השוואת מהדורות
Certificaat voor beveiligde website
מהדורה 274780:
מהדורה 274780 מאת markh2 ב־
מהדורה 274809:
מהדורה 274809 מאת Mad_Maks ב־
מילות מפתח:
beveiligingslezer
beveiligingslezer
תקציר תוצאות החיפוש:
Websites kunnen Firefox een certificaat aanbieden om zich te identificeren. Lees hier hoe Firefox de authenticiteit van websites die u bezoekt controleert.
Websites kunnen Firefox een certificaat aanbieden om zich te identificeren. Lees hier hoe Firefox de authenticiteit van websites die u bezoekt controleert.
תוכן:
[https://www.cloudflare.com/learning/ssl/transport-layer-security-tls/ Transport Layer Security (TLS)]-certificaten verifiëren de integriteit van zowel het eigendom als de gegevens van door u bezochte websites. Dit artikel legt uit hoe dat werkt.
__TOC__
=Welke websites gebruiken certificaten?=
Websites waarvan het webadres met '''https''' begint, gebruiken TLS-certificaten. Websites die TLS-certificaten gebruiken, zijn alleen in zoverre veilig dat ze twee zaken verifiëren:
* De websitebeheerder is eigenaar van de websitenaam of weet wie dat is
* De website versleutelt de verbinding tussen uw browser en de website zelf om meeluisteren te voorkomen
=Vertrouwensketen=
Browsers, zoals Firefox, verifiëren certificaten via een hiërarchie die een '''vertrouwensketen''' wordt genoemd. Deze definieert een structuur voor browser en andere programma’s om de integriteit van een certificaat te verifiëren. Onderstaand diagram illustreert de vertrouwensketen:
;[[Image:chain-of-trust]]
Het is een lijst met drie certificaten:
* Het rootcertificaat '''(vertrouwensanker)'''
* Het tussencertificaat
* Het servercertificaat '''(eind-entiteit)'''
Laten we ze definiëren: het rootcertificaat behoort toe aan de [https://nl.wikipedia.org/wiki/Certificaatautoriteit Certificaatautoriteit] (CA), die TLS-certificaten uitgeeft en die inherent door de browser wordt vertrouwd; het tussencertificaat treedt op als tussenpersoon tussen de root-CA en de website; het servercertificaat behoort toe aan de websitebeheerder.
Deze certificaten bevatten de volgende gegevens:
* Details over de certificaatautoriteit (CA)
* Een asymmetrisch sleutelpaar
** Een privésleutel die het volgende certificaat in de keten cryptografisch ondertekent; het servercertificaat heeft er een voor andere taken
** Een publieke sleutel voor het ontsleutelen van de ondertekening van het volgende certificaat in de keten voor identiteitsverificatie; het servercertificaat gebruikt deze voor andere taken
We kunnen nu beschrijven hoe Firefox bepaalt of een website veilig is.
==Hoe verifieert Firefox de certificaatintegriteit?==
Firefox gebruikt als volgt de vertrouwensketen om TLS-certificaten te verifiëren:
# Firefox downloadt het certificaat van de bezochte website
# Firefox controleert het certificaat tegen de interne database van certificaatautoriteiten (CA’s)
#* Firefox gebruikt de publieke sleutel van het rootcertificaat van de CA om te controleren of het rootcertificaat en het tussencertificaat correct zijn afgetekend in de keten
# Firefox controleert bij de CA om na te gaan of de website die u bezoekt overeenkomt met de website op het servercertificaat
# Firefox genereert een symmetrische (enkele) sleutel voor het versleutelen van HTTP-verkeer voor de verbinding
# Firefox versleutelt de symmetrische sleutel met de publieke sleutel van het servercertificaat
# De privésleutel, die zich op de webserver bevindt, ontsleutelt de verbindingsgegevens
=Een certificaat bekijken=
Volg deze stappen om een certificaat te bekijken:
# Klik op het hangslotpictogram
#; [[Image:padlock-icon]]
# Klik op {button Verbinding beveiligd}
#; [[Image:connection-secure]]
# Klik op {button Meer informatie}
#; [[Image:more-information]]
# Klik in het pop-upvenster op {button Certificaat bekijken}
#; [[Image:view-certificate]]
Firefox opent nu de pagina '''about:certificate''' met het certificaat van de bezochte website:
;[[Image:about-certificate-page]]
De drie tabbladen tonen, van links naar rechts, het servercertificaat, het tussencertificaat en het rootcertificaat.
=Certificaatinhoud=
TLS-certificaten bevatten de volgende informatie:
* '''Onderwerp''': bevat de websitenaam en optionele eigenschappen, zoals informatie over de organisatie die het certificaat bezit.
* '''Uitgever''': identificeert de entiteit die het certificaat heeft uitgegeven
* '''Geldigheid''': toont hoe lang het certificaat geldig is
* '''Alternatieve namen houder''': vermeldt de websiteadressen waarvoor het certificaat geldig is
* '''Informatie publieke sleutel''': vermeldt eigenschappen van de publieke sleutel van het certificaat
* '''Serienummer''': een unieke identificatie van het certificaat
* '''Handtekeningsalgoritme''': algoritme dat is gebruikt om de handtekening aan te maken
* '''Vingerafdrukken''': hash van het certificaatbestand in [https://wiki.openssl.org/index.php/DER DER] binaire opmaak
* '''Belangrijkste gebruiksmogelijkheden en Uitgebreide gebruiksmogelijkheden''': specificeert hoe personen het certificaat kunnen gebruiken, zoals voor het bevestigen van eigendom van een website (webserverauthenticatie)
* '''Sleutel-ID houder''': een identificator die is aangemaakt vanuit de publieke sleutel van het TLS-certificaat, als wijze om het certificaat te identificeren
* '''Sleutel-ID autoriteit''': een identificator die is aangemaakt vanuit de publieke sleutel van het TLS-certificaat, als wijze om de publieke sleutel die overeenkomt met de privésleutel die is gebruikt om het certificaat te ondertekenen te identificeren
* '''CRL-eindpunten''': de locaties van de [https://csrc.nist.gov/glossary/term/certificate_revocation_list Certificate Revocation List] (CRL) van de uitgevende CA
* '''Autoriteit-info (AIA)''': bevat de validatiemethode voor de certificaatautoriteit- en tussencertificaatbestanden
* '''Certificaatbeleid''': bevat het type certificaatvalidatie en een koppeling naar het [https://csrc.nist.gov/glossary/term/certification_practice_statement Certification Practices Statement] (CPS) van de CA
* '''Ingebedde SCT’s''': vermeldt de [https://www.globalsign.com/en/blog/what-is-certificate-transparency Signed Certificate Timestamps] (SCT’s)
=Probleemcertificaten=
Als u een website bezoekt waarvan het adres start met '''https''' en er een probleem met het TLS-certificaat is, wordt een foutpagina getoond. Het artikel ‘[[What do the security warning codes mean?]]’ beschrijft veel voorkomende certificaatfouten.
Volg deze stappen om het probleemcertificaat te bekijken:
# Klik op de waarschuwingspagina '''Uw verbinding is niet beveiligd''' op {button Geavanceerd…}
#; [[Image:bad-cert-advanced]]
# klik op ''Certificaat bekijken''
#; [[Image:view-bad-certificate]]
Het slechte certificaat wordt nu getoond.
<!-- Deze functie lijkt verouderd
=Certificaatfouten melden=
Pagina’s met certificaatfouten bevatten een optie om de fout aan Mozilla te melden. Het delen van het adres en de website-identificatie (het veilige websitecertificaat) voor de website die niet wordt vertrouwd helpt Mozilla kwaadwillende websites te identificeren en blokkeren, zodat u beter beschermd blijft.
-->
<!-- see discussion
=Certificaten verwijderen=
U kunt als volgt certificaten verwijderen:
# [[Template:optionspreferences]]
# Klik in het linkerpaneel op {menu Privacy & Beveiliging}.
# Scroll naar de sectie '''Certificaten'''.
# Klik op de knop {button Certificaten bekijken…}.
#;Het pop-upvenster '''Certificaatbeheerder''' wordt getoond met standaard het tabblad {menu Uw certificaten} geselecteerd, waarin een lijst met gerelateerde certificaten is opgenomen.
# Klik op een certificaat in de lijst.
# Klik op de knop {button Verwijderen…} onderin het pop-upvenster.
#; Er verschijnt een pop-upvenster ter bevestiging.
# Klik op de knop {button OK}.
#;Het certificaat wordt niet meer in het tabblad {menu Uw certificaten} getoond.
-->
[https://www.cloudflare.com/learning/ssl/transport-layer-security-tls/ Transport Layer Security (TLS)]-certificaten verifiëren de integriteit van zowel het eigendom als de gegevens van door u bezochte websites. Dit artikel legt uit hoe dat werkt.
__TOC__
=Welke websites gebruiken certificaten?=
Websites waarvan het webadres met '''https''' begint, gebruiken TLS-certificaten. Websites die TLS-certificaten gebruiken, zijn alleen in zoverre veilig dat ze twee zaken verifiëren:
* De websitebeheerder is eigenaar van de websitenaam of weet wie dat is
* De website versleutelt de verbinding tussen uw browser en de website zelf om meeluisteren te voorkomen
=Vertrouwensketen=
Browsers, zoals Firefox, verifiëren certificaten via een hiërarchie die een '''vertrouwensketen''' wordt genoemd. Deze definieert een structuur voor browser en andere programma’s om de integriteit van een certificaat te verifiëren. Onderstaand diagram illustreert de vertrouwensketen:
;[[Image:chain-of-trust]]
Het is een lijst met drie certificaten:
* Het rootcertificaat '''(vertrouwensanker)'''
* Het tussencertificaat
* Het servercertificaat '''(eind-entiteit)'''
Laten we ze definiëren: het rootcertificaat behoort toe aan de [https://nl.wikipedia.org/wiki/Certificaatautoriteit Certificaatautoriteit] (CA), die TLS-certificaten uitgeeft en die inherent door de browser wordt vertrouwd; het tussencertificaat treedt op als tussenpersoon tussen de root-CA en de website; het servercertificaat behoort toe aan de websitebeheerder.
Deze certificaten bevatten de volgende gegevens:
* Details over de certificaatautoriteit (CA)
* Een asymmetrisch sleutelpaar
** Een privésleutel die het volgende certificaat in de keten cryptografisch ondertekent; het servercertificaat heeft er een voor andere taken
** Een publieke sleutel voor het ontsleutelen van de ondertekening van het volgende certificaat in de keten voor identiteitsverificatie; het servercertificaat gebruikt deze voor andere taken
We kunnen nu beschrijven hoe Firefox bepaalt of een website veilig is.
==Hoe verifieert Firefox de certificaatintegriteit?==
Firefox gebruikt als volgt de vertrouwensketen om TLS-certificaten te verifiëren:
# Firefox downloadt het certificaat van de bezochte website
# Firefox controleert het certificaat tegen de interne database van certificaatautoriteiten (CA’s)
#* Firefox gebruikt de publieke sleutel van het rootcertificaat van de CA om te controleren of het rootcertificaat en het tussencertificaat correct zijn afgetekend in de keten
# Firefox controleert bij de CA om na te gaan of de website die u bezoekt overeenkomt met de website op het servercertificaat
# Firefox genereert een symmetrische (enkele) sleutel voor het versleutelen van HTTP-verkeer voor de verbinding
# Firefox versleutelt de symmetrische sleutel met de publieke sleutel van het servercertificaat
# De privésleutel, die zich op de webserver bevindt, ontsleutelt de verbindingsgegevens
=Een certificaat bekijken=
Volg deze stappen om een certificaat te bekijken:
# Klik op het hangslotpictogram
#; [[Image:padlock-icon]]
# Klik op {button Verbinding beveiligd}
#; [[Image:connection-secure]]
# Klik op {button Meer informatie}
#; [[Image:more-information]]
# Klik in het pop-upvenster op {button Certificaat bekijken}
#; [[Image:view-certificate]]
Firefox opent nu de pagina '''about:certificate''' met het certificaat van de bezochte website:
;[[Image:about-certificate-page]]
De drie tabbladen tonen, van links naar rechts, het servercertificaat, het tussencertificaat en het rootcertificaat.
=Certificaatinhoud=
TLS-certificaten bevatten de volgende informatie:
* '''Onderwerp''': bevat de websitenaam en optionele eigenschappen, zoals informatie over de organisatie die het certificaat bezit.
* '''Uitgever''': identificeert de entiteit die het certificaat heeft uitgegeven
* '''Geldigheid''': toont hoe lang het certificaat geldig is
* '''Alternatieve namen houder''': vermeldt de websiteadressen waarvoor het certificaat geldig is
* '''Informatie publieke sleutel''': vermeldt eigenschappen van de publieke sleutel van het certificaat
* '''Serienummer''': een unieke identificatie van het certificaat
* '''Handtekeningsalgoritme''': algoritme dat is gebruikt om de handtekening aan te maken
* '''Vingerafdrukken''': hash van het certificaatbestand in [https://wiki.openssl.org/index.php/DER DER] binaire opmaak
* '''Belangrijkste gebruiksmogelijkheden en Uitgebreide gebruiksmogelijkheden''': specificeert hoe personen het certificaat kunnen gebruiken, zoals voor het bevestigen van eigendom van een website (webserverauthenticatie)
* '''Sleutel-ID houder''': een identificator die is aangemaakt vanuit de publieke sleutel van het TLS-certificaat, als wijze om het certificaat te identificeren
* '''Sleutel-ID autoriteit''': een identificator die is aangemaakt vanuit de publieke sleutel van het TLS-certificaat, als wijze om de publieke sleutel die overeenkomt met de privésleutel die is gebruikt om het certificaat te ondertekenen te identificeren
* '''CRL-eindpunten''': de locaties van de [https://csrc.nist.gov/glossary/term/certificate_revocation_list Certificate Revocation List] (CRL) van de uitgevende CA
* '''Autoriteit-info (AIA)''': bevat de validatiemethode voor de certificaatautoriteit- en tussencertificaatbestanden
* '''Certificaatbeleid''': bevat het type certificaatvalidatie en een koppeling naar het [https://csrc.nist.gov/glossary/term/certification_practice_statement Certification Practices Statement] (CPS) van de CA
* '''Ingebedde SCT’s''': vermeldt de [https://www.globalsign.com/en/blog/what-is-certificate-transparency Signed Certificate Timestamps] (SCT’s)
=Probleemcertificaten=
Als u een website bezoekt waarvan het adres start met '''https''' en er een probleem met het TLS-certificaat is, wordt een foutpagina getoond. Het artikel ‘[[What do the security warning codes mean?]]’ beschrijft veel voorkomende certificaatfouten.
Volg deze stappen om het probleemcertificaat te bekijken:
# Klik op de waarschuwingspagina '''Uw verbinding is niet beveiligd''' op {button Geavanceerd…}
#; [[Image:bad-cert-advanced]]
# klik op ''Certificaat bekijken''
#; [[Image:view-bad-certificate]]
Het slechte certificaat wordt nu getoond.
<!-- Deze functie lijkt verouderd
=Certificaatfouten melden=
Pagina’s met certificaatfouten bevatten een optie om de fout aan Mozilla te melden. Het delen van het adres en de website-identificatie (het veilige websitecertificaat) voor de website die niet wordt vertrouwd helpt Mozilla kwaadwillende websites te identificeren en blokkeren, zodat u beter beschermd blijft.
-->
<!-- see discussion
=Certificaten verwijderen=
U kunt als volgt certificaten verwijderen:
# [[Template:optionspreferences]]
# Klik in het linkerpaneel op {menu Privacy & Beveiliging}.
# Scroll naar de sectie '''Certificaten'''.
# Klik op de knop {button Certificaten bekijken…}.
#;Het pop-upvenster '''Certificaatbeheerder''' wordt getoond met standaard het tabblad {menu Uw certificaten} geselecteerd, waarin een lijst met gerelateerde certificaten is opgenomen.
# Klik op een certificaat in de lijst.
# Klik op de knop {button Verwijderen…} onderin het pop-upvenster.
#; Er verschijnt een pop-upvenster ter bevestiging.
# Klik op de knop {button OK}.
#;Het certificaat wordt niet meer in het tabblad {menu Uw certificaten} getoond.
-->