Digitale certifikater - definition, funktion og typer (X.509)

Lær hvad digitale certifikater (X.509) er, hvordan de sikrer identitet, kryptering og typer (Klasse 1–3) — alt om udstedelse, opbevaring og validering.

Digitale certifikater er elektroniske "kreditkort", som bekræfter dine legitimationsoplysninger, når du handler eller foretager andre transaktioner på nettet. De udstedes af en certificeringsmyndighed (CA). Det indeholder dit navn, et serienummer, udløbsdatoer, en kopi af certifikatindehaverens offentlige nøgle (som bruges til at kryptere meddelelser og digitale signaturer) og den certifikatudstedende myndigheds digitale signatur, så en modtager kan kontrollere, at certifikatet er ægte. Nogle digitale certifikater er i overensstemmelse med en standard, X.509. Digitale certifikater kan opbevares i registre, så autentificerende brugere kan slå op i andre brugeres offentlige nøgler.

Hvordan fungerer et digitalt certifikat?

Et digitalt certifikat binder en offentlig nøgle til en entitet (person, organisation eller enhed). Når en CA udsteder certifikatet, bekræfter den identiteten på den anmodende part efter en bestemt valideringsproces og signerer certifikatet med sin private nøgle. Modtageren kan så bruge CA'ens offentlige nøgle til at verificere signaturen og dermed sikre, at certifikatet er udstedt af en troværdig kilde og ikke er blevet ændret.

Struktur og typiske felter i et X.509-certifikat

• Version: angiver X.509-versionen (ofte v3).
• Serienummer: et unikt ID for certifikatet.
• Udsteder (Issuer): CA'ens navn.
• Emne (Subject): certifikatindehaverens navn/identitet.
• Gyldighedsperiode: start- og udløbsdato.
• Offentlig nøgle: certifikatindehaverens offentlige nøgle.
• Signaturalgoritme: algoritmen brugt af CA til at signere certifikatet.
• Extensions (udvidelser): X.509 v3-udvidelser som Subject Alternative Name (SAN), Key Usage, Extended Key Usage, Basic Constraints m.fl., som angiver certifikatets formål og begrænsninger.

Certifikatkæder og tillid

Et certifikat præsenteres ofte som en del af en kæde:

• Leaf/End-entity: det certifikat, som en webserver eller bruger præsenterer.
• Intermediates: mellemliggende CA-certifikater, som er signeret af en root eller en anden intermediate.
• Root CA: rodcertifikatet, ofte selvsigneret og placeret i en betroet rodliste (trust store) i browsere eller operativsystemer.

Modtageren stoler på et end-entity-certifikat, fordi kæden kan følges til et root-certifikat, som allerede er tillidshåndteret i systemet.

Typer og klassifikationer

Der findes flere måder at kategorisere certifikater på:

• Efter valideringsniveau (klassiske "klasser"):
  • Klasse 1: certifikater hvor valideringen typisk kun er baseret på et gyldigt e-mail-id; de har ingen eller begrænset juridisk gyldighed.
  • Klasse 2: kræver verifikation af identitet via en pålidelig, forudverificeret database eller supplerende dokumentation.
  • Klasse 3: kræver ofte personlig fremmøde hos registreringsmyndigheden for at bevise identiteten (højere sikkerhed).
• Efter formål: TLS/SSL (webservere), S/MIME (krypteret e-mail), code signing (signering af software), client authentication (brugergodkendelse), osv.
• Web-certifikater i praksis: moderne web-CAs bruger betegnelser som Domain Validation (DV), Organization Validation (OV) og Extended Validation (EV). Disse svarer delvist til klassernes idé om valideringsniveau, men styres i praksis af CA/Browser Forum-politikker.

Ophævelse og gyldighed

Et certifikat kan blive ugyldigt før udløbsdatoen, fx hvis den private nøgle kompromitteres eller hvis oplysningerne ændrer sig. Metoder til at tjekke ophævelse omfatter:

• CRL (Certificate Revocation List): liste over ophævede certifikater udgivet af CA.
• OCSP (Online Certificate Status Protocol): forespørgsel til CA eller en OCSP-responder for at få realtidsstatus.
• OCSP stapling: webservere kan "staple" et frisk OCSP-svar til TLS-håndtrykket for bedre ydeevne og privatliv.

Anvendelser

• HTTPS/TLS: sikrer kryptering og serverautentifikation for webtrafik.
• S/MIME: krypterer og signerer e-mails.
• Code signing: verificerer ægtheden og integriteten af software og drivere.
• Client authentication: brugercertifikater til at autentificere personer eller enheder ved logind.
• VPN og IoT: certifikater bruges ofte til at sikre forbindelser og enhedsidentitet i netværk.

Opbevaring, registrering og drift

Certifikater og nøgler kan opbevares i softwarekeystores, hardware-sikkerhedsenheder (HSM), smartcards eller TPM'er. Organisationer kan have egne interne CAs (privat PKI) til interne behov, mens offentligt betroede CAs bruges for internetrettede tjenester.

Sikkerhedsaspekter og bedste praksis

• Brug stærke nøgler og moderne signaturalgoritmer (f.eks. RSA 2048+/ECC).
• Overvåg certifikatudløb og automatisér fornyelse (fx via ACME-protokollen som Let’s Encrypt bruger).
• Opbevar private nøgler sikkert (HSM eller andet betroet lager).
• Implementer revokationskontrol (OCSP/CRL) og overvej OCSP-stapling for webservere.
• Følg CA/Browser Forum-retningslinjer og anvend Certificate Transparency for offentlige webcertifikater.

Digitale certifikater er en grundpille i moderne sikker kommunikation. Korrekt udstedelse, håndtering og revokation er afgørende for at bevare både sikkerhed og tillid i digitale tjenester.

Spørgsmål og svar

Q: Hvad er digitale certifikater?

Q: Hvem udsteder digitale certifikater?

Spørgsmål: Hvilke oplysninger indeholder et digitalt certifikat?

Spørgsmål: Hvad er X.509?

Spørgsmål: Hvilke klasser af digitale certifikater findes der?

Spørgsmål: Hvad er et digitalt klasse 1-certifikat?

Spørgsmål: Hvad er et digitalt certifikat i klasse 3?

Søg efter bogstav