Servercertifikat

Vid elektronisk kommunikation är det nödvändigt att identifiera även den som levererar tjänsten. Befolkningsregistercentralen utfärdar servercertifikat för detta ändamål. Servercertifikaten kan användas för identifiering av såväl den offentliga förvaltningens som den privata sektorns tjänster. Med hjälp av servercertifikatet kan den som utnyttjar tjänsten försäkra sig om att tjänsteleverantören är äkta.

Servercertifikat möjliggör SSL-krypterad datakommunikation mellan en webbläsare och en server eller mellan två servrar. Den som underhåller servern skapar nyckelparen som används av servercertifikaten. Nyckelns längd kan vara 2048 eller 4096 bitar

Beroende på användningsmålet kan servercertifikatets användningssyfte specificeras:

  • identifiering av server (server authentication)
  • identifiering av kund (client authentication)
  • identifiering av server och identifiering av kund (server authentication och client authentication).

Nättjänster av tre olika typer kan förverkligas med de servercertifikat som Befolkningsregistercentralen utfärdar:

  • endast servercertifikat
  • servercertifikat och användarcertifikat (på förhand okända användare)
  • servercertifikat och användarcertifikat (förhandsinställda användare)

Befolkningsregistercentralens certifikat är automatiskt betrodda i webbläsaren Microsoft Internet Explorer.

Endast servercertifikat

Sidorna i en nättjänst är specificerade att helt eller delvis använda skyddad datakommunikation. Datakommunikationen mellan servern och användarens webbläsare är i det fallet skyddad mot utomstående (SSL/TLS). Den här lösningen kräver att ett certifikatutfärdarens certifikat som båda parterna litar på installeras i servern och användarens webbläsare. BRC säljer servercertifikat till tjänsteleverantörer. Den vanliga kombinationen med användaridentifikation och lösenord kan användas i tjänsten.

Servercertifikat och användarcertifikat (på förhand okända användare)

Samma som ovan (endast servercertifikat), men användarna har certifikat utfärdade av en tillförlitlig certifikatutfärdare (kort, kortläsare och kortläsarprogram, t.ex. kortläsarptogrammet mPollux DigiSign Vlient), på basis av vilka olika tjänster genomförs för en omfattande, på förhand ospecificerad användargrupp. Exempel på typiska tjänster är förvaltningens tjänster och webbutiker. Utnyttjande av användarnas certifikat är gratis för tjänsteleverantören! Utgående från den elektroniska kommunikationskoden som ingår i medborgarcertifikatet är det möjligt att i befolkningsdatasystemet söka användarens personbeteckning och/eller postadress (BRC:s avgiftsbelagda tjänst, kräver också tillstånd för utgivning av information) genom en tillämpningsförfrågning. Andra identifierande koder används i organisationscertifikat. Detta möjliggör elektronisk signatur av data (dokument).

Servercertifikat och användarcertifikat (förhandsinställda användare)

Samma som ovan (servercertifikat och användarcertifikat, på förhand okända användare), men användarens certifikat är länkat till en användaridentifikation och behörighet (som gäller för operativsystem, databas etc.). Den här lösningen förutsätter att användarens certifikat söks i förväg t.ex. till användaridentifikation som länkas med LDAP. Certifikatet kan även kopieras direkt från kortet då kortinnehavaren är närvarande. Den som beviljar behörigheten kan då se identitetskortet och dess innehavare. Medborgarcertifikatet på ID-kortet eller organisationsspecifika organisationscertifikat kan användas som certifikat.

Det här alternativet utnyttjas ofta i system där användare har olika behörigheter, t.ex. vid användning av intranet och extranet. Lösningen kan tillämpas vid specificering av underhållskoder för en nättjänst också i de två första alternativen.

När certifikat används underlättas kontrollen av användaridentifieringar eftersom användarna varken behöver komma ihåg användaridentifieringar eller lösenord. Kontroller av giltighetstid och spärrlistor för certifikat skall utföras.

I praktiken utgörs den omfattade webbtjänsten av tidigare delar, exempelvis genom att länka användarnas certifikat till kunduppgifterna. Implementeringen påverkas även av existerande bakgrundssystem och funktionalitetskraven för tjänsten.

Servercertifikat kan även användas i andra syften, såsom i e-postservrar samt datatrafiken mellan olika typer av gateway-program och -utrustning.