In kriptografi , bir Sertifika Yetkilisi (İngilizce Sertifika Yetkilisi için CA veya CA) bir olduğunu güvenilir üçüncü taraf muhabir kimliğini doğrulamak için. Bir sertifika yetkilisi sorunları sertifikaları dijital kimliklerini açıklayan ve sağladığı sertifikaların geçerliliğini doğrulamak için araç sağlar.
Sertifika yetkililerinin hizmetleri temel olarak, örneğin web iletişimlerini ( HTTPS ) veya e-postayı (SMTP, POP3, IMAP ... TLS üzerinden) güvenli hale getirmek için kullanılan Taşıma Katmanı Güvenliği (TLS) protokolü aracılığıyla dijital iletişimin güvenliğini sağlama bağlamında kullanılır. ve dijital belgelerin güvenliğini sağlamak için (örneğin, PDF belgeleri için PAdES gibi gelişmiş elektronik imzalar veya e-postalar için S / MIME protokolü aracılığıyla ).
Modern web tarayıcıları , tarayıcı geliştiricileri tarafından tanımlanan dahili kurallara göre seçilen farklı Sertifika Yetkililerinin bir sertifika listesini yerel olarak entegre eder .
Bir gerçek veya tüzel kişi, TLS ile güvence altına alınan HTTPS iletişimini kullanarak bir web sunucusu kurmak istediğinde, bir genel anahtar , özel bir anahtar oluşturur ve ardından bu Sertifika Yetkililerinden birine bir sertifika imzalama isteği gönderir (İngilizce CSR: Sertifika İmzalama İsteği ) ortak anahtarlarının yanı sıra kimlik bilgilerini (posta, telefon, e-posta adresi vb.) içeren.
Sertifika başvurusunda bulunan kişinin kimliğinin bir kayıt yetkilisi (RA) tarafından doğrulanmasından sonra , Sertifika Yetkilisi, CSR'yi kendi özel anahtarını (kişinin özel anahtarı ile değil) imzalar ve daha sonra bir sertifika haline gelir ve ardından kişiye geri gönderir. kim istedi.
Bu şekilde bir bilgisayar dosyası biçiminde döndürülen sertifika, başvuru sahibinin web sunucusuna entegre edilir. Bir kullanıcı bu web sunucusuna bağlandığında, bu sunucu da daha önce Sertifika Yetkilisi tarafından sağlanan sertifikayı iletir.
İstemcinin web tarayıcısı, daha önce imzalayan Sertifika Yetkilisinin sertifikasını (tarayıcıya yerel olarak entegre edilmiştir, yukarıya bakın) kullanarak sunucunun sertifikasını doğrular. Sunucunun kimliği, böylece Sertifika Yetkilisi tarafından kullanıcıya onaylanır.
Web tarayıcısı daha sonra ilgili Sertifika Yetkilisi ile iletişime geçerek, sunucunun sertifikasının bir OCSP talebi yoluyla Sertifikasyon Yetkilisi tarafından verildiğinden beri iptal edilmediğini (= geçersiz kılınmış) olup olmadığını öğrenmek için .
Önceden tarayıcılar , OCSP talepleri aracılığıyla doğrudan onlarla iletişim kurmak yerine, Sertifika Yetkililerinden CRL'leri ( Sertifika İptal Listesi ) düzenli olarak indiriyordu . Gereksiz yere çok fazla bant genişliği kullandığı için bu işlem o zamandan beri terk edildi.
Teknik açıdan bakıldığında, bu anahtar yönetim altyapısı böylece şunları sağlar:
Sertifika yetkilisi (CA) kendi başına çalışır veya sertifikanın özel anahtarının barındırılmasını bir sertifika operatörüne (OC) veya saklama kurumuna devredebilir. CA, Sertifikasyon Uygulamaları Beyanında belirlenen prosedürler temelinde sertifika operatörünü kontrol eder ve denetler. CA, dijital imza ilkesine göre ortak anahtarı imzalamak için CA tarafından kullanılan güçlendirilmiş bir sertifika kullanmasına izin veren bir ilke yönetimi yetkilisi tarafından akredite edilmiştir.