PKI (Public Key Infrastructure) is het systeem van vertrouwen achter HTTPS, e-mailhandtekeningen en digitale identiteit. Een digitaal certificaat koppelt een publieke sleutel aan een identiteit (domeinnaam, persoon of organisatie).
Browsers en besturingssystemen bevatten een lijst van vertrouwde certificaatautoriteiten (CA's) — organisaties die certificaten uitgeven na identiteitscontrole. Als een website een certificaat heeft dat ondertekend is door een vertrouwde CA, accepteert de browser het zonder waarschuwing.
Root CA (zelf-ondertekend, in de browser ingebakken)
└── Intermediate CA
└── Eindgebruikerscertificaat (voor jouw domein)
openssl x509 -in cert.pem -text -noout # certificaat bekijken
Toont: domeinnaam, geldig van/tot, publieke sleutel, ondertekende CA.
Let's Encrypt is een gratis, geautomatiseerde CA. Met Certbot vraag je automatisch een certificaat aan en wordt het vernieuwd:
certbot --nginx -d mijndomein.nl