Vertrouwenshiërarchie
Voor digitale certificaten effectief te zijn, moeten gebruikers van certificaten een hoog vertrouwensniveau hebben. Er zijn gevallen waarin een gebruiker de uitgever van een certificaat niet vertrouwt. Dit kan gebeuren als de certificaatgebruiker nog nooit van de certificeringsinstantie heeft gehoord en daarom niet tevreden is met het accepteren van een certificaat van die verlener tegen nominale waarde. Dit probleem wordt opgelost in het certificeringsproces door een vertrouwenshiërarchie.
Een vertrouwenshiërarchie begint met ten minste één certificeringsinstantie die wordt vertrouwd door alle entiteiten in de certificaatketen. Dit kan een interne certificeringsinstantiebeheerder of een extern bedrijf of een externe organisatie zijn die is gespecialiseerd in het verifiëren van identiteiten en het verlenen van certificaten. Deze instantie wordt de hoofdinstantiegenoemd. De basisinstantie certificeert vervolgens andere certificeringsinstanties, die certificeringsinstanties van de eerste laag worden genoemd, die vervolgens certificaten kunnen uitgeven en ook aanvullende of tweede certificeringsinstanties kunnen certificeren. Deze situatie wordt weergegeven in de volgende afbeelding.
De identiteit van de certificeringsinstantie die een certificaat uitgeeft, maakt deel uit van een certificaat. Deze certificeringsinstantie wordt de verlener van het certificaat genoemd. Wanneer de verlener van een certificaat een certificeringsinstantie van laag 1 of laag 2 is, kan de ontvanger van dat certificaat bepalen of de verlener van het certificaat is gecertificeerd als een geldige certificeringsinstantie door een certificeringsinstantie op een niveau erboven en dat de certificeringsinstantie op hoger niveau is gecertificeerd als een geldige certificeringsinstantie door nog steeds een certificeringsinstantie op een hoger niveau totdat wordt vastgesteld dat er een vertrouwensketen bestaat tussen het laagste niveau certificeringsinstantie en de basiscertificeringsinstantie.
In de vorige afbeelding kan bijvoorbeeld worden gecontroleerd of CA #4 is gecertificeerd als certificeringsinstantie door CA #1 en dat CA #1 is gecertificeerd als certificeringsinstantie door de basis-CA. Wanneer een certificaat van een certificeringsinstantie op een lager niveau samen met het versleutelde bericht wordt doorgegeven, wordt informatie over alle certificaten in de vertrouwensketen tot aan de hoofdmap doorgegeven.
De afbeelding en beschrijving die u zojuist hebt gepresenteerd, zijn conceptueel. In de praktijk ontwikkelt de situatie van de certificeringsinstantie zich en is er geen enkele basisinstantie vastgesteld of geaccepteerd. Op korte termijn zullen eilanden van autoriteit zich ontwikkelen, zoals wordt weergegeven in de volgende afbeelding.
Op tijd kunnen de hoofdeilanden, Root 1 en Root 2 in de afbeelding laag 1 CA's worden tot één basis-CA. Op dat moment zou de situatie weer één basisinstantie hebben. Het blijft te zien hoe het werkelijke beeld zich zal ontwikkelen.