Waarom moet ik zoveel CA's vertrouwen?

Historisch en operationeel. Verschillende CA's bedienen verschillende regio's, overheden en marktsegmenten; snoeien zou vertrouwenspaden doorbreken. Browsers verwijderen regelmatig CA's die zich misdragen. De lijst is samengesteld door Mozilla, Apple, Microsoft en Google. Geen van hen wil onnodige CA's vertrouwen, omdat deze allemaal een potentieel aanvalsoppervlak vormen.

Kan ik mijn eigen CA runnen?

Voor intern gebruik ja. Veel organisaties gebruiken privé-CA's en installeren hun rootcertificaat op beheerde apparaten. Voor openbare TLS: nee – browsers zullen uw root niet vertrouwen zonder jarenlang CA Browser Forum-onderzoek te hebben ondergaan. Openbare CA's zijn niet voor niets een beperkte, gereguleerde categorie.

Wat gebeurt er als een CA failliet gaat?

Browsers verwijderen geleidelijk de CA uit truststores, terwijl bestaande certificaten blijven valideren totdat ze verlopen. Certificaathouders wisselen doorgaans vóór de vervaldatum over naar een andere CA. Het wantrouwen van Symantec speelde zich gedurende 18 maanden af met door browsers gecoördineerde fasen.

Zien CA's mijn browsen?

De uitgiftestap is eenmalig. Daarna wordt het certificaat door de server aan uw browser gepresenteerd, er is geen CA-retour vereist (tenzij OCSP wordt opgevraagd en modern nieten die verantwoordelijkheid naar de server schuift). De CA ziet uw dagelijkse verkeer niet.

Waarom zijn certificaten nu beperkt tot 397 dagen?

Een kortere levensduur beperkt de schade als gevolg van gecompromitteerde certificaten en dwingt rotatiediscipline af. Het CA/Browser Forum heeft het maximum geleidelijk teruggebracht van 5 jaar naar 2 jaar naar 1 jaar (397 dagen), met voorstellen om het nog verder te verlagen (90 dagen of zelfs korter). Automatisering via ACME maakt kortere levensduur operationeel haalbaar.

Certificaatautoriteiten uitgelegd: de vertrouwensinfrastructuur die HTTPS laat werken

Wanneer uw browser een hangslot toont, staat deze in voor de identiteit van de server - en die garantie berust uiteindelijk bij een klein aantal organisaties die Certificate Authorities worden genoemd. Als we begrijpen wat CA's feitelijk doen, hoe ze hun vertrouwen verdienen, en hoe dat vertrouwen in de loop der jaren is geschonden en opnieuw is opgebouwd, wordt veel verklaard over waarom het moderne internet is zoals het is.

De volledige artikeltekst vindt u hieronder in het Engels.

A Certificaatautoriteit (CA) is een organisatie die digitale certificaten uitgeeft die openbare sleutels aan identiteiten binden. De meest bekende rol is het uitgeven van TLS-certificaten: wanneer example.com zijn certificaat aan uw browser presenteert, verifieert uw browser de handtekening van de CA, en als de CA zich in het trustarchief bevindt, wordt de verbinding tot stand gebracht. Het hele apparaat heet Public Key Infrastructure (PKI).

Wat een certificaat bevat

Een X.509-certificaat is een gestructureerd document dat het volgende bevat:

Subject — waar het certificaat voor is (example.com of *.example.com voor jokertekens)
Openbare sleutel van het onderwerp
Uitgever — de CA die de overeenkomst heeft ondertekend
Geldigheidsperiode — begin- en einddatum, momenteel beperkt tot 397 dagen browsers
Serienummer
Extensies — Alternatieve namen van onderwerp (extra domeinen), beperkingen voor sleutelgebruik, CRL/OCSP-URL's voor controle op intrekking
De handtekening van de CA over alle hierboven

Hoe de vertrouwensketen werkt

Browsers en besturingssystemen worden geleverd met een lijst met vertrouwde root CA's - ongeveer 100 daarvan in Chrome, vergelijkbaar in Mozilla, Apple, Microsoft. Elke root-CA heeft een publieke sleutel, en certificaten die zijn ondertekend door die root-sleutel (rechtstreeks of via tussenliggende CA's) worden vertrouwd door de browser.

In de praktijk ondertekenen root-CA's tussen-CA-certificaten, en tussenliggende CA's ondertekenen eindentiteitscertificaten (server). Dit beschermt de root: de privésleutel van de root wordt offline bewaard en wordt alleen gebruikt om tussenproducten te ondertekenen; als een tussenproduct is aangetast, kan de root deze intrekken zonder de hele CA.

te verwijderen. De verificatiestroom wanneer uw browser verbinding maakt met example.com:

Server verzendt zijn certificaat plus eventuele tussenliggende certificaten.
Browser controleert of het certificaat van de server is ondertekend door een tussenproduct.
Browser controleert of het tussenproduct is ondertekend door een root in de truststore.
Browser controleert datums, de domeinnaam in het certificaat, het sleutelgebruik en de intrekkingsstatus.
Als alle controles slagen, verloopt de verbinding.

Hoe CA's het eigendom verifiëren

Voordat een certificaat voor example.com wordt uitgegeven, zal de CA moet verifiëren dat de aanvrager daadwerkelijk voorbeeld.com beheert. Drie validatieniveaus:

Domain Validation (DV) — de CA verifieert de controle over het domein via DNS-, HTTP- of e-mailchallenges. Lets Encrypt-certificaten zijn allemaal DV. Vaak voor het grootste deel van het webverkeer. Goedkoop of gratis.
Organisatievalidatie (OV) — voegt verificatie toe van de juridische identiteit van de aanvragende organisatie. Duurder, bevat de organisatienaam in het certificaat.
Extended Validation (EV) — uitgebreide controle van de organisatie. Wordt gebruikt om de groene adresbalk te activeren; moderne browsers bieden EV geen speciale UI-behandeling meer.

Als CA's het bij het verkeerde eind hebben

Het vertrouwensmodel breekt als een vertrouwde CA een certificaat voor een domein aan de verkeerde partij verstrekt. Historische incidenten:

DigiNotar (2011) – een Nederlandse CA werd geschonden en frauduleuze certificaten uitgegeven voor Google, Yahoo en anderen. De certificaten werden gebruikt bij MITM-aanvallen op Iraanse dissidenten. DigiNotar werd verwijderd uit trustwinkels en ging failliet.
Comodo (2011) – frauduleuze certificaten uitgegeven voor grote merken na een compromis tussen wederverkopers.
Symantec (2017) – meerdere incidenten met verkeerde uitgifte in de loop der jaren. Browsers wantrouwden geleidelijk de wortels van Symantec in de periode 2018-2019; Symantec heeft zijn CA-activiteiten verkocht aan DigiCert.

Certificaattransparantie: de moderne vangrail

Sinds 2018 vereisen browsers dat certificaten verschijnen in openbare Certificate Transparency (CT)-logboeken voordat ze worden geaccepteerd. Elk certificaat dat ooit door een vertrouwde CA is uitgegeven, wordt binnen enkele uren na uitgifte openbaar geregistreerd. Iedereen kan controleren op onverwachte certificaten op zijn domein via tools als crt.sh.

Dit beperkt het wangedrag van CA's dramatisch: een verkeerd uitgegeven certificaat is detecteerbaar en de reputatie van de uitgevende CA staat op het spel. Het aantal incidenten met frauduleuze uitgifte is sterk gedaald sinds CT verplicht werd.

Intrekking: het nog steeds kapotte deel

Wanneer de privésleutel van een certificaat is aangetast, moet het certificaat worden ingetrokken. Er bestaan twee mechanismen:

CRL (Certificate Revocation List) - periodiek gedownloade lijst met ingetrokken serienummers. Update traag.
OCSP (Online Certificate Status Protocol) — online controle per certificaat. Sneller, maar introduceert een privacylek (de OCSP-responder leert welke sites u bezoekt).

Beide hebben problemen. CRL's werden te groot om routinematig op te halen. OCSP kan een soft-failing hebben (als de server traag is, staat de browser de verbinding toch toe, wat een aanvaller misbruikt door OCSP te blokkeren). Moderne browsers zijn overgestapt op CRLite, CRLSets en soortgelijke batch-intrekkingsdownloads. Intrekking in 2026 is beter dan het was, nog steeds onvolmaakt.

Wie beheert vandaag de dag grote CA's

Let's Encrypt / ISRG — gratis DV-certificaten, dominant op basis van het aantal certificaten
DigiCert — grote commerciële CA, ate Symantec
Sectigo – voorheen Comodo, brede marktaanwezigheid
GoDaddy – gebundeld met hun hostingbedrijf
GlobalSign – commercieel CA
Apple, Amazon, Google — cloudproviders die CA's uitvoeren voor hun eigen klanten

Veelgestelde vragen

Waarom moet ik zoveel CA's vertrouwen?: Historisch en operationeel. Verschillende CA's bedienen verschillende regio's, overheden en marktsegmenten; snoeien zou vertrouwenspaden doorbreken. Browsers verwijderen regelmatig CA's die zich misdragen. De lijst is samengesteld door Mozilla, Apple, Microsoft en Google. Geen van hen wil onnodige CA's vertrouwen, omdat deze allemaal een potentieel aanvalsoppervlak vormen.
Kan ik mijn eigen CA runnen?: Voor intern gebruik ja. Veel organisaties gebruiken privé-CA's en installeren hun rootcertificaat op beheerde apparaten. Voor openbare TLS: nee – browsers zullen uw root niet vertrouwen zonder jarenlang CA Browser Forum-onderzoek te hebben ondergaan. Openbare CA's zijn niet voor niets een beperkte, gereguleerde categorie.
Wat gebeurt er als een CA failliet gaat?: Browsers verwijderen geleidelijk de CA uit truststores, terwijl bestaande certificaten blijven valideren totdat ze verlopen. Certificaathouders wisselen doorgaans vóór de vervaldatum over naar een andere CA. Het wantrouwen van Symantec speelde zich gedurende 18 maanden af met door browsers gecoördineerde fasen.
Zien CA's mijn browsen?: De uitgiftestap is eenmalig. Daarna wordt het certificaat door de server aan uw browser gepresenteerd, er is geen CA-retour vereist (tenzij OCSP wordt opgevraagd en modern nieten die verantwoordelijkheid naar de server schuift). De CA ziet uw dagelijkse verkeer niet.
Waarom zijn certificaten nu beperkt tot 397 dagen?: Een kortere levensduur beperkt de schade als gevolg van gecompromitteerde certificaten en dwingt rotatiediscipline af. Het CA/Browser Forum heeft het maximum geleidelijk teruggebracht van 5 jaar naar 2 jaar naar 1 jaar (397 dagen), met voorstellen om het nog verder te verlagen (90 dagen of zelfs korter). Automatisering via ACME maakt kortere levensduur operationeel haalbaar.