Opslag

Last updated: July 16, 2024 | Se al dokumentation

ACME (Automatisk Certifikat Kontrol Miljø): Protokol implementeret af Let’s Encrypt. Software, som er kompatibel med denne protokol, kan kommunikere med Let’s Encrypt og bede om et certifikat. ACKM RFC (da) - [Wikipedia](https://da.wikipedia.org/wiki/Automatisk_ Certifikat_Kontrol_Miljø)
ACME Client: Et program, der kan kommunikere med en ACME-server, for at bede om et certifikat.
ACME Server: En ACME-kompatibel server, der kan generere certifikater. Let’s Encrypt software, Boulder, er ACME-kompatibel, med nogle afvigelser.
Authority Information Access (AIA): Et certifikat udvidelse, der bruges til at angive til brugeragenter hvordan man kan indhente oplysninger om udstederen af -certifikatet. Den specificerer typisk OCSP -URI og udsteders URI.
Baseline Requirements (BRs): Et sæt tekniske og politiske krav til CA’er. Da alle større root-programmer inkorporerer Baseline Krav, skal CAs følge disse krav for at være betroet af de fleste browsere.
Boulder: Den software, der implementerer ACME, udviklet og anvendt af Let’s Encrypt. GitHub
CA Issuers: Del af feltet AIA med oplysninger om udstederen af -certifikatet. Det kan være nyttigt, når webserveren ikke leverer en betroet certifikatkæde.
CA/Browser Forum: En frivillig gruppe af certificeringsmyndigheder, leverandører af internetbrowsersoftware, operativsystemer og andre PKI-anvendende applikationer. CA/Browser Forum offentliggør Baseline Requirements. Let’s Encrypt er medlem af CA/Browser Forum. Wikipedia
CAA (Certificate Authority Authorization): En DNS-post, der angiver, hvilke CA’er har lov til at udstede certifikat for det tilsvarende domænenavn. CAA registreringer kontrolleres af CA’er, ikke af browsere. Let’s Encrypt respekterer CAA poster som krævet af Baseline Krav. - Wikipedia
Canonical Name record (CNAME): En DNS-post som peger et domænenavn til et andet, der kaldes det kanoniske navn. Wikipedia
Certificate: En fil i et bestemt format, der indeholder en offentlig nøgle og andre data, der beskriver, hvornår den offentlige nøgle skal bruges. Den mest almindelige form for certifikat er et leaf certifikat. Der er også intermediate og root certifikater.
Certificate Authority (CA): En organisation, der udsteder certifikater. Let’s Encrypt, IdenTrust, Sectigo og DigiCert er Certifikatmyndigheder. Wikipedia
Certificate Policy (CP): Et navngivet regelsæt, der angiver anvendeligheden af et certifikat for et bestemt fællesskab og/eller en gruppe af applikationer med fælles sikkerhedskrav. Specifikke detaljer vedrørende udstedelsen er beskrevet i en CPS. CP- og CPS-dokumenter kan kombineres til et enkelt dokument. ISRG Combined CP/CPS - RFC 3647 - Wikipedia
Certificate Revocation List (CRL): En metode til at informere bruger programmer om tilbagekaldelse status af et certifikat. Dette er en liste over løbenumrene for alle tilbagekaldte certifikater fra en given CA, underskrevet af den pågældende CA. Wikipedia
Certificate Signing Request (CSR): En underskrevet fil med de nødvendige oplysninger, der kræves af CA for at generere et certifikat. Relevante oplysninger for Let’s Encrypt er Common Name, Subject Alternative Namesog Subject Public Key Info. Normalt genererer klientprogrammer automatisk CSR for brugeren, men en webhosting-udbyder eller enhed også kan generere en CSR. Wikipedia
Certificate Store: En certifikatsamling som indeholder med betroede Rod certifikater. Styresystemer (såsom Windows, Android eller Debian) og webbrowsere (såsom Firefox) vedligeholder en certifikatsamling. Browsere uden egen certifikatsamling anvender operativsystemernes certifikatsamling. Certifikater leveret af Let’s Encrypt er betroede af de fleste certifikatsamlinger.
Certificate Transparency (CT): For at forbedre sikkerheden, skal certifikater (eller præ-certfikater) offentliggøres i Certifikat Gennemsigtighed Logs: https://www.certificate-transparency.org/. Let’s Encrypt genererer og publicerer precertificates, og indeholder i det efterfølgende certifikat en liste over SCT for præ-certifikatet. Nogle browsere, såsom Google Chrome, kræver tilstedeværelsen af dette verificerbare løfte for at validere certifikatet. Wikipedia
Certificate Transparency Log: En komponent i Certifikatgennemsigtighed som accepterer indsendelse af certifikater og præ-certifikater og gemmer dem i en permanent, verificerbar, offentligt tilgængelig liste.
Certificate chain: En liste over intermediate certifikater, der hjælper et brugerprogram til at bestemmer, om den kan stole på en slutenhed eller leaf-certifikat, ved at forbinde det til et root-certifikat i dets certifikatsamling. Bemærk: kæden er ikke altid unik, og når en hjemmeside præsenterer en certifikatkæde, der fører til én rod, brugerprogrammet kan beslutte at anvende en anden kæde til at validere certifikatet. Wikipedia
Certificate extension: I certifikater defineres de fleste felter af udvidelser. For eksempel er Subject Alternative Names og AIA udvidelser. Udvidelsesmekanismen giver mulighed for at oprette nye felter, var ikke var en del af den oprindelige X.509 standard.
Certificate issuer: Feltet “Udsteder” for et certifikat beskriver hvilket certifikat der er underskrevet det. Eksempelvis kan udstederfeltet i et Let’s Encrypt slutenheds-certifikat være “Udsteder: C = USA, O = Let’s Encrypt, CN = Let’s Encrypt Authority X3”. Det indeholder almindeligvis felter som Common Name, Country, og Organization. Udstederfeltet matcher altid nogle certifikaters Emne felt. For selvsignerede certifikater som rødderer udstederen den samme som emnet. Udtrykket “udsteder” kan også bruges til at angive et certifikat, der udsteder andre certifikater (en intermediate eller root) eller en organisation, som udsteder certifikater.
Certificate subject: Feltet “Subject” i et certifikatfelt angiver, hvad certifikatet omhandler. Dette indeholder ofte felter som Common Name, Country og Organization.
Certification Practice Statement (CPS): En erklæring om den praksis, som en certificeringsmyndighed anvender ved udstedelse, ledelse, tilbagekaldelse og fornyelse eller genregistrering af certifikater. En CPS skal være i overensstemmelse med dens tilknyttede Certificate Policy. CP- og CPS-dokumenter kan kombineres til et enkelt dokument. ISRG Combined CP/CPS - RFC 3647 section 3.4 Wikipedia
Common Name (CN): Del af et certifikat Emne som beskriver hvad certifikatet handler om. For root og intermediate er det det menneskeligt læsbare navn på certifikatmyndighed. For leaf certifikater er det et af domænenavne på certifikatet. Bemærk: Det almindelige navn er begrænset til 63 tegn. Det er en forældet metode til angivelse af et domænenavn, som certifikatet finder anvendelse på da de nuværende internetstandarder forventer, at software kun kontrollerer Subject Alternative Names for at bestemme anvendeligheden af et certifikat.
Critical extension: Et certifikat kan indeholde udvidelser markeret “kritisk.” Det betyder, at softwaren skal afvise dette certifikat, medmindre softwaren forstår, hvordan denne udvidelse skal behandles. Det gør det muligt at indføre nye udvidelser, der er vigtige for sikkerheden uden at skabe risici for ældre software.
Cross Signing: Et udstedende certifikat kan underskrives af mere end én root. For eksempel, Let’s Encrypt intermediate er krydssigneret af IdenTrust, fordi vi ved starten af Let’s Encrypt root-ceterifaktet blev det endnu ikke stolt på af certifikatsamlinger. Teknisk opnåes det ved at to udstedende certifikater, ved hjælp af den samme Emne og den samme Key-pair, den ene signeret af den private nøgle til en Kryptér rod og den anden signeret af den private nøgle til en IdenTrust’s root: /certificates. Wikipedia
DNS-based Authentication of Named Entities (DANE): En mekanisme ved hjælp af DNS til at angive, hvordan man verificerer ægtheden af certifikatet eller krypteringsnøglen præsenteret. Wikipedia
Domain Name System Security Extensions (DNSSEC): En mekanisme til kryptografisk autorisering af DNS-svar. DNSSEC kræver implementering af TLD’er, domænenavnsejere, og recursive resolvers for at træde i kraft. Anvendelsen er i øjeblikket noget lav. Wikipedia
Domain-validated certificate: Et certifikat, hvor ansøgeren kun har bevist sin kontrol med domænenavnet (og ikke den anmodende organisations identitet). Let’s Encrypt tilbyder kun DV-certifikater (ikke OV eller EV): FAQ - Wikipedia
ECDSA (Elliptic Curve Digital Signature Algorithm): En variant af den digitale signaturalgoritme (DSA), der bruger elliptisk kurve kryptografi. Wikipedia. Let’s Encrypt understøtter ECDSA for end-entity eller leaf certificates, men endnu ikke for hele -kæden: /upcoming-features
Ed25519: En bestemt type EdDSA sammen med Ed448.
EdDSA (Edwards-curve Digital Signature Algorithm): Et moderne offentlig-nøgle signatursystem baseret på elliptiske kurver, designet til at løse flere fælles implementeringsproblemer med elliptisk kurve kryptografi. Certifikatmyndigheder som Let’s Encrypt kan endnu ikke levere EdDSA-certifikater. Wikipedia
Elliptic Curve Cryptography (ECC): En type public key kryptografi baseret på elliptiske kurver. ECC bruger mindre nøgler i forhold til ikke-EF-kryptografi samtidig med tilsvarende sikkerhed. Cloudflare - Wikipedia
Extended Validation (EV): En type certifikatvalidering, for hvilken CA har verificeret den juridiske enhed, der styrer hjemmesiden. De indeholder oplysninger om den pågældende enhed. Kontroller fra CA er mere strenge end for OV certifikater. Let’s Encrypt tilbyder ikke EV certifikater. Wikipedia
Fully qualified domain name (FQDN): Det fuldstændige domænenavn på et websted. For eksempel er www.example.com en FQDN.
HTTP Public Key Pinning (HPKP): En sikkerhedsmekanisme, der beder en browser om at kræve, at et websteds certifikatkæde bruger visse offentlige nøgler på fremtidige anvendelser. Chrome introducerede denne mekanisme for at beskytte mod CA-kompromiser, men den forårsagede udfald af webstedet, hvilket førte til udfasning og fjernelse af denne. Wikipedia
IdenTrust: En Certifikatmyndighed. IdenTrust har krydssigneret Let’s Encrypt intermediatecertifikater: /certificater. Wikipedia
Intermediate certificate: Et certifikat signeret med en root eller en anden intermediate, og i stand til at signere andre certifikater. De bruges til at signere leaf-certifikater og samtidig holde den private nøgle til root-certifikat offline. Intermediate-certifikater er inkluderet i certifikatkæder. Wikipedia
Internationalized Domain Name (IDN): Domænenavne med andre tegn end a to z, 0 til 9 og bindestregen (-). De kan for eksempel indeholde arabiske, kinesiske, kyrilliske, tamilske, hebraiske eller latinske alfabet-baserede tegn med diakritiske eller ligaturer. Den kodede repræsentation af et IDN-domæner starter med xn--. IDN’er understøttes af Let’s Encrypt: https://letsencrypt.org/2016/10/21/introducing-idn-support.html. Wikipedia - RFC 5890 - RFC 5891
Internationalized Domain Names for Applications (IDNA): Se internationaliseret domænenavn.
Internet Security Research Group (ISRG): Organisationen bag Let’s Encrypt: https://www.abetterinternet.org/about/. Wikipedia
Key-pair: En kombination af en privat nøgle og en offentlig nøgle, der bruges til at signere eller kryptere. Den offentlige nøgle er almindeligvis indlejret i et certifikat, mens den private nøgle lagres på egen hånd og bør holdes hemmelig. Et nøglepar kan bruges til at kryptere og dekryptere, til at underskrive og verificere data, eller til at forhandle sekundære nøgler, afhængigt af anvendelsen. Wikipedia
Leaf certificate (end-entity certificate): Mest almindelige, et certifikat signeret af et intermediate, gyldig for et sæt domæner og ikke i stand til at signere andre certifikater. Dette er denne type certifikat, som ACME-klienter anmoder om, og som webservere anvender. Wikipedia
Let's Encrypt (LE): Certifikat Myndigheden der drives af ISRG. Wikipedia
Mixed content: Når en HTTPS webside indlæser underressourcer (Javascript, CSS eller billeder) via HTTP. Browsere kan blokere blandet indhold, eller markere siden som mindre sikker, når blandet indhold er til stede: https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content. For at løse et problem med blandet indhold, skal en webudvikler ændre deres sider, så alle ressourcer bruger HTTPS-URL’er. Udviklerværktøjer indbygget i browsere kan bruges til at finde ud af, hvilke ressourcer der forårsager problemer med blandet indhold.
OCSP (Online Certificate Status Protocol): En metode til at kontrollere tilbagekaldelsen status for et certifikat. Med andre ord en måde at kontrollere, om en Certifikatmyndighed angiver, at certifikatet ikke længere skal betragtes som gyldigt, selv om udløbsdatoen endnu ikke er nået. Denne anmodning kan skabe privatlivs problemer, fordi det giver certifikatmyndigheden og internetudbyderne mulighed for direkte at observere, hvem der besøger hvilke websteder. Wikipedia
OCSP Must-Staple: En certifikat udvidelse, som informerer -browseren om, at -webserveren med dette certifikat skal anvende OCSP-hæftning. Det bruges til at kræve, at en opdateret tilbagekaldelse status for certifikatet bekræftes af webserveren ved hver forbindelse, gøre tilbagekaldelse mere pålidelig. Let’s Encrypt kan udstede certifikater med OCSP Must-Staple udvidelsen efter anmodning. Mozilla Security Blog RFC 7633
OCSP stapling: En måde for en webserver at sende en browser et OCSP svar signeret af Certificate Authority, så browseren selv behøver ikke at foretage en sekundær OCSP-anmodning til CA, forbedre hastighed og privatliv. Også kendt som TLS Certificate Status Request forlængelse. Wikipedia Cloudflare
Object identifier (OID): OID’er er unikke numeriske identifikatorer standardiseret af Den Internationale Telekommunikationsunion (ITU) og ISO/IEC. OID’er bruges i certifikater til at definere udvidelser, felter eller politiske påstande. Internetstandarder og Certificate Policy og Certification Practice Statement dokumenter definerer OID brug. Wikipedia
Organization Validation (OV): Certifikater for hvilke CA har verificeret den juridiske enhed for Abonnenten. De indeholder oplysninger om den pågældende enhed. Let’s Encrypt tilbyder ikke OV certifikater. Wikipedia
PEM file (.pem): Et format til kryptografisk information (oprindeligt angivet som en del af Privacy Enhanced Mail Internet standarder for sikker e-mail). Et PEM-dokument kan repræsentere oplysninger såsom en privat nøgle, en offentlig nøgle eller et digitalt certifikat. Disse filer starter med “----BEGIN " og derefter en datatype. Wikipedia
Personal Information Exchange Files (.pfx): En fil, der kan indeholde et leaf certifikat, dens kæde op til roden og den private nøgle af leaf certifikatet. Se også https://en.wikipedia.org/wiki/PKCS_12. Microsoft Hardware Dev Center
Precertificate: Præ-certificater er en del af Certifikatgennemsigtighed. Et præcertifikat er en kopi af det certifikat, som et CA har til hensigt at udstede med en kritisk-gift udvidelse tilføjet for at forhindre præcertifikatet i at blive accepteret af software på nettet. En CA indgiver en præcertifikat til CT-logfiler til gengæld for SCT’er. Da en præcertifikat ikke er identisk med det tilsvarende certifikat, kan logfiler om gennemsigtighed ende med at indeholde begge dele. RFC 6962 Afsnit 3.1
Public Suffix List (PSL): En liste over Offentlige suffikser vedligeholdt af Mozilla, angiver, hvilke internetdomæner der er tilgængelige for mange separate enheder til registrering af underdomæner. For eksempel indikerer listen, at både com og co.uk er offentlige suffikser, selvom co.uk ikke er en TLD. Webbrowsere bruger blandt andet listen, til at forhindre websteder, der sandsynligvis drives af forskellige enheder fra at dele webcookies med hinanden. Let’s Encrypt bruger også listen til beregning af hastighedsgrænser: /docs/rate-limits. https://publicsuffix.org
RSA: En offentlig nøglealgoritme, der bruges til kryptering og til at signere certifikater digitalt. Wikipedia
Relying Party: Den person, der stoler på oplysninger i et certifikat. For eksempel, en person, der besøger en HTTPS hjemmeside er en Relying Party.
Revocation: Et certifikat er gyldigt indtil udløbsdatoen, medmindre CA siger, at det er blevet tilbagekaldt. Certifikatet kan tilbagekaldes af forskellige grunde såsom kompromittering af den private nøgle. Browsere kan kontrollere, om et certifikat tilbagekaldes ved hjælp af CRL, OCSP, eller nyere metoder som OneCRL og CRLSets. Bemærk at i mange situationer virker tilbagekaldelse ikke. /docs/revoking
Root Program: Politikkerne en organisation bruger til at afgøre, hvilke certifikater der skal inkluderes i sin certifikatbutik, og derfra, som CA’er er betroede af deres software.
Root certificate: Et selvsigneret certifikat kontrolleret af en certifikatmyndighed, bruges til at underskrive sine intermediate certifikater og inkluderet i certifikater. Wikipedia
SSL (Secure Sockets Layer): Et ældre navn til TLS, stadig til almindelig brug.
Self-signed certificate: Et certifikat underskrevet af sin egen private nøgle, med sit Emne identisk med sin Udsteder. Selvsignerede certifikater er kun betroede på grund af tidligere arrangementer i den fysiske verden, såsom optagelse på en betroet rodliste. Rod-certifikater er selvsignerede. Wikipedia
Server Name Indication (SNI): Et felt som en brugeragent sender til en server under et TLS håndtryk, angive domænenavnet der skal oprettes forbindelse til. Dette gør det muligt for serveren at svare med det relevante certifikat, når flere domæner er hostet bag den samme IP. Webserveren kan sende et andet certifikat, og vise forskelligt indhold, afhængigt af navnet, at klienten anmodet af SNI. SNI er ikke krypteret, men en eksperimentel udskiftning, ESNI, er. Wikipedia
Signed Certificate Timestamp (SCT): Et signeret, verificerbart løfte om at offentliggøre et certifikat, fra en Certifikat Gennemsigtighed log. Browsere, der håndhæver CT tjekker for tilstedeværelsen af SCT’er i et websteds certifikat eller i håndtrykket TLS, og nægte at oprette forbindelse til websteder, der ikke opfylder deres logningskrav. Dette øger sandsynligheden for, at falske eller unøjagtige certifikater vil blive opdaget. https://www.certificate-transparency.org/how-ct-works
Staging: Let’s Encrypt giver et staging API til at teste certifikatforespørgsel uden at påvirke kaldsgrænser. Certifikater genereret af staging miljøet er ikke offentligt betroet. Stagingsmiljøet bør anvendes til testning, fejlfinding og ACME-klientudvikling. /docs/staging-miljø
Subject Alternative Name (SAN): Et felt i et certifikat, der angiver, for hvilket domæne(r) certifikatet er gyldigt. Det erstatter brugen af Common Name, som nu kun findes af hensyn til kompatibilitet. Et enkelt certifikat kan indeholde mange SANs og være gyldigt for mange forskellige domænenavne. Wikipedia https://letsencrypt.org/docs/rate-limits/#names-per-certificate
Subscriber: Personen eller organisationen anmoder om et certifikat.
TLS (Transport-Level Security): Protokollen som bruges af HTTPS til at kryptere og autorisere besøg på websider.
TLSA: Den del af DANE som specifikt er relateret til validering af TLS forbindelser.
Top-Level Domain (TLD): Øverste niveau i det hierarkiske domænenavnssystem, såsom landekode top-level domæner (ccTLDs) som . e (Tyskland), .cn (Kina) og generiske top-niveau domæner (gTLDs) som . com, .org. Wikipedia
Unified Communications Certificate (UCC): En beskrivelse af et certifikat som indeholder flere Subject Alternative Names (SAN).
User Agent: Software der er i stand til at kommunikere med en webserver. Eksempel: en webbrowser eller cURL.
Web Browser: Et brugerprogram bruges til at vise websider. Eksempler: Mozilla Firefox, Google Chrome eller Internet Explorer. Wikipedia
Web server: Software der serverer websider (eller i forlængelse heraf hardwareserveren, der er vært for denne). Wikipedia
Wildcard Certificate: Certifikater er gyldige for underdomæner et niveau ned. For eksempel, et certifikat, der indeholder en SAN for *.example.com er gyldig for blog.eksempel. om og www.example.com, men ikke for bork. ork.example.com eller example.com). Et wildcard er angivet med et asterisktegn (*) i stedet for et subdomæne. Let’s Encrypt leverer Wildcard certifikater begyndende fra marts 2018. Wikipedia
X.509: Standarden, der definerer formatet for offentlige nøglecertifikater. Wikipedia