Dela via

Förtroendehierarki

  • Artikel

För att digitala certifikat vara effektiva måste certifikatanvändare ha ett stort förtroende för dem. Det finns fall där en användare inte litar på utfärdaren av ett certifikat. Detta kan inträffa om certifikatanvändaren aldrig har hört talas om certifikatutfärdare och därför är obekväm med att acceptera ett certifikat från utfärdaren till nominellt värde. Det här problemet åtgärdas i certifieringsprocessen av en förtroendehierarki.

En förtroendehierarki börjar med minst en certifikatutfärdare som är betrodd av alla entiteter i certifikatkedjan. Detta kan vara en intern certifikatutfärdaradministratör eller ett externt företag eller en organisation som är specialiserad på att verifiera identiteter och utfärda certifikat. Den här utfärdaren kallas rotutfärdarutfärdarna. Rotutfärdare certifierar sedan andra certifikatutfärdare, så kallade certifikatutfärdare på första nivån, som sedan kan utfärda certifikat och även certifiera ytterligare eller andra nivåns certifikatutfärdare. Den här situationen visas i följande bild.

förtroendehierarki

Identiteten för certifikatutfärdare som utfärdar ett certifikat ingår i ett certifikat. Certifikatutfärdaren kallas certifikatutfärdaren. När utfärdaren av ett certifikat är en certifikatutfärdare på nivå 1 eller nivå 2 kan certifikatmottagaren avgöra om certifikatets utfärdare certifieras som en giltig certifikatutfärdare av en certifikatutfärdare på en nivå ovanför certifikatutfärdaren och att certifikatutfärdaren på högre nivå certifieras som giltig certifikatutfärdare av en certifikatutfärdare på högre nivå tills det fastställs att det finns en förtroendekedja mellan den lägsta nivån certifikatutfärdare och rotcertifikatutfärdare.

I föregående bild kan det till exempel verifieras att CA #4 har certifierats som certifikatutfärdare av CA #1 och att CA #1 har certifierats som certifikatutfärdare av rotcertifikatutfärdare. När ett certifikat från en certifikatutfärdare på lägre nivå skickas tillsammans med det krypterade meddelandet skickas information om alla certifikat i dess förtroendekedja fram till roten tillsammans med det.

Bilden och beskrivningen som just presenteras är konceptuell. I verkligheten utvecklas certifikatutfärdarsituationen och ingen enskild rotutfärdare har upprättats eller godkänts. På kort sikt kommer myndighetsöarna att utvecklas enligt följande bild.

myndighetsöarna i en förtroendehierarki

Med tiden kan rotöarna, Rot 1 och Rot 2 i bilden, bli certifikatutfärdare på nivå 1 till en enda rotcertifikatutfärdare. Då skulle situationen återigen ha en enda rotutfärdare. Det återstår att se hur den faktiska bilden kommer att utvecklas.