Knowledge base

Wat zijn root en intermediate SSL certificaten?

Categorie: Alles over SSL certificaten

SSL SSL Certificates

Dit artikel legt u uit wat root en intermediate certificaten hoe ze werken.

Wat zijn root certificaten?

Kort samengevat:

  • Een root certificaat is hoogste niveau in de certificaat hiërarchie.
  • Root certificaten worden uitgegeven door Certificate Authority (CA), zoals GlobalSign, Sectigo of DigiCert.
  • Het root certificaat staat standaard geïnstalleerd in besturingssystemen en browsers, waardoor ze automatisch als betrouwbaar worden beschouwd.
  • Private keys van root certificaten worden extreem goed beveiligd, omdat een gecompromitteerd root certificaat de hele certificeringsketen in gevaar zou brengen.

Zonder een root certificaat zou de browser geen reden hebben om een door de CA uitgegeven SSL certificaat te aanvaarden.

Eindgebruikers dienen normaal niets te wijzigen aan de certificaten die met hun browser meegeleverd worden. Browserontwikkelaars zoals Mozilla, Google, Microsoft en Apple (Safari) zorgen er bij updates voor dat de verouderde of vervallen certificaten automatisch vervangen worden door nieuwere.

Daarom is het ook belangrijk om te zorgen dat u een up-to-date operating systeem heeft met de allerlaatste security updates. Als uw operating systeem niet up to date is kan u soms beschikken over een ouder root certificaat met als gevolg dat nieuwere certificaten als "niet correct" worden beschouwd, terwijl dit wel het geval is!

Wat zijn intermediate certificaten?

  • Een intermediate certificaat wordt uitgegeven door een root CA en dient als een tussenlaag tussen de root en eindgebruikerscertificaten.
  • Ze helpen bij het beperken van risico’s, omdat root certificaten zelden direct worden gebruikt om eindcertificaten te ondertekenen.
  • Intermediate certificaten worden door servers en clients vertrouwd als het root certificaat aanwezig is in het systeem.

Certificate Authorities moeten beantwoorden aan erg strikte veiligheidsvereisten om te garanderen dat hun certificaten niet gecompromitteerd worden. Naast het huidige root certificaat, waarvan de private sleutel streng bewaakt wordt, en dat niet gebruikt wordt om rechtstreeks SSL certificaten te ondertekenen, maken alle certificaatuitgevers gebruik van tussenliggende of intermediate certificates, dikwijls één per product.
Mocht, wat uiterst onwaarschijnlijk is, de private sleutel van één van deze tussenliggende certificaten gekaapt worden, dan is daarmee nog steeds de veiligheid gegarandeerd van certificaten die van een andere intermediate certificate afhangen.

Aangezien de intermediate certificates verschillen van product tot product, is het steeds aangewezen om deze te installeren op uw server alvorens uw eigen certificaat te installeren.

Gebeurt dit niet, of is het intermediate certificaat niet correct, zullen wellicht de browsers van uw bezoekers het geïnstalleerde SSL certificaat niet aanvaarden. Dit is een vaak voorkomende zogenaamde "Incomplete Chain" fout.

Waar vind ik root en intermediate certificates?

U kan de verschillende certificaten downloaden op de websites van de Certificate Authorities.

  • GlobalSign AlphaSSL intermediate certificaten kan u hier downloaden.
  • Sectigo intermediate certificaten voor populaire producten zoals PostivieSSL kan u hier downloaden.

Verwante artikelen

Apache - SSL certificaat installeren

Dit artikel gaat ervan uit dat u uw certificaat ontvangen hebt van de certificaatuitgever en het wenst te installeren op...

Meer lezen

Hoe kan ik een .com, .net of .org domeinnaam verhuizen?

Als u een domeinnaam wil verhuizen met extensie .com, .net of .org (of anderen) van uw huidig hosting bedrijf naar...

Meer lezen

Hoe kan ik mijn website publiceren via FTP?

Als u gebruik maakt van een shared webhosting bij Kinamo, hetzij Linux hosting of Windows hosting, kan u gebruik maken...

Meer lezen

Extra hulp nodig?

Werden niet al uw vragen beantwoord?
Geen nood, via een support aanvraag helpen wij u graag verder!

Kinamo

Selecteer uw taal