Knowledge base

Dit artikel legt u uit wat root en intermediate certificaten hoe ze werken.

Wat zijn root certificaten?

Kort samengevat:

• Een root certificaat is hoogste niveau in de certificaat hiërarchie.
• Root certificaten worden uitgegeven door Certificate Authority (CA), zoals GlobalSign, Sectigo of DigiCert.
• Het root certificaat staat standaard geïnstalleerd in besturingssystemen en browsers, waardoor ze automatisch als betrouwbaar worden beschouwd.
• Private keys van root certificaten worden extreem goed beveiligd, omdat een gecompromitteerd root certificaat de hele certificeringsketen in gevaar zou brengen.

Zonder een root certificaat zou de browser geen reden hebben om een door de CA uitgegeven SSL certificaat te aanvaarden.

Eindgebruikers dienen normaal niets te wijzigen aan de certificaten die met hun browser meegeleverd worden. Browserontwikkelaars zoals Mozilla, Google, Microsoft en Apple (Safari) zorgen er bij updates voor dat de verouderde of vervallen certificaten automatisch vervangen worden door nieuwere.

Daarom is het ook belangrijk om te zorgen dat u een up-to-date operating systeem heeft met de allerlaatste security updates. Als uw operating systeem niet up to date is kan u soms beschikken over een ouder root certificaat met als gevolg dat nieuwere certificaten als "niet correct" worden beschouwd, terwijl dit wel het geval is!

Wat zijn intermediate certificaten?

• Een intermediate certificaat wordt uitgegeven door een root CA en dient als een tussenlaag tussen de root en eindgebruikerscertificaten.
• Ze helpen bij het beperken van risico’s, omdat root certificaten zelden direct worden gebruikt om eindcertificaten te ondertekenen.
• Intermediate certificaten worden door servers en clients vertrouwd als het root certificaat aanwezig is in het systeem.

Certificate Authorities moeten beantwoorden aan erg strikte veiligheidsvereisten om te garanderen dat hun certificaten niet gecompromitteerd worden. Naast het huidige root certificaat, waarvan de private sleutel streng bewaakt wordt, en dat niet gebruikt wordt om rechtstreeks SSL certificaten te ondertekenen, maken alle certificaatuitgevers gebruik van tussenliggende of intermediate certificates, dikwijls één per product.
Mocht, wat uiterst onwaarschijnlijk is, de private sleutel van één van deze tussenliggende certificaten gekaapt worden, dan is daarmee nog steeds de veiligheid gegarandeerd van certificaten die van een andere intermediate certificate afhangen.

Aangezien de intermediate certificates verschillen van product tot product, is het steeds aangewezen om deze te installeren op uw server alvorens uw eigen certificaat te installeren.

Gebeurt dit niet, of is het intermediate certificaat niet correct, zullen wellicht de browsers van uw bezoekers het geïnstalleerde SSL certificaat niet aanvaarden. Dit is een vaak voorkomende zogenaamde "Incomplete Chain" fout.

Waar vind ik root en intermediate certificates?

U kan de verschillende certificaten downloaden op de websites van de Certificate Authorities.

• GlobalSign AlphaSSL intermediate certificaten kan u hier downloaden.
• Sectigo intermediate certificaten voor populaire producten zoals PostivieSSL kan u hier downloaden.