I kryptografi er en certificeringsmyndighed (CA eller CA for certifikatmyndighed på engelsk) en betroet tredjepart, der tillader identifikation af korrespondenter at blive godkendt. En certificeringsmyndighed udsteder certifikater, der beskriver digitale identiteter og giver midlerne til at verificere gyldigheden af de certifikater, den har leveret.
Certificeringsmyndighedernes tjenester bruges hovedsageligt i forbindelse med sikring af digital kommunikation via TLS-protokol (Transport Layer Security), der f.eks. Bruges til at sikre webkommunikation ( HTTPS ) eller e-mail (SMTP, POP3, IMAP osv. Via TLS).), såvel som til sikring af digitale dokumenter (f.eks. ved hjælp af avancerede elektroniske signaturer som PAdES til PDF-dokumenter eller via S / MIME- protokollen til e-mails).
Moderne webbrowsere integrerer indbygget en liste over certifikater fra forskellige certificeringsmyndigheder valgt i henhold til interne regler defineret af browserudviklerne.
Når en fysisk eller juridisk person ønsker at oprette en webserver ved hjælp af HTTPS-kommunikation, der er sikret med TLS, genererer den en offentlig nøgle , en privat nøgle og sender derefter en af disse certificeringsmyndigheder en anmodning om certifikatsignering (på engelsk CSR: Certificate Signing Request ) indeholdende deres offentlige nøgle samt oplysninger om deres identitet (post, telefon, e-mail-adresse osv.).
Efter verificering af identiteten af certifikatansøgeren af en registreringsmyndighed (RA) underskriver certificeringsmyndigheden CSR ved hjælp af sin egen private nøgle (og ikke med personens private nøgle), som derefter bliver et certifikat og derefter sender det tilbage til personen der anmodede om det.
Det således returnerede certifikat i form af en computerfil er integreret i ansøgerens webserver. Når en bruger opretter forbindelse til denne webserver, sender denne server igen det certifikat, der tidligere er leveret af certificeringsmyndigheden.
Klientens webbrowser godkender serverens certifikat ved hjælp af Certificate Authority's certifikat (integreret integreret i browseren, se ovenfor), som tidligere har underskrevet det. Serverens identitet bekræftes således af brugeren af certificeringsmyndigheden.
Webbrowseren kontakter derefter den relevante certificeringsmyndighed for at finde ud af, om serverens certifikat ikke er tilbagekaldt (= ugyldiggjort), siden det blev udstedt af certificeringsmyndigheden via en OCSP-anmodning .
Tidligere downloadede browsere regelmæssigt CRL'er ( Certificate Revocation Lists ) fra certificeringsmyndigheder i stedet for direkte at kontakte dem via OCSP-anmodninger. Denne proces er siden blevet opgivet, fordi det unødigt bruger meget båndbredde.
Fra et teknisk synspunkt sikrer denne nøgleadministrationsinfrastruktur således, at:
Certificeringsmyndigheden (CA) driver selv eller kan delegere hosting af certifikatets private nøgle til en certificeringsoperatør (OC) eller depositarmyndighed. CA kontrollerer og auditerer certificeringsoperatøren på basis af de procedurer, der er fastlagt i erklæringen om certificeringspraksis. CA er akkrediteret af en politikadministrationsmyndighed, der tillader det at bruge et forstærket certifikat, der bruges af CA til at underskrive den offentlige nøgle i overensstemmelse med princippet om digital signatur.