd
    connection-secure
  3. Klik op Meer informatie
    more-information
  4. Klik in het pop-upvenster op Certificaat bekijken
    view-certificate

Firefox opent nu de pagina about:certificate met het certificaat van de bezochte website:

about-certificate-page

De drie tabbladen tonen, van links naar rechts, het servercertificaat, het tussencertificaat en het rootcertificaat.

Certificaatinhoud

TLS-certificaten bevatten de volgende informatie:

  • Onderwerp: bevat de websitenaam en optionele eigenschappen, zoals informatie over de organisatie die het certificaat bezit.
  • Uitgever: identificeert de entiteit die het certificaat heeft uitgegeven
  • Geldigheid: toont hoe lang het certificaat geldig is
  • Alternatieve namen houder: vermeldt de websiteadressen waarvoor het certificaat geldig is
  • Informatie publieke sleutel: vermeldt eigenschappen van de publieke sleutel van het certificaat
  • Serienummer: een unieke identificatie van het certificaat
  • Handtekeningsalgoritme: algoritme dat is gebruikt om de handtekening aan te maken
  • Vingerafdrukken: hash van het certificaatbestand in DER binaire opmaak
  • Belangrijkste gebruiksmogelijkheden en Uitgebreide gebruiksmogelijkheden: specificeert hoe personen het certificaat kunnen gebruiken, zoals voor het bevestigen van eigendom van een website (webserverauthenticatie)
  • Sleutel-ID houder: een identificator die is aangemaakt vanuit de publieke sleutel van het TLS-certificaat, als wijze om het certificaat te identificeren
  • Sleutel-ID autoriteit: een identificator die is aangemaakt vanuit de publieke sleutel van het TLS-certificaat, als wijze om de publieke sleutel die overeenkomt met de privésleutel die is gebruikt om het certificaat te ondertekenen te identificeren
  • CRL-eindpunten: de locaties van de Certificate Revocation List (CRL) van de uitgevende CA
  • Autoriteit-info (AIA): bevat de validatiemethode voor de certificaatautoriteit- en tussencertificaatbestanden
  • Certificaatbeleid: bevat het type certificaatvalidatie en een koppeling naar het Certification Practices Statement (CPS) van de CA
  • Ingebedde SCT’s: vermeldt de Signed Certificate Timestamps (SCT’s)

Probleemcertificaten

Als u een website bezoekt waarvan het adres start met https en er een probleem met het TLS-certificaat is, wordt een foutpagina getoond. Het artikel ‘Wat betekenen de codes voor beveiligingswaarschuwingen?’ beschrijft veel voorkomende certificaatfouten.

Volg deze stappen om het probleemcertificaat te bekijken:

  1. Klik op de waarschuwingspagina Uw verbinding is niet beveiligd op Geavanceerd…
    bad-cert-advanced
  2. klik op Certificaat bekijken
    view-bad-certificate

Het slechte certificaat wordt nu getoond.

Was dit artikel nuttig?

Een moment geduld…

Deze aardige mensen hebben geholpen bij het schrijven van dit artikel:

Mad Maks, Tonnes, Mark Heijl
Illustration of hands

Vrijwilliger worden

Laat uw expertise groeien en deel deze met anderen. Beantwoord vragen en verbeter onze kennisbank.

Meer info