Wat is een digitaal certificaat en wat doet het?

Een digitaal certificaat is een elektronisch document dat de identiteit van een website, organisatie of persoon online verifieert. Het wordt uitgegeven door een vertrouwde Certificate Authority (CA) en koppelt een publieke sleutel aan de identiteit van een entiteit. Dit maakt versleutelde communicatie mogelijk en bevestigt dat je verbinding maakt met een legitieme, geverifieerde bron.

Wat is de relatie tussen digitale certificaten en VPN-beveiliging?

VPN's gebruiken digitale certificaten om servers en clients te authenticeren voordat een versleutelde tunnel tot stand wordt gebracht. Wanneer je verbinding maakt met een VPN, verifiëren certificaten dat de server echt is en niet nep, waardoor man-in-the-middle-aanvallen worden voorkomen. Veel zakelijke VPN's vereisen ook clientcertificaten om te bevestigen dat alleen geautoriseerde gebruikers en apparaten toegang krijgen.

Wat is het verschil tussen een digitaal certificaat en een digitale handtekening?

Een digitaal certificaat is een legitimatiebewijs dat identiteit bewijst en een publieke sleutel bevat, terwijl een digitale handtekening een cryptografische stempel is die op gegevens wordt geplaatst om te verifiëren dat er niet mee is geknoeid. Zie het certificaat als je identiteitskaart en de digitale handtekening als je geverifieerde handgeschreven handtekening op een document.

Wat gebeurt er wanneer een digitaal certificaat verloopt of wordt ingetrokken?

Wanneer een certificaat verloopt of door zijn Certificate Authority wordt ingetrokken, markeren browsers en beveiligingssystemen de verbinding als onbetrouwbaar. Dit resulteert vaak in een waarschuwing of volledige blokkering van de toegang. Bij VPN's kan een verlopen certificaat voorkomen dat gebruikers verbinding kunnen maken. Certificaten worden doorgaans ingetrokken wanneer privésleutels zijn gecompromitteerd of wanneer de gegevens van een organisatie zijn gewijzigd.

Digital Certificate

Digitaal Certificaat: Het Identiteitsbewijs van het Internet

Wanneer je verbinding maakt met een website, software downloadt of een VPN-tunnel tot stand brengt, hoe weet je dan zeker dat je communiceert met wie je denkt? Dat is precies het probleem dat digitale certificaten oplossen. Zie ze als een paspoort voor het internet — een officieel document dat bewijst dat een entiteit werkelijk is wie ze beweert te zijn.

Wat Is een Digitaal Certificaat?

Een digitaal certificaat is een elektronisch bestand dat een publieke cryptografische sleutel koppelt aan een identiteit — of dat nu een website, een bedrijf, een server of een individuele gebruiker is. Certificaten worden uitgegeven en ondertekend door een vertrouwde derde partij, de zogenaamde Certificate Authority (CA), zoals DigiCert, Let's Encrypt of GlobalSign.

Wanneer een CA een certificaat ondertekent, staat deze in feite borg voor de identiteit van de houder ervan. Je browser, besturingssysteem en VPN-client bevatten allemaal een ingebouwde lijst met vertrouwde CA's. Als een certificaat overeenkomt met die lijst, wordt de verbinding als legitiem beschouwd.

Hoe Werkt een Digitaal Certificaat?

Digitale certificaten functioneren binnen een breder systeem dat Public Key Infrastructure (PKI) wordt genoemd. Dit is de vereenvoudigde werking:

Een server of website genereert een sleutelpaar — een publieke sleutel (openbaar gedeeld) en een privésleutel (geheim gehouden).
De server dient een Certificate Signing Request (CSR) in bij een Certificate Authority, inclusief de publieke sleutel en identiteitsgegevens (zoals een domeinnaam).
De CA verifieert de identiteit en geeft een ondertekend certificaat uit dat de publieke sleutel, de identiteitsgegevens, een vervaldatum en de eigen digitale handtekening van de CA bevat.
Wanneer je verbinding maakt, presenteert de server zijn certificaat. Je browser of client controleert de handtekening van de CA en verifieert of het certificaat niet is verlopen of ingetrokken.
Als alles klopt, begint er een versleutelde sessie — bijvoorbeeld via TLS — en verschijnt het slotpictogram in de adresbalk van je browser.

De handtekening van de CA is wat dit systeem betrouwbaar maakt. Het vervalsen ervan zonder de privésleutel van de CA is rekenkundig onhaalbaar, waardoor dit systeem dagelijks op miljarden verbindingen kan werken.

Waarom Digitale Certificaten Belangrijk Zijn voor VPN-gebruikers

VPN's zijn sterk afhankelijk van digitale certificaten voor twee cruciale functies: authenticatie en het opzetten van versleuteling.

Authenticatie zorgt ervoor dat je VPN-client daadwerkelijk verbinding maakt met de server van je VPN-aanbieder — en niet met een namaakserver. Zonder certificaatverificatie zou een kwaadwillende partij een man-in-the-middle-aanval kunnen uitvoeren, waarbij deze zich tussen jou en de VPN-server invoegt terwijl ze beide partijen nabootst. Je zou denken dat je versleuteld en privé bent, terwijl je verkeer volledig zichtbaar zou zijn.

Het opzetten van versleuteling is de andere kernfunctie. Protocollen als OpenVPN en IKEv2 gebruiken certificaten tijdens de handshakefase om versleutelingssleutels veilig te onderhandelen. Het certificaat bewijst de identiteit van de server voordat er een gevoelige sleuteluitwisseling plaatsvindt.

Sommige zakelijke VPN-configuraties maken ook gebruik van clientcertificaten — wat betekent dat je apparaat ook een certificaat aan de server moet tonen voordat je verbinding mag maken. Dit voegt een sterke laag toegangscontrole toe, bovenop enkel gebruikersnamen en wachtwoorden.

Praktische Voorbeelden

HTTPS-websites: Elke keer dat je `https://` en een slotpictogram ziet, is er een digitaal certificaat in werking — uitgegeven voor dat domein en geverifieerd door een CA die je browser vertrouwt.
OpenVPN-implementaties: OpenVPN gebruikt standaard TLS-certificaten om zowel de server als optioneel elke client te authenticeren. Verkeerd geconfigureerde of zelfondertekende certificaten zonder correcte verificatie vormen een bekend beveiligingsrisico.
Zakelijke VPN's: Veel bedrijven zetten interne Certificate Authorities in om certificaten uit te geven voor apparaten van medewerkers, zodat alleen beheerde hardware toegang kan krijgen tot het bedrijfsnetwerk.
Codeondertekening: Softwareontwikkelaars ondertekenen hun applicaties met certificaten, zodat je besturingssysteem kan verifiëren dat de code niet is gemanipuleerd sinds de publicatie ervan.

Belangrijke Beperkingen

Digitale certificaten zijn slechts zo betrouwbaar als de CA die ze heeft uitgegeven. Als een CA wordt gecompromitteerd — zoals bij DigiNotar in 2011 — kunnen er frauduleuze certificaten worden uitgegeven voor grote domeinen, wat grootschalige onderschepping mogelijk maakt. Daarom bestaan er tegenwoordig Certificate Transparency (CT)-logs: openbare, alleen-toevoegen registers van elk uitgegeven certificaat, waardoor het veel moeilijker wordt om malafide certificaten te verbergen.

Certificaten verlopen ook. Een verlopen certificaat is op zich niet per se gevaarlijk, maar het is wel een waarschuwingssignaal dat het onderhoud mogelijk te wensen overlaat.

Inzicht in digitale certificaten helpt je te begrijpen waarom de keuze van VPN-protocol, een correcte configuratie en de betrouwbaarheid van je aanbieder er allemaal toe doen — beveiliging is immers niet sterker dan de zwakste schakel in de keten.

Digital CertificateGemiddeld