De geldigheid van een certificaat op je computer verifiëren

Wanneer een toepassing digitaal ondertekende of beveiligde inhoud vanaf internet ontvangt, zoals in het geval van via HTTPS beveiligde websites of ondertekende software, moet deze controleren of het gebruikte certificaat voor het beveiligen van de inhoud, zoals een SSL-certificaat of code-ondertekenend certificaat, geldig is.

Toepassingen zoals webbrowsers en besturingssystemen gebruiken zogeheten CRL's (Certification Revocation List) of het OCSP (Online Certificate Status Protocol) om certificaten te valideren.

Verificatiemethoden

Toepassingen gebruiken twee typen verificatie methoden om de geldigheid van een digitaal certificaat te controleren:

CRL's (Certification Revocation Lists) — Een CRL is een lijst met ingetrokken certificaten. Toepassingen die CRL's gebruiken voor het verifiëren van certificaten, downloaden automatisch het gehele CRL-bestand en controleren de status van het certificaat aan de hand van de lijst. Als het certificaat is ingetrokken en wordt vermeld in een CRL, dient het certificaat door de toepassing als niet-vertrouwd te worden aangemerkt.

OCSP (Online Certificate Status Protocol) — Een OCSP-service is gebaseerd op query's. Toepassingen die OCSP gebruiken, controleren de status van een certificaat zonder dat er een CRL hoeft te worden gedownload. OCSP geeft aan of het certificaat geldig is of is ingetrokken.

Dit diagram biedt een overzicht van hoe veelgebruikte toepassingen en besturingssystemen certificaten verifiëren. Sommige toepassingen of besturingssystemen zijn mogelijk geconfigureerd met het oog op andere werkwijzen.

De validatiemethode wordt bepaald door softwareleveranciers. De certificeringsinstantie heeft geen zeggenschap over hoe een certificaat wordt gevalideerd.

Windows® 2000 Windows XP / Windows Server 2003 Windows Vista Windows 7 / Windows Server 2008 Mac® OS X
Internet Explorer® CRL CRL Eerst OCSP; CRL wordt gebruikt als OCSP niet beschikbaar is Eerst OCSP; CRL wordt gebruikt als OCSP niet beschikbaar is N.v.t.
Firefox® OCSP OCSP OCSP OCSP OCSP
Safari® N.v.t. CRL Eerst OCSP; CRL wordt gebruikt als OCSP niet beschikbaar is Eerst OCSP; CRL wordt gebruikt als OCSP niet beschikbaar is Eerst OCSP; CRL wordt gebruikt als OCSP niet beschikbaar is
Chrome N.v.t. CRL Eerst OCSP; CRL wordt gebruikt als OCSP niet beschikbaar is Eerst OCSP; CRL wordt gebruikt als OCSP niet beschikbaar is Eerst OCSP; CRL wordt gebruikt als OCSP niet beschikbaar is
Opera® OCSP en CRL OCSP en CRL OCSP en CRL OCSP en CRL OCSP en CRL
Code-ondertekenende certificaten verifiëren CRL CRL Eerst OCSP; CRL wordt gebruikt als OCSP niet beschikbaar is Eerst OCSP; CRL wordt gebruikt als OCSP niet beschikbaar is Eerst OCSP; CRL wordt gebruikt als OCSP niet beschikbaar is

Toegang tot CRL- en OCSP-services

CRL's en OCSP gebruiken HTTP voor het ophalen van informatie vanaf de volgende servers. Als je een netwerkbeheerder bent voor je organisatie, moet je ervoor zorgen dat alle computers in je netwerk die op een digitaal certificaat kunnen stuiten dat door ons is uitgegeven, toegang hebben tot deze CRL- en OCSP-services.

Service DNS-hostnamen Bestemmings-IP's Poort
CRL crl.godaddy.com
certificates.godaddy.com
crl.starfieldtech.com
certificates.starfieldtech.com
72.167.18.237
72.167.18.238
72.167.239.237
72.167.239.238
188.121.36.237
188.121.36.238
182.50.136.237
182.50.136.238
50.63.243.228
50.63.243.229
tcp/80
OCSP ocsp.godaddy.com
ocsp.starfieldtech.com
72.167.18.239
72.167.239.239
188.121.36.239
182.50.136.239
50.63.243.230
tcp/80

Deze tabel kan in de loop der tijd worden gewijzigd, naarmate we onze services uitbreiden.


Was dit artikel nuttig?
Bedankt voor je feedback
Fijn dat we konden helpen! Kunnen we nog iets voor je doen?
Dat spijt ons. Hoe kunnen we je beter helpen?