Hvad er en Certificate Authority (CA)?
En Certificate Authority (CA) er den instans, der udsteder digitale certifikater og med sin signatur garanterer, at certifikatets oplysninger er verificeret. CA'en er tillidsankeret i enhver PKI: Uden en betroet tredjepart til at stå inde for koblingen mellem nøgle og identitet ville et certifikat blot være en påstand, alle kunne fremsætte om sig selv.
Før en offentlig CA udsteder et certifikat, validerer den ansøgeren, fx ved at kontrollere, at I faktisk kontrollerer det domæne, certifikatet skal dække. Derefter signerer CA'en certifikatet med sin egen private nøgle, og den signatur kan alle efterprøve.
Hvordan virker tillidskæden?
Tillid er organiseret som en kæde. Øverst står en rod-CA, hvis certifikat ligger forudinstalleret i operativsystemer og browsere. Rod-CA'en signerer en eller flere udstedende CA'er (intermediates), som udsteder certifikaterne til servere og brugere. Når jeres browser møder et certifikat, følger den kæden opad, led for led, til den rammer en rod, den kender.
Konstruktionen har en praktisk pointe: Rod-CA'ens nøgle er så kritisk, at den holdes offline og typisk beskyttes i et HSM, mens de udstedende CA'er klarer det daglige arbejde. Kompromitteres et mellemled, kan det tilbagekaldes, uden at roden, og dermed hele tilliden, går tabt.
Offentlig CA eller jeres egen interne CA?
Offentlige CA'er som Let's Encrypt, DigiCert og Sectigo udsteder certifikater, som hele internettet stoler på, og de er underlagt strenge branchekrav. Dem bruger I til alt udadvendt: hjemmesider, API'er og mail.
Til interne behov driver mange virksomheder deres egen private CA, typisk med Active Directory Certificate Services (se Microsoft Learn). Den udsteder certifikater til domænemaskiner, Wi-Fi- og VPN-adgang og interne services, hvor kun jeres egne systemer behøver at stole på roden. Fordelen er kontrol og fleksibilitet; forpligtelsen er, at I selv overtager CA'ens ansvar: sikker nøgleopbevaring, dokumenterede processer og styr på certifikaternes livscyklus. Hvordan I griber det an i praksis, gennemgår vi i e-bogen PKI og HSM i praksis.
Hvad sker der, hvis en CA kompromitteres?
Får en angriber fat i en CA's private nøgle, kan vedkommende udstede gyldigt udseende certifikater for vilkårlige domæner og dermed udgive sig for at være enhver. Historien har eksempler på offentlige CA'er, der måtte lukke efter et kompromis, fordi al tillid til dem forsvandt. Derfor logges alle offentligt udstedte certifikater i dag i Certificate Transparency-logs, åbne registre hvor I kan opdage, hvis nogen udsteder certifikater for jeres domæner. Center for Cybersikkerhed fremhæver generelt beskyttelse af kritiske nøgler som et kerneelement i robust it-sikkerhed. For en intern CA gælder samme logik: Kompromitteres roden, skal hele hierarkiet bygges om, og alle certifikater genudstedes.
Sådan hjælper MI Support IT
Vi har mangeårig specialisterfaring med enterprise-PKI, fra design af CA-hierarkier og sikring af rodnøgler til daglig drift og fornyelse. Læs mere under PKI Management, eller kontakt os, hvis I vil have en vurdering af jeres CA-setup.