Een certificaat is het digitale equivalent van een legitimatiebewijs. Net zoals u meerdere legitimatiebewijzen kunt hebben voor verschillende doeleinden, zoals een rijbewijs, een werknemerslegitimatie of een credit card, kunt u verschillende certificaten hebben voor verschillende doeleinden.
Dit deel beschrijft hoe aan certificaten gerelateerde handelingen uit te voeren.
In dit deel: Veiligheid controleren van een internetpagina Smart cards en andere veiligheidsmiddelen beheren |
Net zoals een credit card of een rijbewijs is een certificaat een vorm van identificatie die U kunt gebruiken om uzelf te identificeren op het internet en andere netwerken. Zoals met andere legitimatiebewijzen, wordt een certificaat uitgeven door een officieel daarvoor erkende organisatie. Een organisatie die certificaten uitgeeft wordt ook wel een certificerende organisatie (CO) genoemd.
Certificaten kunt u verkrijgen via certificerende organisaties, van systeembeheerders of speciale certificerende afdelingen binnen uw eigen organisatie of van internet sites die diensten aanbieden die meer identificatie vragen dan slechts een naam en wachtwoord.
Net zoals de eisen voor rijbewijzen variëren afhankelijk van het soort auto u wilt besturen zullen de eisen voor het verkrijgen van een certificaat afhankelijk zijn van het doel waarvoor u dit certificaat wilt gebruiken. In sommige gevallen kunt u voor het verkrijgen van een certificaat volstaan door op een bepaalde internet pagina enige persoonlijke informatie in te typen, waarna u het certificaat automatisch ontvangt. In andere gevallen zult u complexere procedure moeten doorlopen.
U kunt vandaag een certificaat verkrijgen door de internet pagina van een certificerende organisatie te bezoeken en daarna de instructies op uw beeldscherm te volgen. Voor een lijst van certificerende organisaties, kunt u het online document Client Certificates bekijken.
Wanneer u een certificaat verkrijgt, wordt het automatisch in een veiligheidsapparaat opgeslagen. Uw bladerprogramma heeft zijn eigen ingebouwde veiligheidsapparaat. Een veiligheidsapparaat kan ook een stuk hardware zijn, zoals bijvoorbeeld een smart card.
Net zoals bij een rijbewijs of een credit card is een certificaat een waardevolle vorm van identificatie, die kan worden misbruikt indien het in verkeerde handen terecht komt. Wanneer u een persoonlijk certificaat heeft verkregen dat u identificeert, dient u dit op twee manieren te beveiligen: door een reserve kopie te maken en door het instellen van een hoofd wachtwoord.
Wanneer u voor het eerst een certificaat verkrijgt, kunt u worden gevraagd om een reserve kopie te maken. Wanneer u nog geen hoofd wachtwoord heeft gecreëerd kunt u worden gevraagd er een aan te maken.
Voor gedetailleerde informatie over het maken van reserve kopieën van certificaten en het instellen van een hoofd wachtwoord, bekijk uw certificaten.
[ Terug naar het begin van dit deel ]
Van elke internet pagina die u bekijkt, geeft het slot pictogram in de hoek rechtsonder in het venster aan of de gehele inhoud van de pagina door middel van vercijfering was beschermd tijdens de ontvangst op uw computer:
![]() | Een gesloten slot betekent dat de pagina door middel van vercijfering was beschermd terwijl de pagina werd ontvangen. | |
![]() | Een geopend slot betekent dat de pagina niet door middel van vercijfering was beschermd terwijl de pagina werd ontvangen. | |
![]() | Een gebroken slot betekent dat sommige of alle elementen in de pagina niet door middel van vercijfering beschermd waren terwijl de pagina werd ontvangen, ook al was de buitenste HTML pagina gecodeerd. |
Voor gedetailleerde informatie over de status van de vercijfering van de pagina, klik op het slot pictogram (of open het Beeld menu, kies Pagina-info en klik de tab Veiligheid).
De tab Veiligheid van de Pagina-info bied twee soorten informatie:
Belangrijk: Het slot pictogram beschrijft slechts de status van de vercijfering van de pagina terwijl de pagina werd ontvangen op uw computer. Om gewaarschuwd te worden voordat u niet gecodeerde informatie ontvangt of verzendt, selecteer de gepaste SSL waarschuwings opties. Bekijk Privacy & Veiligheid Voorkeuren - SSL voor details.
[ Terug naar het begin van dit deel ]
U kunt de Certificatenbeheerder gebruiken om uw beschikbare certificaten te beheren. Certificaten kunnen worden opgeslagen op de harde schijf van uw computer of op smart cards of andere veiligheidsapparaten verbonden aan uw computer.
Om de Certificatenbeheerder te openen:
Wanneer u voor het eerst de Certificatenbeheerder opent, zult u bovenaan het scherm verschillende tabs zien. De eerste tab is genaamd Uw certificaten en toont de certificaten die u identificeren die uw bladerprogramma beschikbaar heeft. Uw certificaten worden getoond onder de namen van de organisaties die ze uitgegeven hebben.
Om een bewerking op een of meerdere certificaten uit te voeren, klik op het certificaat (of Control-klik om meerdere te selecteren), klik dan op Weergeven, Backup maken of Verwijderen. Elk van deze knoppen toont een ander scherm dat u in staat stelt de bewerking uit te voeren. Elk scherm heeft een Hulp knop waarmee u voor dat betreffende scherm meer informatie kunt verkrijgen.
Voor de volgende knoppen onder Uw certificaten hoeft u geen certificaat te selecteren. U kunt deze gebruiken om de volgende bewerkingen uit te voeren:
Van certificaten op smart cards kan geen backup gemaakt worden. Wanneer u een of meerdere certificaten selecteert en op Backup of Backup maken van alle klikt, zal het resulterende backup bestand geen certificaten bevatten die zijn opgeslagen op smart cards of andere externe veiligheidsapparaten. Alleen van certificaten die zijn opgeslagen op interne veiligheidsapparaten kunt u een backup maken.
Voor meer gedetailleerde informatie over elk van deze taken, bekijk uw certificaten.
[ Terug naar het begin van dit deel ]
Als u een mail bericht opstelt, kunt u er voor kiezen dit te voorzien van uw digitale ondertekening. Een digitale ondertekening stelt ontvangers van het bericht in staat vast te stellen dat het bericht daadwerkelijk van u afkomstig is en er niet mee geknoeid is sinds u het verzonden heeft.
Elke keer dat u een digitaal ondertekend bericht verzend wordt uw vercijferings certificaat automatisch toegevoegd aan het bericht. Dit certificaat stelt de ontvangers van het bericht in staat u gecodeerde berichten toe te zenden.
Een van de eenvoudigste manieren om een vercijferings certificaat van iemand anders te verkrijgen is als dat persoon u een digitaal ondertekend bericht zendt. De Certificatenbeheerder slaat certificaten van anderen automatisch op, telkens als deze op die wijze worden verkregen.
Om alle aan de Certificatenbeheerder beschikbare certificaten die anderen identificeren te bekijken, klikt u de Die van anderen tab aan de bovenkant van het Certificatenbeheerder scherm. U kunt gecodeerde berichten verzenden aan iedereen waarvan een geldig certificaat wordt getoond. Certificaten worden getoond onder de namen van de organisaties die ze uitgegeven hebben.
Om een bewerking op een of meerdere certificaten uit te voeren, klik op het certificaat (of Control-klik om meerdere te selecteren), klik vervolgens op de Bekijken of Verwijderen knop. Elk van deze knoppen toont een ander scherm dat u in staat stelt de bewerking uit te voeren. Elk scherm heeft een Hulp knop waarmee u voor dat betreffende scherm meer informatie kunt verkrijgen.
Voor meer details, bekijk die van anderen.
[ Terug naar het begin van dit deel ]
Sommige internet pagina's gebruiken certificaten om zichzelf te identificeren. Zulke identificatie is vereist voordat de internet pagina informatie kan vercijferen die tussen de pagina en uw computer (of vice versa) word verzonden, zodat deze door niemand kan worden mee gelezen tijdens het transport.
Indien de URL van een internet pagina begint met https://, heeft de web site een certificaat. Indien u zo'n internet pagina bezoekt en het certificaat ervan is uitgegeven door een certificerende organisatie die de Certificatenbeheerder niet kent of vertrouwt, zult u worden gevraagd of u dit certificaat wilt accepteren. Wanneer u een nieuw certificaat accepteert van een internet pagina, voegt de Certificatenbeheerder deze toe aan de lijst van certificaten die internet pagina's identificeren.
Om alle beschikbare certificaten van internet pagina's van uw bladerprogramma te zien, klik op Internet pagina's bovenaan het scherm van de Certificatenbeheerder.
Om een bewerking op een of meerdere certificaten uit te voeren, klik op het certificaat (of Shift-klik om meerdere te selectere), klik vervolgens de Bekijken, Bewerken of Verwijderen knop. Elk van deze knoppen toont een ander scherm dat u in staat stelt de bewerking uit te voeren.
De knop Bewerken stelt u in staat te specificeren of uw bladerprogramma in de toekomst certificaten van de geselecteerde internet pagina mag vertrouwen.
Voor meer details, bekijk certificaten van internet pagina's.
[ Terug naar het begin van dit deel ]
Zoals andere gebruikelijke vormen van identificatie, wordt een certificaat uitgegeven door een organisatie die bevoegd is zulke identificatie uit te geven. Een organisatie die certificaten uitgeeft, noemt men een certificerende organisatie (CO). Een certificaat dat een CO identificeert wordt een CO certificaat genoemd.
De Certificatenbeheerder heeft normaal gesproken vele CO certificaten op bestand. Deze CO certificaten stellen de Certificatenbeheerder in staat door de corresponderende COs uitgegeven certificaten te herkennen en te verwerken. Echter, de aanwezigheid van een CO certificaat in deze lijst is geen garantie dat de certificaten die het uitgeeft vertrouwd kunnen worden. U of uw systeem beheerder moet beslissen welke soorten certificaten te vertrouwen afhankelijk van uw veiligheids behoeftes.
Om alle voor uw bladerprogramma beschikbare CO certificaten te bekijken, klik op de tab Autoriteiten bovenaan het Certificatenbeheerder scherm.
Om een bewerking op een of meerdere CO certificaten uit te voeren, klik op het certificaat (of Control-klik om meerdere te selecteren), klik vervolgens de Bekijken, Bewerken of Verwijderen knop. Elk van deze knoppen toont een ander scherm dat u in staat stelt de bewerking uit te voeren. Elk scherm heeft een Hulp knop waarmee u voor dat betreffende scherm meer informatie kunt verkrijgen.
De knop Bewerken stelt u in staat de vertrouwensinstellingen van elk certificaat te bekijken en controleren. De vertrouwensinstellingen voor een CO certificaat stellen u in staat te specificeren welke soorten certificaten uitgegeven door die CO u wilt vertrouwen.
Voor meer details, bekijk autoriteiten.
[ Terug naar het begin van dit deel ]
Een smart card is een klein apparaat, meestal ongeveer even groot als een credit card, dat is voorzien van een microprocessor en in staat is informatie over uw identiteit (zoals uw privé sleutels en certificaten) en cryptografische bewerkingen uit te voeren.
Om een smart card te kunnen gebruiken, dient u meestal te beschikken over een smart card lezer (een stuk hardware) die is verbonden met uw computer, alsmede over de daarbij behorende controle software op uw computer.
Een smart card is maar een vorm van beveiliging. Een veiligheidsapparaat (soms ook wel token genoemd) is een hardware of software apparaat dat cryptografische diensten levert en identiteitsgegevens opslaat. Gebruik de Apparatenbeheerder om met smart cards en andere veiligheidsapparaten te werken.
In dit deel: Over veiligheidsapparaten en modules |
De Apparatenbeheerder toont een scherm dat de beschikbare veiligheidsapparaten toont. U kunt de Apparatenbeheerder gebruiken voor het beheren van elk veiligheidsapparaat, inclusief smart cards, dat de Public Key Cryptography Standard (PKCS) #11 ondersteunt.
Een PKCS #11 module (soms een veiligheids module genoemd) controleert een of meer veiligheidsapparaten op zo goed als dezelfde manier waarop een software driver een extern apparaat, zoals een printer of modem, controleert. Indien u een smart card installeert, dient u de PKCS #11 module voor de smart card installeren alsmede de daarbij behorende smart card lezer aansluiten.
De Apparatenbeheerder controleert standaard twee interne PKCS #11 modules die drie veiligheidsapparaten beheren.
[ Terug naar het begin van dit deel ]
De Apparatenbeheerder stelt u in staat bewerkingen op veiligheidsapparaten uit te voeren. Volg deze stappen, om de Apparatenbeheerder te openen:
De Apparatenbeheerder toont elke beschikbare PKCS #11 module vetgedrukt en onder de naam ervan de veiligheidsapparaten die door elk beheert worden.
Wanneer u een veiligheidsapparaat selecteert, verschijnt informatie hierover in het midden van het Apparatenbeheerder scherm en sommige knoppen aan de rechterkant van het scherm worden beschikbaar. Bijvoorbeeld, als u het software veiligheidsapparaat kiest kunt u de volgende handelingen uitvoeren:
Deze handelingen kunt u op de meeste veiligheidsapparaten uitvoeren. Echter, u kunt deze niet uitvoeren op het Builtin Object Token of de algemene crypto diensten, deze speciale apparaten dienen normaliter ten aller tijden beschikbaar te zijn.
Voor meer details, bekijk apparatenbeheerder.
[ Terug naar het begin van dit deel ]
Indien u een smart card of een ander extern veiligheidsapparaat wilt gebruiken, dient u eerst de module software te installeren op uw computer en, zo nodig, de daarbij behorende hardware aan te sluiten. Volg de instructies bij de hardware meegeleverd zijn.
Nadat een nieuwe module is geïnstalleerd op uw computer, volg de volgende stappen om deze te laden:
De nieuwe module zal dan in de lijst met modules verschijnen met de door u toegewezen naam.
Om de PKCS #11 module te verwijderen, selecteer de naam ervan en klik op Verwijderen.
Federal Information Processing Standards Publications (FIPS PUBS) 140-1 is een standaard in de Verenigde Staten voor implementaties van cryptografische modules--dat wil zeggen, hardware of software die data codeert en ontcijfert of andere cryptografische bewerkingen verricht (zoals het aanmaken en controleren van digitale handtekeningen). Veel producten die aan de regering van de Verenigde Staten worden verkocht moeten voldoen aan een of meerdere FIPS standaarden.
Om FIPS mode voor het bladerprogramma in te schakelen, gebruikt u de Apparatenbeheerder:
Om de FIPS modus uit te schakelen, klik op FIPS uitschakelen.
[ Terug naar het begin van dit deel ]
Het Secure Socket Layer (SSL) protocol stelt uw computer in staat informatie met andere computers op het internet uit te wisselen in gecodeerde vorm--dat wil zeggen, de informatie wordt vercijferd tijdens transport zodat niemand anders er iets zinnigs van kan begrijpen. SSL wordt eveneens gebruikt om computers op het internet te identificeren door middel van certificaten.
Het Transport Layer Security (TLS) protocol is een nieuwe standaard gebaseerd op SSL. Standaard ondersteunt uw bladerprogramma zowel SSL als TSL. Deze aanpak werkt voor de meeste mensen, aangezien het garandeert dat het bladerprogramma met vrijwel alle software op het internet zal werken die SSL of TSL ondersteunt.
Echter, in sommige gevallen willen systeembeheerders of andere deskundige personen de SSL instellingen aanpassen om ze af te stellen voor speciale veiligheids behoeftes of voor het omzeilen van fouten in sommige oudere software producten.
U moet de SSL instellingen van uw bladerprogramma niet aanpassen tenzij u weet wat u doet of hulp heeft van iemand met kennis hiervan. Indien u ze toch wilt aanpassen, volg deze stappen:
Voor meer details, bekijk SSL instellingen.
[ Terug naar het begin van dit deel ]
Zoals hierboven beschreven onder Zelf certificaten verkrijgen, is een certificaat een vorm van identificatie, net zoals een rijbewijs, dat u kunt gebruiken om uzelf te identificeren op het internet of andere netwerken. Echter, net zoals een rijbewijs kan een certificaat verlopen of ongeldig worden om een andere reden. Daarom dient uw bladerprogrammasoftware de geldigheid van elk certificaat op de een of andere manier te kunnen bevestigen voordat het voor identificatie kan worden vertrouwt.
Dit deel beschrijft hoe de Certificatenbeheerder certificaten valideert en hoe dit proces gecontroleerd kan worden. Om het proces te begrijpen, dient u enige kennis te hebben van assymetrische cryptografie. Indien u niet bekend bent met het gebruik van certificaten, neem dan contact op met uw systeem beheerder voordat u poogt een van de validatie instellingen voor certificaten van uw bladerprogramma aan te passen.
In dit deel: |
Wanneer u een certificaat wilt gebruiken of bekijken dat is opgeslagen door de Certificatenbeheerder, zijn er een aantal stappen nodig om het certificaat te verifiëren. Op z'n minst moet het bevestigen dat de digitale handtekening van de CO op het certificaat is afgegeven door een CO wiens eigen certificaat (1) aanwezig is in de Certificatenbeheerders lijst van beschikbare CO certificaten en (2) al betrouwbaar is aangeduid voor de ui.pngte van het type certificaat dat geverifieerd wordt.
Indien het CO certificaat zelf niet aanwezig is, moet de certificaten reeks voor het CO certificaat een hoger niveau CO certificaat bevatten dat aanwezig is en vertrouwd wordt. De Certificatenbeheerder bevestigt eveneens dat het certificaat als vertrouwd is gemarkeerd in de certificaten lijst. Indien een van deze controles faalt, zal de Certificatenbeheerder het certificaat als niet geverifieerd beschouwen en de identiteit niet herkennen.
Een certificaat kan al deze testen doorstaan en toch op enige wijze aangetast zijn; bijvoorbeeld kan het certificaat herroepen zijn, omdat een onbevoegd persoon zich toegang heeft verschaft tot de persoonlijke sleutel van dit certificaat. Een aangetast certificaat kan een onbevoegde persoon (of internet pagina) in staat stellen zich voor te doen als de eigenaar van het certificaat.
Een manier waarop de Certificatenbeheerder deze bedreiging kan bestrijden is door een certificaten herroepingslijst (CHL) te controleren als onderdeel van het verificatie proces (zie CHLs beheren, hieronder). Normaal gesproken, laadt u een CHL in uw bladerprogramma door op een koppeling te klikken. Indien een CHL aanwezig is, zal de Certificatenbeheerder elk certificaat dat is uitgegeven door de zelfde CO vergelijken met de lijst als onderdeel van het verificatie proces.
De betrouwbaarheid van CHLs hangt af van de frequentie waarmee ze zowel door een server worden vernieuwd als door de een klant worden gecontroleerd. U kunt uw Automatische CHL bijwerkingsvoorkeuren zo instellen dat een CHL regelmatig automatisch ververst zal worden door de meest recente versie op de server.
Een andere manier om de bedreiging van aangetaste certificaten te bestrijden is gebruik te maken van een speciale server die het Online Certificate Status Protocol (OCSP)ondersteunt. Zo een server kan vragen van klanten aangaande individuele certificaten (zie OCSP instellen, hieronder) beantwoorden.
De server, een OCSP responder genaamd, ontvangt periodiek een actuele CHL van de CO die de te verifiëren certificaten uitgeeft. U kunt de Certificatenbeheerder instellen de OCSP responder een verzoek voor de status van een certificaat te verzenden, waarop de OCSP responder zal bevestigen of het certificaat geldig is.
Een certificaten herroepingslijst (CHL) is een lijst van herroepen certificaten. Een certificerende organisatie (CO) kan een certificaat herroepen, bijvoorbeeld, als het op enigerlei wijze aangetast is—ongeveer net zoals een credit card herroepen kan worden als u deze als gestolen aanmeldt.
Dit deel beschrijft hoe CHLs geïmporteerd en beheerd kunnen worden.
Voor achtergrond informatie, bekijk hoe validatie werkt.
Voor gedetailleerde beschrijvingen van CHL instellingen die u kunt controleren, bekijk geldigheidsinstellingen.
In dit deel: |
Het bladerprogramma gebruikt de CHLs die het ter beschikking heeft om de geldigheid van door de erbij horende COs uitgegeven certificaten te controleren. Indien een certificaat als herroepen in de lijst voorkomt zal het bladerprogramma het niet accepteren als identiteitsbewijs.
Een CO publiceert normaal gesproken regelmatig een actuele CHL. Elke CHL bevat een datum, gespecificeerd in het veld Volgende bijwerkingsdatum, waarop de CO de volgende bijwerking van die CHL zal publiceren. Over het algemeen dient u, indien de huidige datum recenter is dan de datum in het veld Volgende bijwerkingsdatum, de meest recente versie van de CHL moeten zien te verkrijgen. Om CHL informatie te bekijken en automatische CHL bijwerking in te stellen, bekijk CHLs beheren en bekijken.
COs zijn verplicht een nieuwe CHL te produceren op de gestelde Volgende bijwerkingsdatum. Echter, de afwezigheid van de meest recente CHL maakt een certificaat op zich niet ongeldig. Vanwege deze reden kan een certificaat gevalideerd worden, zelfs als de meest recente CHL het als verlopen vermeldt maar niet beschikbaar is. Automatische bijwerking van CHLs kan helpen deze situatie te vermijden.
U kunt de laatste CHL van een CO in uw bladerprogramma importeren. Om een CHL te importeren, volg deze stappen:
Het Importeerstatus dialoogvenster verschijnt.
Ja: Het Automatische CHL bijwerkingsvoorkeuren dialoogvenster verschijnt. In dit geval, ga verder naar stap 4.
Nee: Het Importeerstatus dialoogvenster sluit. Als u van gedachte verandert en besluit toch automatische bijwerkingen in te schakelen, bekijk CHLs beheren en bekijken.
U kunt aan het bladerprogramma beschikbare CHLs beheren en bekijken door middel van het instellen van voorkeuren voor de Geldigheid in het bladerprogramma:
Om een CHL bij te werken of te verwijderen, selecteer deze en klik de gewenste knop.
Om automatische bijwerking van een CHL in te stellen, selecteer de CHL en klik Instellingen. Het Automatische CHL bijwerkingsvoorkeuren dialoogvenster verschijnt:
De instellingen die OCSP controleren zijn onderdeel van de voorkeuren voor de Geldigheid . Om de voorkeuren voor de Geldigheid te bekijken, volg deze stappen:
Voor informatie over de beschikbare OCSP opties, bekijk OCSP.
[ Terug naar het begin van dit deel ]
Vertaald door Martijn Ras, 10 september 2002.