I kryptografi er en sertifiseringsmyndighet (CA eller CA for Certificate Authority på engelsk) en klarert tredjepart som tillater identiteten til korrespondenter å bli godkjent. En sertifiseringsmyndighet utsteder sertifikater som beskriver digitale identiteter og gir midler for å verifisere gyldigheten av sertifikatene den har gitt.
Tjenestene til sertifiseringsmyndigheter brukes hovedsakelig i sammenheng med å sikre digital kommunikasjon via Transport Layer Security (TLS) -protokoll som brukes for eksempel for å sikre webkommunikasjon ( HTTPS ) eller e-post (SMTP, POP3, IMAP ... over TLS)), som samt for å sikre digitale dokumenter (for eksempel ved hjelp av avanserte elektroniske signaturer som PAdES for PDF-dokumenter, eller via S / MIME- protokollen for e-post).
Moderne nettlesere integrerer naturlig en liste over sertifikater fra forskjellige sertifiseringsinstanser valgt i henhold til interne regler definert av nettleserutviklerne.
Når en fysisk eller juridisk person ønsker å sette opp en webserver ved hjelp av HTTPS-kommunikasjon sikret med TLS, genererer den en offentlig nøkkel , en privat nøkkel og sender deretter en av disse sertifiseringsmyndighetene en forespørsel om sertifikatsignering (på engelsk CSR: Certificate Signing Request ) som inneholder deres offentlige nøkkel, samt informasjon om deres identitet (post, telefon, e-postadresse, etc.).
Etter verifisering av identiteten til sertifikatsøkeren av en registreringsmyndighet (RA) signerer sertifiseringsmyndigheten CSR ved hjelp av sin egen private nøkkel (og ikke med personens private nøkkel) som deretter blir et sertifikat og deretter sender den tilbake til personen som ba om det.
Sertifikatet som dermed returneres i form av en datafil er integrert i søkerens webserver. Når en bruker kobler seg til denne webserveren, overfører denne serveren igjen sertifikatet som tidligere ble levert av sertifiseringsmyndigheten.
Klientens nettleser autentiserer serverens sertifikat ved hjelp av Certificate Authority sertifikat (integrert i nettleseren, se ovenfor) som signerte det tidligere. Serverens identitet bekreftes dermed overfor brukeren av sertifiseringsmyndigheten.
Nettleseren kontakter deretter den aktuelle sertifiseringsmyndigheten for å finne ut om serverens sertifikat ikke har blitt tilbakekalt (= ugyldiggjort) siden det ble utstedt av sertifiseringsmyndigheten via en OCSP-forespørsel .
Tidligere lastet nettlesere regelmessig ned CRLs for Certificate Revocation (CRLs ) fra sertifiseringsmyndigheter i stedet for direkte å kontakte dem via OCSP-forespørsler. Denne prosessen har siden blitt forlatt fordi den bruker mye båndbredde unødvendig.
Fra et teknisk synspunkt sørger denne viktige administrasjonsinfrastrukturen således for at
Sertifiseringsmyndigheten (CA) driver selv eller kan delegere verten av den private nøkkelen til sertifikatet til en sertifiseringsoperatør (OC) eller depositarmyndighet. CA kontrollerer og kontrollerer sertifiseringsoperatøren på grunnlag av prosedyrene som er etablert i erklæringen om sertifiseringspraksis. CA er akkreditert av en policyhåndteringsmyndighet som lar den bruke et forsterket sertifikat som brukes av CA til å signere den offentlige nøkkelen i henhold til prinsippet om digital signatur.