SSL/TLS-certificaten, alles begrijpen

Een digitaal certificaat

Een digitaal certificaat is als een identiteitskaart voor een website. Het stelt je browser of een machine (zoals een gateway) in staat om te controleren of de site is wie hij beweert te zijn en of de verbinding veilig (versleuteld) is.

• Deze certificaten worden uitgegeven door een vertrouwde autoriteit (bijv. Let’s Encrypt), een beetje zoals een gemeentehuis een identiteitskaart uitgeeft.
• Ze hebben een vervaldatum: ze moeten regelmatig vernieuwd worden, anders weigeren browsers of apparaten verbinding te maken (ze denken dat de identiteitskaart verlopen is).
• Er zijn ook root-certificaten: dit zijn de “moederborden” die in de apparaten zijn opgeslagen. Als een van deze root-certificaten verloopt of niet meer wordt herkend, kunnen alle certificaten die ervan afhankelijk zijn worden geweigerd.

Onze gateways (GTW) bevatten een lijst met rootcertificaten.

Als een van deze root-certificaten verloopt, vertrouwen ze mogelijk geen geldige Let’s Encrypt-certificaten meer.

Een vertrouwensketen

Een certificaat is als een vertrouwensketen. Onderaan staat het certificaat van de website of gateway. Bovenaan staat een tussenliggend certificaat, dat garandeert dat het certificaat van de site geldig is. Helemaal bovenaan staat een root-certificaat (de “master”), dat door je computer of gateway direct als betrouwbaar wordt herkend. Dit wordt de certificaatketen genoemd: Site → Intermediate → Root.