Ett säkerhetscertifikat är ungefär som en legitimationshandling som visar vem som står bakom en webbsida. 

Då en användare skall lämna information eller genomföra transaktioner på en webbsida är det viktigt att användaren kan vara säker på att webbsidan inte är en förfalskning. Några typiska webbsidor där användaren verkligen bör kunna försäkra sig om webbsidans identitet är internetbanker och företagsintranät. Om du istället råkar logga in på en bedragarsajt som härmar den riktiga sajten kan det få som konsekvens att dina inloggningsuppgifter och affärshemligheter hamnar i fel händer.

För att undvika förväxlingar av sajter används säkerhetscertifikat som utfärdas av en certifikatauktoritet på ett sätt som liknar hur ID-kort i Sverige utfärdas av polisen. Certifikatauktoritetens uppgift är att ta reda på vem som står bakom en webbsida. Denna process kan vara mer eller mindre omfattande och således ge en mer eller mindre trolig identifiering. Det är vanligt att certifikatauktoriteten tar betalt av leverantören för att utfärda ett certifikat åt leverantören. Leverantören kan sedan presentera certifikatet för användaren då denne besöker leverantörens webbsajt, t ex en internetbanktjänst. Användaren kan kolla certifikatets giltighet genom kontakt med certifikatsauktoriteten. Så här kan det gå till:

1. En webbtjänstleverantör som har en webbtjänst att certifiera ber certifikatauktoriteten (CA) att utfärda ett certifikat i webbtjänstleverantörens namn.
2. CA säkerställer leverantörens identitet och utfärdar därefter ett certifikat till leverantören.
3. Webbtjänsten visar upp sitt certifikat som visar leverantörens identitet för användaren.
4. Användaren känner inte till leverantören och ber därför CA att verifiera leverantörens identitet
5. CA kollar att leverantörens certifikat är giltigt, bland annat att certifikatet inte har ändrats eller är för gammalt.
6. CA meddelar användaren om certifikatet är giltigt.
7. Om certifikatet visade sig vara giltigt kan användaren nu lita på leverantören.

De flesta webbläsare innehåller en lista med betrodda CA-certifikat och därför går steg 3-7 ofta automatiskt.

Om certifikatet till en webbsida som du vill besöka inte visade sig vara giltigt (eller om certifikatet är så kallat självsignerat) kan du få ett meddelande liknande detta:

Olika typer av certifikat

Det finns olika typer av certifikat. Så kallade CA-certifikat (certifikat som är utfärdade av en CA vilket beskrivits ovan) samt egensignerade certifikat. I produktionsmiljöer bör CA-certifikat användas. När man gör test-installationer eller om webbsajten enbart har ett fåtal användare kan det vara tillräckligt med ett så kallat själv-signerat certifikat. Ett självsignerat certifikat använder sig inte av någon CA utan är utfärdat av själva webbsajtsleverantören och används ofta av webbsajtsleverantören själv då denne vill försäkra sig om att verkligen logga in till den äkta sajten. När användaren möter ett självsignerat certifikat kommer detta inte att kännas igen i webbläsarens lista över betrodda CA-certifikat och ge upphov till ett varningsmeddelandet likt det ovanstående. Varningsmeddelandet försvinner då användaren installerar det egenskapade rot-certifikatet på sin klient. 

Läs mera

• PKI på svenskspråkiga Wikipedia
• SSL-Certifikat på frapedia
• SSL-certifikat på svenskspråkiga Wikipedia

Om du vill gå djupare ...

• Tredje parts utfärdare av säkerhetscertifikat kan vara en säkerhetsrisk