Certificate authority

Een certificate authority (CA) is een vertrouwde derde partij die digitale certificaten uitgeeft, beheert en intrekt. Deze certificaten bevestigen de identiteit van websites, servers, organisaties en personen op internet. Wanneer je een website bezoekt met HTTPS in de adresbalk, vertrouw je op een certificaat dat is uitgegeven door een CA. De CA garandeert dat de website daadwerkelijk is wie hij beweert te zijn, en dat de verbinding versleuteld is via TLS.

Certificate authorities vormen de basis van de Public Key Infrastructure (PKI), het systeem dat veilige communicatie op internet mogelijk maakt. Zonder CA's zou je bij elk websitebezoek zelf moeten verifieren of je met de juiste server communiceert. De CA neemt die verificatie van je over. Bekende certificate authorities zijn DigiCert, Let's Encrypt, Sectigo en GlobalSign. In Nederland is ook PKIoverheid relevant, het stelsel van de Nederlandse overheid voor betrouwbare digitale communicatie.

Hoe werkt een certificate authority?

Het proces begint wanneer een organisatie een digitaal certificaat aanvraagt bij een CA. De aanvrager genereert een sleutelpaar: een publieke sleutel die gedeeld wordt en een private sleutel die geheim blijft. De publieke sleutel wordt samen met organisatiegegevens verpakt in een Certificate Signing Request (CSR) en naar de CA gestuurd.

De CA verifieert vervolgens de identiteit van de aanvrager. Bij een Domain Validation (DV) certificaat controleert de CA alleen of de aanvrager het domein beheert, bijvoorbeeld via een DNS-record of e-mailbevestiging. Bij Organization Validation (OV) verifieert de CA ook de bedrijfsgegevens. Bij Extended Validation (EV) vindt een uitgebreide controle plaats van de juridische identiteit, het fysieke adres en de operationele status van de organisatie.

Na succesvolle verificatie ondertekent de CA het certificaat met haar eigen private sleutel. Dit creert een keten van vertrouwen: je browser vertrouwt de root-CA, de root-CA vertrouwt de intermediate CA, en de intermediate CA heeft het certificaat van de website ondertekend. Deze chain of trust zorgt ervoor dat je browser het groene slotje toont en de verbinding als veilig markeert.

Certificaten hebben een beperkte geldigheid. Traditioneel was dit een tot twee jaar, maar Let's Encrypt introduceerde certificaten met een geldigheid van 90 dagen. In 2025 pushen Google en Apple om de maximale geldigheid verder te verkorten, wat automatische certificaatvernieuwing noodzakelijk maakt. Wanneer een certificaat verloopt of gecompromitteerd raakt, kan de CA het intrekken via een Certificate Revocation List (CRL) of het Online Certificate Status Protocol (OCSP).

Wanneer heb je een certificate authority nodig?

Je hebt een CA nodig zodra je veilige, vertrouwde communicatie wilt opzetten. Het meest voorkomende scenario is het beveiligen van een website met HTTPS. Elke website die gebruikersgegevens verwerkt, loginformulieren heeft of betalingen afhandelt, moet een SSL/TLS-certificaat hebben van een vertrouwde CA. Zonder certificaat toont de browser een waarschuwing die bezoekers afschrikt.

Maar CA's zijn niet beperkt tot websites. Je hebt ze ook nodig voor het beveiligen van e-mailcommunicatie via S/MIME, het ondertekenen van software om de integriteit te garanderen, het authenticeren van VPN-verbindingen, en het beveiligen van API-communicatie tussen systemen. In IoT-omgevingen worden certificaten steeds vaker gebruikt om de identiteit van apparaten te verifieren.

Organisaties die onder strenge compliance-eisen vallen, hebben vaak een eigen interne CA nodig. Dit stelt je in staat om certificaten uit te geven voor intern gebruik zonder afhankelijk te zijn van externe partijen. Denk aan certificaten voor interne websites, code signing, en client authentication. Microsoft Active Directory Certificate Services is een veelgebruikte oplossing voor interne CA-functionaliteit.

Vanaf mei 2026 stoppen publieke CA's met het ondersteunen van TLS client authentication vanwege nieuwe regels van Chrome's root program. Organisaties die hierop vertrouwen, moeten overstappen op private CA's voor gebruikers-, apparaat- en applicatieauthenticatie. Dit maakt het plannen van je certificaatstrategie urgenter dan ooit.

Voordelen en beperkingen van een certificate authority

Het grootste voordeel van CA's is het creeren van een gestandaardiseerd vertrouwensmodel op internet. Zonder CA's zou elke organisatie zelf moeten bewijzen dat ze betrouwbaar is, zonder een onafhankelijke partij die dit bevestigt. CA's maken encryptie en authenticatie schaalbaar voor miljarden verbindingen dagelijks.

Een tweede voordeel is de diversiteit aan certificaattypen. Van gratis DV-certificaten via Let's Encrypt voor kleine websites tot EV-certificaten voor organisaties die maximale identiteitsverificatie willen bieden. Je kunt het certificaatniveau afstemmen op je risicoprofiel en de verwachtingen van je gebruikers.

De beperkingen zijn echter reeel. Het hele systeem rust op vertrouwen. Als een CA wordt gecompromitteerd, kunnen aanvallers valse certificaten uitgeven voor willekeurige domeinen. Het incident met DigiNotar in 2011, een Nederlandse CA die werd gehackt, toonde hoe kwetsbaar dit systeem is. De hack leidde tot het uitgeven van frauduleuze certificaten voor Google-domeinen en had directe gevolgen voor de veiligheid van Iraanse internetgebruikers.

Een andere beperking is de operationele complexiteit van certificaatbeheer. Organisaties met honderden of duizenden certificaten lopen het risico op verloop en uitval als certificaten niet tijdig worden vernieuwd. Certificate lifecycle management-tools zijn essentieel voor grotere omgevingen. De trend naar kortere certificaatlooptijden verhoogt de noodzaak van automatisering via protocols als ACME.

Het vertrouwensmodel heeft ook een fundamentele beperking: een DV-certificaat bewijst alleen dat de aanvrager het domein beheert, niet dat de organisatie legitiem is. Phishing-websites kunnen legitieme DV-certificaten hebben. Het groene slotje betekent dat de verbinding versleuteld is, niet dat de website betrouwbaar is. Dit onderscheid is belangrijk voor je gebruikerscommunicatie.

Veelgestelde vragen over certificate authorities

Wat is het verschil tussen een publieke en private CA?

Een publieke CA geeft certificaten uit die door alle browsers en besturingssystemen worden vertrouwd. Een private CA geeft certificaten uit voor intern gebruik die alleen worden vertrouwd door systemen die je zelf configureert. Publieke CA's zijn voor externe communicatie, private CA's voor interne systemen.

Is Let's Encrypt betrouwbaar voor zakelijk gebruik?

Ja, Let's Encrypt is een volwaardige publieke CA die breed wordt vertrouwd. Het biedt gratis DV-certificaten met automatische vernieuwing. Voor websites die geen uitgebreide organisatieverificatie nodig hebben, is het een uitstekende keuze. Voor EV-certificaten moet je bij een commerciele CA zijn.

Hoe voorkom je dat certificaten ongemerkt verlopen?

Gebruik certificate management-tools die automatisch waarschuwen wanneer certificaten bijna verlopen. Implementeer automatische vernieuwing via het ACME-protocol waar mogelijk. Houd een centraal register bij van alle actieve certificaten met verloopdata en verantwoordelijke beheerders.

Wat gebeurde er bij de DigiNotar-hack?

In 2011 werd de Nederlandse CA DigiNotar gehackt, waardoor aanvallers valse certificaten konden uitgeven voor domeinen als google.com. Dit werd gebruikt om Iraans internetverkeer te onderscheppen. Het incident leidde tot het faillissement van DigiNotar en strengere eisen aan CA's wereldwijd.

Hoe lang is een SSL-certificaat geldig?

De maximale geldigheid is momenteel 398 dagen voor publieke certificaten. Let's Encrypt geeft certificaten uit met een geldigheid van 90 dagen. Google en Apple pushen om de maximale geldigheid verder te verkorten. Kortere looptijden verbeteren de beveiliging maar vereisen automatisering van het vernieuwingsproces.

Vergelijk aanbieders van PKI-oplossingen op Data Security op IBgidsNL.