Vad är ett digitalt certifikat och vad gör det?

Ett digitalt certifikat är ett elektroniskt dokument som verifierar identiteten hos en webbplats, organisation eller person online. Det utfärdas av en betrodd Certificate Authority (CA) och kopplar en offentlig nyckel till en aktörs identitet, möjliggör krypterad kommunikation och bekräftar att du ansluter till en legitim, autentiserad källa.

Hur hänger digitala certifikat ihop med VPN-säkerhet?

VPN använder digitala certifikat för att autentisera servrar och klienter innan en krypterad tunnel upprättas. När du ansluter till ett VPN verifierar certifikaten att servern är äkta och inte en bedragare, vilket förhindrar man-in-the-middle-attacker. Många företags-VPN kräver också klientcertifikat för att bekräfta att enbart behöriga användare och enheter får åtkomst.

Vad är skillnaden mellan ett digitalt certifikat och en digital signatur?

Ett digitalt certifikat är en legitimationshandling som bevisar identitet och innehåller en offentlig nyckel, medan en digital signatur är ett kryptografiskt stämpel som appliceras på data för att verifiera att den inte har manipulerats. Tänk på certifikatet som ditt ID-kort och den digitala signaturen som din verifierade namnteckning på ett dokument.

Vad händer när ett digitalt certifikat löper ut eller återkallas?

När ett certifikat löper ut eller återkallas av sin Certificate Authority flaggar webbläsare och säkerhetssystem anslutningen som opålitlig, och visar ofta en varning eller blockerar åtkomsten helt. För VPN kan ett utgånget certifikat förhindra användare från att ansluta. Certifikat återkallas vanligtvis när privata nycklar har komprometterats eller en organisations uppgifter förändras.

Digital Certificate

Digitalt certifikat: Internets bevis på identitet

När du ansluter till en webbplats, laddar ner programvara eller upprättar en VPN-tunnel — hur vet du att du verkligen kommunicerar med den du tror? Det är det problemet digitala certifikat löser. Tänk på dem som ett pass för internet — ett officiellt dokument som bevisar att en part verkligen är den den utger sig för att vara.

Vad är ett digitalt certifikat?

Ett digitalt certifikat är en elektronisk fil som knyter en offentlig kryptografisk nyckel till en identitet — oavsett om det gäller en webbplats, ett företag, en server eller en enskild användare. Certifikat utfärdas och signeras av en betrodd tredje part som kallas certifikatutfärdare (CA), till exempel DigiCert, Let's Encrypt eller GlobalSign.

När en CA signerar ett certifikat går den i praktiken i god för identiteten hos den som innehar det. Din webbläsare, ditt operativsystem och din VPN-klient har alla en inbyggd lista över betrodda CA:er. Om ett certifikat stämmer överens med den listan anses anslutningen vara legitim.

Hur fungerar ett digitalt certifikat?

Digitala certifikat fungerar inom ett bredare system kallat Public Key Infrastructure (PKI). Här är det förenklade flödet:

En server eller webbplats genererar ett nyckelpar — en offentlig nyckel (som delas öppet) och en privat nyckel (som hålls hemlig).
Servern skickar en Certificate Signing Request (CSR) till en certifikatutfärdare, inklusive sin offentliga nyckel och identitetsinformation (till exempel ett domännamn).
CA:en verifierar identiteten och utfärdar ett signerat certifikat som innehåller den offentliga nyckeln, identitetsuppgifterna, ett utgångsdatum och CA:ens egen digitala signatur.
När du ansluter presenterar servern sitt certifikat. Din webbläsare eller klient kontrollerar CA:ens signatur och verifierar att certifikatet varken har löpt ut eller återkallats.
Om allt stämmer inleds en krypterad session — till exempel via TLS — och du ser hänglåsikonen i webbläsarens adressfält.

CA:ens signatur är det som gör systemet tillförlitligt. Att förfalska den utan CA:ens privata nyckel är beräkningsmässigt omöjligt, vilket är anledningen till att detta system fungerar i stor skala för miljarder anslutningar dagligen.

Varför digitala certifikat är viktiga för VPN-användare

VPN-tjänster är starkt beroende av digitala certifikat för två kritiska funktioner: autentisering och krypteringsetablering.

Autentisering säkerställer att din VPN-klient faktiskt ansluter till din VPN-leverantörs server — och inte till en bedragare. Utan certifikatverifiering kan en illvillig aktör genomföra en man-in-the-middle-attack och placera sig mellan dig och VPN-servern medan den låtsas vara båda parter. Du skulle tro att du är krypterad och privat, men din trafik skulle vara helt exponerad.

Krypteringsetablering är den andra viktiga funktionen. Protokoll som OpenVPN och IKEv2 använder certifikat under handskaningsfasen för att på ett säkert sätt förhandla fram krypteringsnycklar. Certifikatet bevisar serverns identitet innan något känsligt nyckelutbyte sker.

En del VPN-lösningar för företag använder också klientcertifikat — vilket innebär att din enhet måste presentera ett certifikat för servern innan du tillåts ansluta. Detta lägger till ett starkt lager av åtkomstkontroll utöver enbart användarnamn och lösenord.

Praktiska exempel

HTTPS-webbplatser: Varje gång du ser `https://` och ett hänglås är ett digitalt certifikat i funktion, utfärdat för den domänen och verifierat av en CA som din webbläsare litar på.
OpenVPN-driftsättningar: OpenVPN använder TLS-certifikat som standard för att autentisera både servern och, valfritt, varje klient. Felkonfigurerade eller självsignerade certifikat utan korrekt verifiering är en känd säkerhetsrisk.
Företags-VPN: Många företag driftsätter interna certifikatutfärdare för att utfärda certifikat till anställdas enheter, vilket säkerställer att endast hanterad maskinvara kan komma åt företagets nätverk.
Kodsignering: Mjukvaruutvecklare signerar sina applikationer med certifikat så att ditt operativsystem kan verifiera att koden inte har manipulerats sedan den publicerades.

Begränsningar att känna till

Digitala certifikat är bara lika tillförlitliga som den CA som utfärdade dem. Om en CA komprometteras — som hände med DigiNotar 2011 — kan bedrägliga certifikat utfärdas för stora domäner, vilket möjliggör storskalig avlyssning. Det är därför Certificate Transparency (CT)-loggar nu existerar: offentliga register som bara kan utökas och som innehåller alla utfärdade certifikat, vilket gör det mycket svårare att dölja oseriösa certifikat.

Certifikat löper också ut. Ett utgånget certifikat är inte nödvändigtvis farligt i sig, men det är ett varningstecken på att korrekt underhåll kan saknas.

Att förstå digitala certifikat hjälper dig att förstå varför valet av VPN-protokoll, korrekt konfiguration och leverantörens tillförlitlighet spelar roll — säkerhet är aldrig starkare än den svagaste länken i kedjan.

Digital CertificateMedel