Certificeringstjenesteudbydere (CSP)
En CSP leverer tjenesteydelser ved udstedelse af certifikater og digitale underskrifter og fungerer som Trusted Third Party (en betroet tredjepart). CSP'en sørger for at certifikatsanmodninger bliver kontrolleret, at certifikater bliver udsted, tager sig af tilbagekaldelse af falske certifikater og publicerer information omkring tilbagekaldte certifikater.
Trusted Third Party (TTP)
En CSP er et eksempel på en betroet tredjepart, også kaldt for en Trusted Third Party. En TTP er en betroet tredjepart som gør det muligt for to andre parter som ikke kender hinanden til at samarbejde på grundlag af gensidig tillid til TTP'en. TTP'en spiller en central rolle i en Public Key Infrastructure ved at garantere pålideligheden af de enkelte parter, så det ikke er nødvendigt at parterne kender eller kontrollerer hinanden.
Certifikatmyndighed (CA)
En Certifikatmyndighed (også kaldt Certification Authority CA) udgiver digitale certifikater til andre parter. CA'en giver garanti for at certifikatet tilhører den person, virksomhed, server etc. som bliver nævnt i selve certifikatet. Dette gøres ved at CA'en underskriver den offentlige nøgle med sit eget certifikat. Udgangspunktet i dette er, at hvis brugeren har tillid til CA'en og kan kontrollere CA'ens underskrift, så kan brugeren også stole på at CA'en kontrollerer certifikatets ejer.
Rootscertifikaterne for disse CA'er er som standard inkluderet i alle større browsere. Disse certifikater sikrer, at websteder, der har et SSL certifikat, der er knyttet til rodcertifikaterne, automatisk er betroet af standardbrowsere.
Tillidsmodellen
En CA bruger et rodcertifikat som de selv har underskrevet og kan udstede flere rod- og underordnede certifikater. Disse underordnede certifikater bliver også kaldt for intermediate certifikater. På denne måde har man et selvsigneret rodcertifikat som bruges til at underskrive andre rodcertifikater med, herunder intermediate certifikater. På denne måde opstår en træstruktur med certifikater som har den samme tillidsgrad som det øverste, selvsignerede CA rodcertifikat (Root CA). Fordi en CSP i PKI strukturen fungerer som en Trusted Third Party (TTP) kan underskrivelsen af CA'en sammenlignes med en notarielt bekræftet identitetserklæring. I tilfældet af SSL stoler webbrowsere på CA'ens rodcertifikat, og derfor på alle underliggende certifikater. Derfor er Root CA certifikatet vigtigt, og kan det få store konsekvenser hvis den bliver kompromitteret.
Typer af CSP'er
Institutioner og regeringer kan fungere som CSP og/eller administrere deres egne CA'er, ligesom i Holland, for eksempel har Forsvarsministeriet sin egen CA. Under navnet PKIoverheid har den nederlandske regering sin egen Root CA: Hollands Root CA. Under denne Root findes der Intermediates som er knyttet til forskellige CSP'er, der udsteder certifikater på vegne af regeringen. Derudover er der kommercielle CSP'er, der tilbyder certifikater til tredjepart. Xolphin sælger certifikater fra følgende kommercielle CA'er:
Billedet til venstre viser markedsandele hos SSL udbydere i Holland; Billedet til højre viser markedsandelene af EV (Extended Validation) certifikater pr. leverandør i Holland (fra midten af 2012). Det er slående, at Symantecs EV certifikater er godt repræsenteret sammenlignet med Symantecs samlede andel. Symantec EV certifikater, der oprindeligt var det mest almindelige EV SSL certifikat, tabte markedsandele i 2012. Dette var til fordel for EV certifikater fra GeoTrust og Sectigo (Comodo), hvor Sectigo registrerede den stærkeste stigning. Dette skift i 2012 kan henføres til overgangen fra VeriSign til Symantec og den øgede prisbevidsthed hos SSL kunderne.
Registreringsautoritet (RA)
RA'en tager sig af behandlingen af certifikat anmodninger og kontrollerer som en del af denne proces identiteten af ansøgeren. På basis af denne kontrol udsteder CA'en certifikater. De fleste CSP'er er både CA'er og RA'er, dog kan RA funktionen også (delvis) outsourcet til tredjepart som for eksempel videreforhandlere. Xolphin er et eksempel på en sådan tredjepart og fungerer som en registrator.
Har du brug for hjælp?
Ring til os +45 898 719 39
SSLCheck
SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.