https://developers.wiki.kennisnet.nl/index.php?title=OSO:2017/beveiliging/certificaat_validatie&feed=atom&action=historyOSO:2017/beveiliging/certificaat validatie - Bewerkingsoverzicht2024-03-29T08:17:08ZBewerkingsoverzicht voor deze pagina op de wikiMediaWiki 1.35.13https://developers.wiki.kennisnet.nl/index.php?title=OSO:2017/beveiliging/certificaat_validatie&diff=10961&oldid=prevKlein01: De pagina is leeggehaald2021-06-21T10:49:22Z<p>De pagina is leeggehaald</p>
<table class="diff diff-contentalign-left diff-editfont-monospace" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="nl">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Oudere versie</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Versie van 21 jun 2021 10:49</td>
</tr><tr>
<td colspan="2" class="diff-lineno">Regel 1:</td>
<td colspan="2" class="diff-lineno">Regel 1:</td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>== Rijkwijdte ==</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>De genoemde validatie eisen hebben betrekking op alle voorkomende certificaten in de keten, te weten:</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* Client certificaat</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* Intermediate CA van het client certificaat, mits deze gebruikt wordt in de keten</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* Root CA van het client certificaat</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* Server certificaat</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* Intermediate CA van het server certificaat</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* Root CA van het server certificaat</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>== Verloopdatum ==</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>=== Eisen ===</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* Er '''moet''' gecontroleerd worden of de verloopdatum van geen enkel certificaat in de keten verlopen is</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* Als een van de certificaten verlopen is, '''moet''' de verbinding direct verbroken worden</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>=== Verklaring ===</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Certificaten hebben een vastgestelde geldigheidsperiode. Ze mogen niet voor en niet na de in het certificaat opgenomen periode gebruikt worden. Zie ook [[OSO:2017/beveiliging/certificaten_webservice#Geldigheidsduur_.28maximale_termijn.29|de eisen]]</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>== Intrekkingsstatus ==</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>=== Eisen ===</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* De intrekkingsstatus van een certificaat '''moet''' gecontroleerd worden</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* Als een certificaat ingetrokken is '''moet''' direct de verbinding verbroken worden</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>=== Verklaring ===</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Elke keer dat een certificaat geraadpleegd wordt moet gecontroleerd worden of de CA het niet heeft ingetrokken. Dit kan namelijk gebeuren omdat de partij van wie het certificaat is heeft besloten het terug te trekken omdat het een oud certificaat is dat is vervangen. Erger nog is als er iets mis is met deze partij dan wel de CA en dat de situatie niet meer te vertrouwen is, dan kan ook een certificaat worden teruggetrokken.<br/></div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Ingetrokken certificaten mogen nooit gebruikt worden en zullen ook nooit meer in gebruik genomen worden. Er zal altijd een nieuw certificaat voor in de plaats moeten komen alvorens er weer gecommuniceerd mag worden met de partij van wie het certificaat was.</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>== Validatie certificaat keten ==</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>=== Eisen ===</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* Bij elke vorm van beveiligde communicatie '''moet''' altijd de gehele certificaat keten gecontroleerd worden op correct functioneren</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>=== Verklaring ===</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>De certificaat keten moet voordat gecommuniceerd wordt altijd worden gecontroleerd. Is het intermediate certificaat wel uitgegeven door een CA in de lokale [[OSO:2017/beveiliging/certificaten_webservice#Leveranciers_van_certificaten|truststore]]? Is het certificaat van de wederpartij wel uitgegeven door de door hen meegeleverde CA? [[OSO:2017/beveiliging/certificaten_webservice#Certificaat_keten|Zie ook de eisen aan de server]]</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>== Certificaat voor de webservice geldig op het aangegeven domein? ==</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>=== Eisen ===</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* Het server certificaat dat uitgegeven is voor een specifiek domein '''moet''' overeenkomen met het domein in de URL. Er '''mag geen''' mismatch zijn tussen het domein waarvoor het certificaat bedoeld is en het domein dat opgevraagd wordt.</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* De verbinding '''moet''' direct verbroken worden bij een domein mismatch.</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>=== Verklaring ===</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Het server certificaat is uitgegeven met als doel een specifiek domein te beschermen. Als client is het dan ook de bedoeling alle afwijkingen hierop af te wijzen. Als het domein in het certificaat niet overeenkomt met het domein waar de verbinding mee wordt opgezet, dan moet de verbinding worden afgewezen. Mogelijk is er aan de serverkant van de wederpartij iets mis met de configuratie of in het slechtste geval de verbinding of gehele server gecompromitteerd.</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>== Client certificaat geldig binnen de OSO keten? ==</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>=== Eisen ===</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* Het client certificaat dat wordt ontvangen door de webserver wanneer een client zich wil authentiseren met zijn certificaat '''moet''' uitgegeven zijn door de CA of CA's die zijn geaccepteerd als certificaat leverancier binnen de OSO keten.</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>* De verbinding '''moet''' verbroken worden als het client certificaat niet van een geaccepteerde CA afkomstig is.</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>=== Verklaring ===</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>De client certificaten binnen OSO representeren een identiteit waarop vertrouwd moet kunnen worden. Deze identiteit wordt vastgesteld middels een vastomlijnde procedure, waar maar 1 of enkele CA's toe zijn gemachtigd om dit te doen. Op het moment dat een client certificaat is uitgegeven door een andere partij, ontstaat er geen vertrouwensrelatie tussen client en server. De server dient hierop de verbinding te verbreken.</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>[[Categorie:Overstapservice Onderwijs]]</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
</table>Klein01https://developers.wiki.kennisnet.nl/index.php?title=OSO:2017/beveiliging/certificaat_validatie&diff=7790&oldid=prevVankrimpen01 op 6 dec 2017 om 13:232017-12-06T13:23:18Z<p></p>
<table class="diff diff-contentalign-left diff-editfont-monospace" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="nl">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Oudere versie</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Versie van 6 dec 2017 13:23</td>
</tr><tr>
<td colspan="2" class="diff-lineno">Regel 44:</td>
<td colspan="2" class="diff-lineno">Regel 44:</td>
</tr>
<tr>
<td class="diff-marker"> </td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td>
<td class="diff-marker"> </td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td>
</tr>
<tr>
<td class="diff-marker"> </td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>[[Categorie:Overstapservice Onderwijs]]</div></td>
<td class="diff-marker"> </td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>[[Categorie:Overstapservice Onderwijs]]</div></td>
</tr>
<tr>
<td class="diff-marker">−</td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>[[Category:Book OSO|835]]</div></td>
<td colspan="2" class="diff-empty"> </td>
</tr>
</table>Vankrimpen01https://developers.wiki.kennisnet.nl/index.php?title=OSO:2017/beveiliging/certificaat_validatie&diff=6585&oldid=prevVankrimpen01: Nieuwe pagina aangemaakt met '== Rijkwijdte == De genoemde validatie eisen hebben betrekking op alle voorkomende certificaten in de keten, te weten: * Client certificaat * Intermediate CA van he...'2017-02-15T08:43:58Z<p>Nieuwe pagina aangemaakt met '== Rijkwijdte == De genoemde validatie eisen hebben betrekking op alle voorkomende certificaten in de keten, te weten: * Client certificaat * Intermediate CA van he...'</p>
<p><b>Nieuwe pagina</b></p><div>== Rijkwijdte ==<br />
De genoemde validatie eisen hebben betrekking op alle voorkomende certificaten in de keten, te weten:<br />
* Client certificaat<br />
* Intermediate CA van het client certificaat, mits deze gebruikt wordt in de keten<br />
* Root CA van het client certificaat<br />
* Server certificaat<br />
* Intermediate CA van het server certificaat<br />
* Root CA van het server certificaat<br />
<br />
== Verloopdatum ==<br />
=== Eisen ===<br />
* Er '''moet''' gecontroleerd worden of de verloopdatum van geen enkel certificaat in de keten verlopen is<br />
* Als een van de certificaten verlopen is, '''moet''' de verbinding direct verbroken worden<br />
=== Verklaring ===<br />
Certificaten hebben een vastgestelde geldigheidsperiode. Ze mogen niet voor en niet na de in het certificaat opgenomen periode gebruikt worden. Zie ook [[OSO:2017/beveiliging/certificaten_webservice#Geldigheidsduur_.28maximale_termijn.29|de eisen]]<br />
<br />
== Intrekkingsstatus ==<br />
=== Eisen ===<br />
* De intrekkingsstatus van een certificaat '''moet''' gecontroleerd worden<br />
* Als een certificaat ingetrokken is '''moet''' direct de verbinding verbroken worden<br />
=== Verklaring ===<br />
Elke keer dat een certificaat geraadpleegd wordt moet gecontroleerd worden of de CA het niet heeft ingetrokken. Dit kan namelijk gebeuren omdat de partij van wie het certificaat is heeft besloten het terug te trekken omdat het een oud certificaat is dat is vervangen. Erger nog is als er iets mis is met deze partij dan wel de CA en dat de situatie niet meer te vertrouwen is, dan kan ook een certificaat worden teruggetrokken.<br/><br />
Ingetrokken certificaten mogen nooit gebruikt worden en zullen ook nooit meer in gebruik genomen worden. Er zal altijd een nieuw certificaat voor in de plaats moeten komen alvorens er weer gecommuniceerd mag worden met de partij van wie het certificaat was.<br />
<br />
== Validatie certificaat keten ==<br />
=== Eisen ===<br />
* Bij elke vorm van beveiligde communicatie '''moet''' altijd de gehele certificaat keten gecontroleerd worden op correct functioneren<br />
=== Verklaring ===<br />
De certificaat keten moet voordat gecommuniceerd wordt altijd worden gecontroleerd. Is het intermediate certificaat wel uitgegeven door een CA in de lokale [[OSO:2017/beveiliging/certificaten_webservice#Leveranciers_van_certificaten|truststore]]? Is het certificaat van de wederpartij wel uitgegeven door de door hen meegeleverde CA? [[OSO:2017/beveiliging/certificaten_webservice#Certificaat_keten|Zie ook de eisen aan de server]]<br />
<br />
== Certificaat voor de webservice geldig op het aangegeven domein? ==<br />
=== Eisen ===<br />
* Het server certificaat dat uitgegeven is voor een specifiek domein '''moet''' overeenkomen met het domein in de URL. Er '''mag geen''' mismatch zijn tussen het domein waarvoor het certificaat bedoeld is en het domein dat opgevraagd wordt.<br />
* De verbinding '''moet''' direct verbroken worden bij een domein mismatch.<br />
=== Verklaring ===<br />
Het server certificaat is uitgegeven met als doel een specifiek domein te beschermen. Als client is het dan ook de bedoeling alle afwijkingen hierop af te wijzen. Als het domein in het certificaat niet overeenkomt met het domein waar de verbinding mee wordt opgezet, dan moet de verbinding worden afgewezen. Mogelijk is er aan de serverkant van de wederpartij iets mis met de configuratie of in het slechtste geval de verbinding of gehele server gecompromitteerd.<br />
<br />
== Client certificaat geldig binnen de OSO keten? ==<br />
=== Eisen ===<br />
* Het client certificaat dat wordt ontvangen door de webserver wanneer een client zich wil authentiseren met zijn certificaat '''moet''' uitgegeven zijn door de CA of CA's die zijn geaccepteerd als certificaat leverancier binnen de OSO keten.<br />
* De verbinding '''moet''' verbroken worden als het client certificaat niet van een geaccepteerde CA afkomstig is.<br />
=== Verklaring ===<br />
De client certificaten binnen OSO representeren een identiteit waarop vertrouwd moet kunnen worden. Deze identiteit wordt vastgesteld middels een vastomlijnde procedure, waar maar 1 of enkele CA's toe zijn gemachtigd om dit te doen. Op het moment dat een client certificaat is uitgegeven door een andere partij, ontstaat er geen vertrouwensrelatie tussen client en server. De server dient hierop de verbinding te verbreken.<br />
<br />
[[Categorie:Overstapservice Onderwijs]]<br />
[[Category:Book OSO|835]]</div>Vankrimpen01