Open webportaal SupportContact
Signhost logoSignhost logo
Inloggen

Wat is een Certificaat Autoriteit?

Een Certificate Authority (CA) of in het Nederlands een Certificaat Autoriteit, is een organisatie die de digitale identiteit van websites, e-mailadressen, organisaties en personen verifieert. Na het verifiëren van de bron gebruikt een CA cryptografische sleutels voor het verlenen van digitale certificaten. 

De rol van CA’s op het gebied van digitale communicatie

CA’s spelen zeker een belangrijke rol wat betreft de digitale communicatie. Ze controleren de identiteit van een organisatie of individu tijdens het aanvragen van een digitaal certificaat, om er zeker van te zijn dat dit toebehoort aan de juiste partij. 

Deze certificaten maken versleutelde communicatie mogelijk tussen twee partijen, door middel van Public Key Infrastructure (PKI). De CA voegt een elektronische handtekening toe door middel van een privésleutel, die kan worden geverifieerd met een openbare sleutel om de geldigheid van het certificaat te garanderen. 

Wat staat er in de eIDAS over CA’s

De Electronic Identification and Trust Services (eIDAS) verordening heeft het niet zo zeer over CA’s, maar wel over Qualified Trust Service Providers (QTSP’s). Dit is een brede categorie waar meerdere diensten onder vallen. Zo ook het verlenen van elektronische zegels, handtekeningen, tijdstempels en gekwalificeerde certificaten. 

In de eIDAS-verordening staat dat QTSP’s de identiteit moeten verifiëren van de partij die het certificaat ontvangt. Waarbij ook rekening moet worden gehouden met nationale wet- en regelgevingen. Er worden daarnaast richtlijnen gegeven voor de erkenning van QTSPs, die uniform is in alle EU-lidstaten.

Belangrijke taken

De belangrijkste verantwoordelijkheden van CA’s zijn:

Verlenen van digitale certificaten

Een CA is verantwoordelijk voor het verlenen van digitale certificaten. Hierbij is het essentieel dat richtlijnen worden nageleefd, zodat het vertrouwen in digitale communicatie en transacties onder gebruikers niet verloren gaat. CA’s zijn verplicht om eerst de identiteit van de ontvanger van het certificaat te verifiëren, om vervolgens een certificaat uit te geven dat op een veilige manier is verbonden aan deze identiteit. 

Certificaten managen

Nadat een digitaal certificaat is uitgegeven, moet de compliance en geldigheid in het oog worden gehouden. Waaronder de naleving van het beveiligingsbeleid, het bijhouden van de prestaties en het intrekken van de privésleutel als deze is gecompromitteerd. 

Certificate Revocation Lists uitgeven

Certificate Revocation Lists (CRL’s) zijn lijsten van certificaten die niet meer geldig zijn en zijn ingetrokken. Ieder item op deze lijsten bevat een serienummer van het desbetreffende certificaat en de reden van herroeping. 

De CA geeft deze lijsten periodiek uit en ondertekent deze met een eigen privésleutel om de echtheid te garanderen. CRL’s worden op een veilige manier beschikbaar gemaakt, waaronder op websites en Lightweight Directory Access Protocollen (LDAP).

Soorten certificaten die een CA verleent

  • Elektronische handtekening certificaten: voegen een extra veiligheidslaag toe aan online transacties en communicaties. Ze maken het mogelijk om de identiteit van de ondertekenaar te valideren en hiermee tegelijkertijd de integriteit van de gegevens.
  • Code-Signing certificaten: worden gebruikt door software ontwikkelaars voor het ondertekenen van bestanden en software. Ze garanderen de veiligheid van de code, aangezien de eindgebruiker de integriteit van software downloads kan verifiëren.
  • E-mail certificaten: maken het mogelijk om e-mail communicatie te ondertekenen, versleutelen en authenticeren. Evenals het valideren van de identiteit van de verzender en ontvanger.
  • Apparaat certificaten: zorgen voor een wederzijdse authenticatie en een veilige verbinding tussen twee apparaten. 

*Disclaimer: Deze content is geen juridisch advies. De geschiktheid, afdwingbaarheid of toelaatbaarheid van elektronische documenten zal waarschijnlijk afhangen van vele factoren, zoals het land of de staat waar u opereert, het land of de staat waar het elektronische document zal worden verspreid, en het type elektronisch document in kwestie. Raadpleeg een passende juridische adviseur om mogelijke juridische implicaties en vragen met betrekking tot het gebruik van elektronische documenten te analyseren.