Vertrouwensbeleid voor certificaten
Certificaten worden op grote schaal gebruikt voor het beveiligen van elektronische informatie. Er zijn bijvoorbeeld certificaten voor het ondertekenen van e-mail, het coderen van documenten of het maken van verbinding met een beveiligd netwerk. Elk type toepassing wordt geregeld door een vertrouwensbeleid, dat bepaalt of een certificaat geldig is voor die toepassing. Een certificaat kan geldig zijn voor de ene toepassing, maar niet voor de andere.
In macOS wordt aan de hand van verschillende vertrouwensinstellingen vastgesteld of een certificaat afkomstig is van een betrouwbare bron. Je kunt voor elk certificaat een ander beleid kiezen om zo nog meer controle te krijgen over de evaluatie van certificaten.
Vertrouwensbeleid | Beschrijving |
---|---|
Gebruik standaardinstellingen systeem (of geen waarde opgegeven) | De standaardinstellingen worden gebruikt voor het certificaat. |
Vertrouw altijd | Je vertrouwt de auteur en je wilt altijd toegang geven tot de server of het programma. |
Vertrouw nooit | Je vertrouwt de auteur niet en je wilt geen toegang geven tot de server of het programma. |
SSL (Secure Sockets Layer) | De naam in het certificaat van een server moet overeenkomen met de bijbehorende DNS-hostnaam om verbinding te kunnen maken. Bij SSL-clientcertificaten wordt de hostnaam niet gecontroleerd. Als er een veld 'Uitgebreid sleutelgebruik' is, moet dit veld een geschikte waarde bevatten. |
Beveiligde e-mail (S/MIME) | Voor e-mail wordt S/MIME gebruikt om berichten veilig te ondertekenen en te coderen. Het e-mailadres van de gebruiker moet zijn opgenomen in het certificaat en bepaalde sleutelgebruikvelden moeten aanwezig zijn. |
EAP (Extensible Authentication Protocol) | Wanneer je verbinding maakt met een netwerk waarvoor 802.1X-identiteitscontrole vereist is, moet de naam in het servercertificaat overeenkomen met de bijbehorende DNS-hostnaam. Hostnamen voor clientcertificaten worden niet gecontroleerd. Als er een veld 'Uitgebreid sleutelgebruik' is, moet dit veld een geschikte waarde bevatten. |
IP-beveiliging (IPSec) | Wanneer certificaten worden gebruikt voor het beveiligen van IP-verkeer (bijvoorbeeld bij het maken van een VPN-verbinding), moet de naam in het servercertificaat overeenkomen met de bijbehorende DNS-hostnaam. Hostnamen voor clientcertificaten worden niet gecontroleerd. Als er een veld 'Uitgebreid sleutelgebruik' is, moet dit veld een geschikte waarde bevatten. |
Codeondertekening | Het certificaat moet sleutelgebruikinstellingen bevatten die expliciet aangeven dat het certificaat kan worden gebruikt voor het ondertekenen van code. |
Tijdstempel | Met dit beleid wordt vastgesteld of het certificaat kan worden gebruikt voor het aanmaken van een vertrouwd tijdstempel, waarmee kan worden gecontroleerd of een digitale handtekening op een bepaald moment is toegevoegd. |
X.509-basisbeleid | Met dit beleid wordt de geldigheid van het certificaat bepaald aan de hand van basisvereisten, zoals uitgifte door een geldige certificaatautoriteit. Er wordt niet gekeken naar het doel van het sleutelgebruik of het toegestane sleutelgebruik. |