Rootcertificaat

Een rootcertificaat identificeert een CA (Certificate Autority). Hiermee ondertekent de CA een of meerdere onderliggende certificaten, ook wel intermediate certificaten genoemd, die vervolgens de SSL certificaten van eindgebruikers ondertekenen. Een webbrowser bevat een lijst met rootcertificaten van vertrouwde certificaatuitgevers. Deze lijst kan verschillen per browser, maar er staan gemakkelijk 600 rootcertificaten in. Desgewenst kun je als gebruiker handmatig rootcertificaten verwijderen of juist toevoegen. Hieronder een fragment uit de vertrouwde lijst van Google Chrome:

Addtrust rootcertificaat in Chrome

Doordat browsers (en andere applicaties) deze rootcertificaten vertrouwen, worden de certificaten van eindgebruikers ondertekend door het intermediate certificaat (dat weer is ondertekend door het rootcertificaat) automatisch vertrouwd. Dit noemen we ook wel een 'chain of trust' of 'certificaathiërarchie'. Onderstaande afbeelding toont de hiërarchie van het certificaat voor www.sslcertificaten.nl (deze kun je bekijken door het certificaat te openen door te dubbelklikken).

Certificaathierarchie

Voor een correcte werking van een SSL certificaat is een goede ondersteuning van het rootcertificaat dus belangrijk. Rootcertificaten hebben een lange levensduur van ongeveer 20 jaar.

Voorheen kwam het voor dat een rootcertificaat direct de certificaten ondertekende, zonder intermediate(s) ertussen. Tegenwoordig gebruiken alle CA's een of meerdere intermediates. Zo gebruikt Comodo voor ieder certificaattype een aparte intermediate. De reden hiervoor is dat het rootcertificaat hierdoor niet hoeft te signen en dus niet online hoeft te zijn. Dit maakt het rootcertificaat minder kwetsbaar voor misbruik. Immers, als het rootcertificaat gecompromitteerd is, zijn alle onderliggende certificaten niet meer bruikbaar. Dat is ook de reden dat een CA verschillende intermediates gebruikt; als er 1 intermediate gecompromitteerd is, schaadt dit de andere intermediates niet.

Door de recente overgang van SHA-1 naar SHA-2 encryptie gebruiken alle CA's tegenwoordig SHA-2 intermediate certificaten.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.