Tags voor dit FAQ item:
SSL SSL Certificaten

Help ons door dit artikel te beoordelen!

Score van 3 sterren, gebaseerd op 7 beoordelingen

Wat zijn root en intermediate SSL certificaten?

Laatste bijgewerkt: 07/06/2018

Dit artikel legt u uit wat root en intermediate certificaten zijn, en waar ze te vinden.

Beveiliging via SSL is gebaseerd op een Chain of Trust, een keten van vertrouwen van de Certificate Authority (CA), de certificaatuitgever (bijvoorbeeld GlobalSign, Comodo), tot aan uw eigen certificaat, dat door een browser aanvaard wordt omdat het door de CA werd ondertekend. De identiteit van de verschillende CA's zit in de browsers ingebakken, middels root certificaten van de CA. Zonder dit root certificaat zou de browser immers geen reden hebben om een door de CA uitgegeven SSL certificaat te aanvaarden.

Eindgebruikers dienen normaal niets te wijzigen aan de certificaten die met hun browser meegeleverd worden. Browserontwikkelaars zoals Mozilla, Google en Microsoft zorgen er bij updates voor dat de verouderde of vervallen certificaten automatisch vervangen worden door nieuwere.

Als server beheerder moet u mogelijk wel nieuwe certificaten installeren. Standaard zijn op Windows Servers reeds een aantal certificaten aanwezig, maar het kan nuttig zijn deze te vervangen door een nieuwere versie, bijvoorbeeld om van SHA-1 root certificaten over te stappen op de veiligere SHA-2 versie. Sommige certificaatuitgevers zoals GlobalSign werken met één enkele root, sommige, zoals GeoTrust en Comodo, beschikken over volledig gescheiden roots voor hun verschillende producten. Linux webservers zoals Apache, Lighttpd of Nginx bevatten standaard geen root certificaten, zodat u ze op dit platform steeds dient te installeren!

Certificate Authorities moeten beantwoorden aan erg strikte veiligheidsvereisten om te garanderen dat hun certificaten niet gecomprommiteerd worden. Naast het huidige root certificaat, waarvan de private sleutel streng bewaakt wordt, en dat niet gebruikt wordt om rechtstreeks SSL certificaten te ondertekenen, maken alle certificaatuitgevers gebruik van tussenliggende of intermediate certificates, dikwijls één per product. Mocht, wat uiterst onwaarschijnlijk is, de private sleutel van één van deze tussenliggende certificaten gekaapt worden, dan is daarmee nog steeds de veiligheid gegarandeerd van certificaten die van een andere intermediate certificate afhangen.

Als u een door HTTPS beveiligde site bezoekt, kan u SSL certificaatinformatie opvragen door op het hangsloticoon in uw adresbalk te klikken, en daarna certificaat details op te vragen. Ter illustratie vindt u hieronder de certificaatinformatie van www.kinamo.be.

U merkt dat het hier om een Extended Validation certificaat gaat, dus met uitgebreide organisatie validatie. Verder in de hiërarchie ziet u het Intermediate Certificate, GlobalSign Extended Validation SSL CA - SHA256 - G3, en het root certificaat waarmee GlobalSign zijn intermediate certificaat heeft ondertekend, GlobalSign Root CA - R3.

Kinamo SSL certification path

Aangezien de intermediate certificates verschillen van product tot product, is het steeds aangewezen om deze te installeren op uw server alvorens uw eigen certificaat te installeren. Zoniet zullen wellicht de browsers van uw bezoekers het geïnstalleerde SSL certificaat niet aanvaarden. Dit is een vaak voorkomende zogenaamde "Incomplete Chain" fout.

U kan de verschillende certificaten downloaden op de websites van de Certificate Authorities, hetzij apart, voor gebruik in Microsoft IIS bijvoorbeeld, hetzij in één bestand samengevoegd als bundle, voor gebruik in Apache bijvoorbeeld. Om u het leven te vereenvoudigen heeft Kinamo alle root en intermediate certificaten die u kan nodig hebben gebundeld op een Certificate Download pagina.