Het vertrouwensbeleid voor certificaten op de Mac wijzigen
Certificaten worden op grote schaal gebruikt voor het beveiligen van elektronische informatie. Er zijn bijvoorbeeld certificaten voor het ondertekenen van e‑mail, het versleutelen van documenten of het maken van verbinding met een beveiligd netwerk. Elk type toepassing wordt geregeld door een vertrouwensbeleid, dat bepaalt of een certificaat geldig is voor die toepassing. Een certificaat kan bijvoorbeeld voor bepaalde toepassingen wel geldig zijn, maar voor andere juist niet.
In macOS wordt aan de hand van verschillende vertrouwensinstellingen vastgesteld of een certificaat afkomstig is van een betrouwbare bron. Je kunt voor elk certificaat een ander beleid kiezen om zo nog meer controle te krijgen over de evaluatie van certificaten.
Vertrouwensbeleid | Beschrijving |
|---|---|
Gebruik standaardinstellingen systeem (of geen waarde opgegeven) | De standaardinstellingen worden gebruikt voor het certificaat. |
Vertrouw altijd | Geef aan dat je de auteur vertrouwt en altijd toegang wilt geven tot de server of app. |
Vertrouw nooit | Geef aan dat je de auteur niet vertrouwt en geen toegang wilt geven tot de server of app. |
SSL (Secure Sockets Layer) | De naam in het certificaat van een server moet overeenkomen met de bijbehorende DNS-hostnaam om verbinding te kunnen maken. Bij SSL-clientcertificaten wordt de hostnaam niet gecontroleerd. Als er een veld 'Uitgebreid sleutelgebruik' is, moet dit veld een geschikte waarde bevatten. |
Beveiligde e‑mail (S/MIME) | Voor e‑mail wordt S/MIME gebruikt om berichten veilig te ondertekenen en te versleutelen. Het e‑mailadres van de gebruiker moet zijn opgenomen in het certificaat en bepaalde sleutelgebruikvelden moeten aanwezig zijn. |
EAP (Extensible Authentication) | Wanneer je verbinding maakt met een netwerk waarvoor 802.1X-authenticatie vereist is, moet de naam in het servercertificaat overeenkomen met de bijbehorende DNS-hostnaam. Hostnamen voor clientcertificaten worden niet gecontroleerd. Als er een veld 'Uitgebreid sleutelgebruik' is, moet dit veld een geschikte waarde bevatten. |
IP-beveiliging (IPsec) | Wanneer certificaten worden gebruikt voor het beveiligen van IP-verkeer (bijvoorbeeld bij het maken van een VPN-verbinding), moet de naam in het servercertificaat overeenkomen met de bijbehorende DNS-hostnaam. Hostnamen voor clientcertificaten worden niet gecontroleerd. Als er een veld 'Uitgebreid sleutelgebruik' is, moet dit veld een geschikte waarde bevatten. |
Codeondertekening | Het certificaat moet sleutelgebruikinstellingen bevatten die expliciet aangeven dat het certificaat kan worden gebruikt voor het ondertekenen van code. |
Tijdstempel | Met dit beleid wordt vastgesteld of het certificaat kan worden gebruikt voor het aanmaken van een vertrouwd tijdstempel, waarmee kan worden geverifieerd of een digitale handtekening op een bepaald moment is toegevoegd. |
X.509-basisbeleid | Met dit beleid wordt de geldigheid van het certificaat bepaald aan de hand van basisvereisten, zoals uitgifte door een geldige certificaatautoriteit. Er wordt niet gekeken naar het doel van het sleutelgebruik of het toegestane sleutelgebruik. |