Rootcertificaat

Een rootcertificaat identificeert een CA (Certificate Autority). Hiermee ondertekent de CA een of meerdere ondergeschikte certificaten, ook wel onderliggende certificaten genoemd, die vervolgens de SSL certificaten van eindgebruikers ondertekenen. Een webbrowser bevat een lijst met rootcertificaten van vertrouwde certificaatuitgevers. Deze lijst kan verschillen per browser, meestal zijn het er ongeveer 600. Desgewenst kun je als gebruiker handmatig rootcertificaten verwijderen of juist toevoegen. Hieronder een fragment uit de vertrouwde lijst van deĀ Microsoft Management Console :

Rootcertificaat

Doordat browsers deze rootcertificaten vertrouwen, worden de certificaten van eindgebruikers ondertekend door het intermediate certificaat (dat weer is ondertekend door het rootcertificaat) automatisch vertrouwd. Dit noemen we ook wel een 'chain of trust' of 'certificaathierarchie'. Onderstaande afbeelding toont de hierarchie van het certificaat voor www.sslcertificaten.nl (deze kun je bekijken door het certificaat te openen door te dubbelklikken).

Rootcertificaat

Voor een correcte werking van een SSL certificaat is een goede ondersteuning van het rootcertificaat dus belangrijk. Rootcertificaten hebben een lange levensduur van bijvoorbeeld 20 jaar.

Voorheen kwam het voor dat een rootcertificaat direct de certificaten ondertekende, zonder intermediate(s)0 ertussen. Tegenwoordig gebruiken alle CA's een of meerdere intermediates. Zo gebruikt Comodo voor ieder certificaattype een aparte intermediate. De reden hiervoor is dat het rootcertificaat niet hoeft te signen waardoor deze niet online hoeft te zijn. Dit maakt het rootcertificaat minder kwetsbaar voor misbruik. Immers, als het rootcertificaat gecompromitteerd is, zijn alle onderliggende certificaten niet meer bruikbaar. Dat is ook de reden dat een CA verschillende intermediates gebruikt; als er 1 intermediate gecompromitteerd is, schaadt dit de andere intermediates niet.

Door de recente overgang van SHA-1 naar SHA-2 encryptie gebruiken alle CA's tegenwoordig SHA-2 intermediate certificaten.

point up