Certificatiedienstverlener (CSP)

Een CSP verleent diensten op het gebied van uitgifte van certificaten en elektronische handtekeningen, en treedt hierbij op als Trusted Third Party. De CSP zorgt voor controle van certificaataanvragen, de uitgifte van certificaten, het intrekken van eventuele foute certificaten en het publiceren van intrekkingsinformatie. 

Trusted Third Party (TTP)

Een CSP is een voorbeeld van een vertrouwde derde partij oftewel Trusted Third Party. Een TTP is een entiteit die een samenwerking tussen twee voor elkaar onbekende partijen faciliteert waarbij deze twee partijen elkaar, op basis van het oordeel van een TTP, vertrouwen. Een TTP speelt een sleutelrol in een Public Key Infrastructure door het garant staan voor de betrouwbaarheid van onbekende partijen, zodat de partijen zelf elkaar niet meer hoeven te controleren of te kennen.

Certificaatautoriteit (CA)

Een certificaatautoriteit (ook wel certificate authority of certification authority genoemd) verleent digitale certificaten aan andere partijen. De CA getuigt dat een certificaat toebehoort aan de persoon, organisatie, server of entiteit die in het certificaat vermeld wordt. Dit doet zij door het ondertekenen van de publieke sleutel van dit certificaat met haar eigen (root)certificaat. Hierbij is het uitgangspunt dat als de gebruiker de CA vertrouwt en de handtekening van de CA kan controleren, de gebruiker er ook op kan vertrouwen dat de CA de eigenaar van een certificaat controleert.

Van deze CA's zijn de root certificaten standaard opgenomen in alle veelgebruikte internetbrowsers. Deze certificaten zorgen ervoor dat de websites die via het SSL-certificaat gekoppeld zijn aan zo´n rootcertificaat, als vertrouwd worden gezien. Indien een voor de browser onbekende CA wordt gebruikt zal de browser een waarschuwing tonen.

Model van vertrouwen

Een CA gebruikt een rootcertificaat dat zij zelf ondertekent. Een CA kan meerdere root- en ondergeschikte certificaten uitgeven. De onderschikte certificaten worden ook wel intermediate certificaten genoemd. In de boomstructuur die op deze wijze ontstaat krijgen alle onderliggende certificaten hetzelfde vertrouwen als de Root CA. Met haar rootcertificaat (Root CA) ondertekent de CA één of meerdere intermediate certifiaten. Hiermee kan de CA andere certificaten (voor eindgebruikers) ondertekenen. Omdat de CSP in de PKI infrastructuur optreedt als TTP kan een ondertekening door de CA vergeleken worden met een notariële identiteitsverklaring. In het geval van SSL vertrouwen de webbrowers de rootcertificaten van de CA's, en daardoor meteen alle onderliggende certificaten. Dit geeft het belang van een vertrouwde Root CA aan, en de gevolgen van ongewenste toegang tot een rootcertificaat.

Soorten CSP's

Instellingen en regeringen kunnen zelf optreden als CSP en/of eigen CA's beheren, zoals in Nederland bijvoorbeeld het Ministerie van Defensie haar eigen CA heeft. De Nederlandse overheid heeft onder de noemer PKIoverheid haar eigen Root CA: de Staat der Nederlanden Root CA. Onder deze Root hangen Intermediates van diverse CSP's die hiermee certificaten namens de overheid uitgeven. Daarnaast zijn er commerciële CSP's die certificaten aanbieden aan derden. Xolphin verkoopt certificaten van de volgende commerciële CA's:

 

De afbeelding links toont de marktaandelen per SSL leverancier in Nederland; de afbeelding rechts de marktaandelen van EV (uitgebreide validatie) certificaten per leverancier in Nederland (gemeten medio 2012). Wat opvalt is dat het EV certificaat van Symantec het, in vergelijking met het totale aandeel van Symantec, erg goed doet. Wel heeft Symantec EV, van origine het meestgebruikte EV SSL certificaat, in 2012 aandeel ingeleverd. Dit ten gunste van EV certificaten van GeoTrust en Comodo, waarvan Comodo de sterkste stijging laat zien. Deze verschuiving kan te maken hebben met de merkovergang van VeriSign naar Symantec in 2012, en meer algemeen, een verhoogd prijsbewustzijn.

Marktaandelen

 

 

Registratie Autoriteit (RA)

De RA verzorgt de verwerking van certificaataanvragen en controleert hierbij de identiteit van de aanvragers. Op basis van deze controle geeft de CA certificaten uit. De meeste CSP's zijn zowel CA als RA. De RA functie kan ook (gedeeltelijk) uitbesteed worden aan derde partijen zoals resellers. Ook Xolphin is een Registration Authority.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.