Wat is een digitaal certificaat? Definitie en voorbeelden

Digitale certificaten, ook wel identity-certificaten of certificaten met openbare sleutel genoemd, zijn een soort elektronische wachtwoorden die gebruikmaken van de public key infrastructure (PKI) en die personen en organisaties in staat stellen data veilig uit te wisselen via het internet.

Een digitaal certificaat maakt gebruik van cryptografie en een openbare sleutel om de authenticiteit van een server, device of gebruiker aan te tonen, zodat alleen vertrouwde devices verbinding kunnen maken met het netwerk van een organisatie. Ze kunnen ook worden gebruikt om de authenticiteit van een website te bevestigen aan een webbrowser.

Een website, organisatie of persoon kan een digitaal certificaat aanvragen en dit certificaat moet vervolgens worden gevalideerd door een openbaar vertrouwde certificeringsautoriteit (CA).

Digitale certificaten helpen om communicatie, data en websites op het internet veilig te houden. Ze hebben dan wel enkele zwakke punten, maar websites die zijn beveiligd met deze certificaten met openbare sleutel worden geacht veiliger te zijn dan andere websites.

Wat is een digitaal certificaat?

Een digitaal certificaat is een type elektronisch certificaat dat de authenticiteit van een gebruiker, device, server of website bevestigt. Deze certificaten maken gebruik van PKI zodat berichten en data veilig via het internet kunnen worden uitgewisseld.

Bij deze vorm van authenticatie gaat het om een manier van versleutelen waarbij openbare en privésleutels moeten worden gebruikt om gebruikers te valideren.

Certificaten met een openbare sleutel worden afgegeven door een vertrouwde derde partij, CA genoemd, die het certificaat ondertekent en dus de identiteit verifieert van devices of gebruikers die om toegang vragen. Om validiteit te waarborgen wordt de openbare sleutel gekoppeld aan een bijbehorende privésleutel, die alleen de ontvanger kent. Digitale certificaten zijn gekoppeld aan een specifiek sleutelpaar van één openbare en één privésleutel.

Een digitaal certificaat bevat de volgende identificeerbare informatie:

• Naam van de gebruiker
• Organisatie of afdeling van de gebruiker
• IP (internetprotocol)-adres of serienummer van het device
• Kopie van de openbare sleutel van een certificaathouder
• Geldigheidsduur van het certificaat
• Domein waarvoor het certificaat kan worden gebruikt

Voordelen van digitale certificering

Digitale certificering biedt extra security, iets dat in dit digitale tijdperk steeds belangrijker is. Het Amerikaanse Department of Homeland Security (DHS) heeft het zelfs aangemerkt als een van de topprioriteiten van de Amerikaanse overheid. Cybercriminaliteit vormt een grote bedreiging voor organisaties en personen.

Digitale certificaten kunnen de volgende voordelen bieden:

• Security: digitale certificaten kunnen ervoor zorgen dat interne en externe communicatie geheim blijven en kunnen de integriteit van de data beschermen. Ze dragen bij aan de toegangscontrole door ervoor te zorgen dat alleen de beoogde ontvanger de data ontvangt en kan openen. 
• Authenticatie: met een digitaal certificaat kunnen gebruikers gerust zijn dat de entiteiten of personen waarmee ze communiceren zijn wie ze zeggen dat ze zijn en dat de berichten alleen bij de beoogde ontvanger terechtkomen. 
• Schaalbaarheid: digitale certificaten kunnen worden gebruikt op allerlei platforms, door personen en door kleine en grote organisaties. Ze kunnen in enkele seconden worden afgegeven, verlengd en ingetrokken. Ze kunnen worden gebruikt om allerlei devices te beschermen en kunnen worden beheerd via één gecentraliseerd systeem. 
• Betrouwbaarheid: een digitaal certificaat kan alleen worden afgegeven door een openbaar vertrouwde en streng gescreende CA en dus niet zo gemakkelijk worden gemanipuleerd of nagemaakt.
• Openbaar vertrouwen: met een digitaal certificaat kan de authenticiteit van een website, document of e-mail worden aangetoond. Gebruikers en clients kunnen er dan gerust op zijn dat organisaties of personen zijn wie ze zeggen dat ze zijn, privacy respecteren en waarde hechten aan security.

Verschillende soorten digitale certificaten

De drie belangrijkste soorten certificaten met openbare sleutel zijn TLS/SSL (Transport Layer Security/Secure Sockets Layer)-certificaten, client-certificaten en Code Signing-certificaten, elk met een aantal varianten.

• TLS/SSL-certificaten: het TLS/SSL-certificaat wordt gebruikt om de communicatie tussen een computer en de server te beveiligen en wordt gehost op de server. Wanneer een client-computer toegang probeert te krijgen tot de server, presenteert de server het digitale certificaat om aan te tonen dat hij authentiek is en de beoogde ontvanger is.

De HTTPS (Hypertext Transfer Protocol Secure)-aanduiding aan het begin van een webadres of URL (Uniform Resource Locator) duidt op de aanwezigheid van een digitaal certificaat.

Wanneer een server een digitaal certificaat presenteert aan een client-computer, valideert deze het certificeringspad om te controleren of het voorwerp van het certificaat overeenkomt met de hostnaam. In het onderwerpveld van het certificaat moet een primaire hostnaam of Common Name worden aangegeven. In het geval van Subject Alternative Name (SAN)-certificaten en Unified Communications-certificaten (UCC's) kunnen er meerdere hostnamen zijn.

Openbare webservers, ook wel Internet Facing Servers, genoemd, moeten een digitaal certificaat hebben dat is ondertekend door een vertrouwde CA. TLS/SSL-certificaten kunnen dienen om een domein te valideren, in het geval van websites, of om een organisatie te valideren, voor lichte zakelijke authenticatie.

Bij uitgebreide validatie is sprake van volledige authenticatie, met een optimaal niveau van security, vertrouwen en authenticatie. 

• Client-certificaten: dit zijn een soort digitale ID's waarmee computers of gebruikers elkaar onderling kunnen identificeren. Ze kunnen worden gebruikt om gebruikers toegang te geven tot een beschermde en beveiligde database en ook voor e-mail.

Voor e-mail wordt vaak gebruikgemaakt van het S/MIME (Secure/Multipurpose Internet Mail Extensions)-protocol, dat werkt voor communicatie binnen een organisatie. Beide partijen moeten voorafgaand aan de communicatie kopieën hebben van het digitale certificaat.

E-mailberichten kunnen met behulp van een client-certificaat worden versleuteld en de integriteit van het bericht kan worden gevalideerd. Elke gebruiker moet een digitaal ondertekend bericht versturen en het certificaat van de afzender van tevoren importeren. 

• Code Signing-certificaten: dit type digitale certificaten heeft betrekking op software of bestanden. De software-developer ondertekent deze certificaten om de authenticiteit te valideren voor gebruikers die de software willen downloaden.

Dit kan enorm handig zijn wanneer software wordt gedownload via een derde en de gebruiker zeker wil weten dat het daadwerkelijk om die software gaat en deze niet is gemanipuleerd door kwaadwillenden. Deze certificaten bevestigen dat van het internet gedownloade bestanden of software valide en authentiek zijn.

Waar digitale certificaten worden gebruikt

Openbare certificeringsautoriteiten moeten voldoen aan een reeks basisvereisten. De meeste webbrowsers zijn zo geconfigureerd dat ze een vooraf opgestelde lijst CA's vertrouwen. Deze configuratie is afkomstig van de browser zelf of van het besturingssysteem van het device. De verificatie van een digitaal certificaat vindt vaak snel en achter de schermen plaats, zonder dat de gebruiker hier iets van merkt.

Websites gebruiken digitale certificaten om de HTTPS-verbinding tot stand te brengen, waarbij de validiteit ervan wordt geauthenticeerd door de vertrouwde CA die het certificaat heeft ondertekend. Een browser weet dan dat het om de echte website gaat en niet om een namaak- of frauduleuze site.

Digitale certificaten kunnen ook worden gebruikt in e-commerce om gevoelige persoonsgegevens en financiële informatie te beschermen. Van online winkelen en beleggen tot internetbankieren en gamen: overal komt een digitaal certificaat bij kijken. Digitale certificaten kunnen door houders van elektronische creditcards en handelaren worden gebruikt om de financiële transactie te beschermen.

Een andere gangbare toepassing van digitale certificaten is e-mailcommunicatie. E-mails bevatten vaak een digitale handtekening, die versleutelde berichten verstuurt aan de hand van een hashing-aanpak.

Kritiek op digitale certificaten

Digitale certificaten zijn bedoeld om vertrouwen te wekken en security en validiteit te bieden, maar zijn niet onfeilbaar. Ze hebben potentiële zwakke punten en deze worden soms door kwaadwillenden benut.

Zo kunnen er datalekken plaatsvinden bij organisaties en kunnen cybercriminelen bijvoorbeeld informatie over certificaten en privésleutels stelen, zodat ze malware kunnen verspreiden. Een malafide certificaat kan de configuratie zodanig veranderen dat een systeem het certificaat vertrouwt en de deur wordt opengezet voor aanvallen.

Het is ook bekend dat bij MITM (man-in-the-middle)- aanvallen SSL/TLS-verkeer wordt onderschept om toegang te krijgen tot gevoelige informatie door een vals root-CA-certificaat te creëren of een malafide certificaat te installeren, dat vervolgens de security-protocollen kan omzeilen. Over het algemeen wordt het gebruik van digitale certificaten om websites te beveiligen echter gezien als veiliger dan het niet gebruiken ervan.

Belangrijkste punten

Digitale certificaten werken als wachtwoorden die gegevens en berichten, vaak tussen websites en browsers, beschermen. Ze kunnen worden gebruikt om een website te authenticeren. Ze vertellen de browser dan of het veilig is verbinding te maken en informatie door te geven.

Bij digitale certificering wordt PKI gebruikt om gegevens te verplaatsen tussen gebruikers, devices en servers. Een digitaal certificaat maakt gebruik van een sleutelpaar van één openbare en één privésleutel om informatie die door een afzender wordt doorgegeven aan een ontvanger te ver- en ontsleutelen.

Een digitaal certificaat is betrouwbaar, omdat het alleen kan worden ondertekend door een openbare certificeringsautoriteit die een strenge screening heeft doorlopen. De meeste besturingssystemen en browsers hebben ingebouwde lijsten van vertrouwde digitale certificaten, en het certificeringsproces verloopt meestal dan ook soepel en snel.

Digitale certificaten zijn daarnaast buitengewoon schaalbaar en vormen een vitaal onderdeel van cybersecurity.

Referenties

What Is Federated Identity? (2013). Federated Identity Primer.

Cybersecurity. (Oktober 2021). Department of Homeland Security (DHS).

S/MIME for Message Signing and Encryption in Exchange Online. (December 2021). Microsoft.

Baseline Requirement Documents (SSL/TLS Server Certificates). CA/Browser Forum.

Certificates. CIO.gov.

On the Security of SSL/TLS-Enabled Applications. (Januari 2014). Applied Computing and Informatics.