Certifikatutfärdare

Certifikatutfärdare (eng: Certificate authority, CA) är, inom kryptografin, någon som utfärdar digitala certifikat. Ett digitalt certifikat intygar att det som namnges i certifikatet är ägare av en viss publik nyckel. Detta gör att andra parter kan lita på signaturer eller påståenden som görs av den privata nyckel som hör ihop med den publika nyckel som certifikatet verifierar. Detta är en av grundstenarna till många Public key infrastructure-system.

Kommersiella certifikatutfärdare tar betalt för certifikat som automatiskt är betrodda av de flesta moderna webbläsarna.

Utöver de kommersiella utfärdarna finns det organisationer som utfärdar publika certifikat utan kostnad och större institutioner och myndigheter som har sina egna certifikatutfärdare, exempelvis CAcert.

Domänverifiering

Kommersiella certifikatutfärdare som utfärdar certifikat för till exempel e-postservrar och HTTPS-servrar använder vanligtvis en teknik som kallas domänverifiering (eng: Domain validation, DV) för att bekräfta att den som vill ha ett certifikat utfärdat faktiskt äger den domän som man ansöker om. Genom att skicka e-post till en administrativ e-postadress som postmaster@domain.tld eller root@domain.tld så antar man att det bara är ägaren av domänen som kan läsa de meddelanden som skickas till en administrativ adress.

Den här typen av verifiering brister en del i säkerhet. En person, särskilt i närheten av mottagaren eller sändaren, kan ha möjlighet att läsa av e-posttrafiken och därmed komma åt de meddelanden som certifikatutfärdaren skickar. Utöver detta finns det möjlighet till attacker på protokoll som e-postsystemet utnyttjar som tex DNS, TCP och BGP.[1]

Utökad verifiering

En del certifikatutfärdare erbjuder utöver domänverifiering också certifikat med utökad verifiering (eng: Extended validation, EV) som innebär att ett visst antal kriterier måste vara uppfyllda för att certifikatet skall kunna utfärdas. Certifikatutfärdaren måste därför bland annat kunna fastställa vilken juridisk person som ansöker om certifikatet och bekräfta att den som ansöker om certifikat är den enda ägaren till domänen.

En domän som är verifierad enligt principen om utökad verifiering får i de flesta moderna webbläsare sitt juridiska namn publicerat i adressfältet om kommunikationen är säkrad med HTTPS.[2]

Utfärdare

Den största marknaden för certifikatutfärdare är SSL-certifikat då många andra typer av certifikat ofta är knutna till lokala, regionala eller nationella myndigheter. I en rapport av företaget Netcraft från 2009 anges de största aktörerna inom marknaden för SSL-certifikat till Verisign (inkl. uppköp av Thawte och Geotrust) med 47,5 %, Godaddy med 23,4 % och Comodo med 15,44 %.[3]

Sverige

Lagen (2000:832) om kvalificerade elektroniska signaturer gäller sådana certifikatutfärdare som är etablerade i Sverige och som utfärdar kvalificerade certifikat till allmänheten.[4] En certifikatutfärdare som avser att utfärda kvalificerade certifikat till allmänheten är skyldig att anmäla detta hos Post- och telestyrelsen, som är tillsynsmyndighet.[4]

För att ett certifikat skall få kallas kvalificerat skall det vara utfärdat för viss tid av en certifikatutfärdare, som uppfyller krav och följer meddelade föreskrifter enligt 6 §.[4] En certifikatutfärdare som till allmänheten utfärdar certifikat som anges vara kvalificerade kan bli skadeståndsskyldig. Certifikatutfärdaren är dock inte skyldig att betala ersättning om utfärdaren kan visa att skadan inte har orsakats av vårdslöshet hos utfärdaren själv. Certifikatutfärdaren är inte heller ersättningsskyldig för en skada som härrör från att ett kvalificerat certifikat använts i strid med begränsningar som gäller användningsområde eller transaktionsbelopp och som tydligt angetts i certifikatet.[4] En certifikatutfärdare som utfärdar certifikat till allmänheten får inhämta personuppgifter endast direkt från den som uppgifterna avser eller med dennes uttryckliga samtycke och endast i den utsträckning som är nödvändig för att utfärda eller upprätthålla ett certifikat. Uppgifterna får inte samlas in eller behandlas för andra ändamål utan uttryckligt samtycke från den som uppgifterna avser.[4]

Tillsynsmyndigheten får meddela de förelägganden och förbud som behövs för efterlevnaden av lagen.[4]

Tillsynsmyndighetens beslut får överklagas hos allmän förvaltningsdomstol.[4]

Post- och telestyrelsen får föreskriva att den som bedriver verksamhet som är anmäld enligt 8 § lagen (2000:832) om kvalificerade elektroniska signaturer skall betala en årlig avgift om högst 5 000 kr.[4]

Jämför

Källor

Den här artikeln är helt eller delvis baserad på material från engelskspråkiga Wikipedia.

Referenser

Media som används på denna webbplats

Ambox outdated serious.svg
An outdated clock with a serious icon