Ett certifikat består av en offentlig nyckel, ID-information och sannolikt ett eller flera certifikat som tillhör certifikatutfärdaren.
Du kan skapa förtroende i ett certifikat på två sätt. Du kan upprätta förtroende genom att erhålla en kopia av certifikatet från signeraren, t.ex. på ett fysiskt medium, eller via en säker digital överföring, t.ex. en SSL-överföring. Du kan också förlita dig på en certifikatutfärdare för att avgöra om signeringscertifikatet är tillförlitligt.
I det senare fallet måste signeringscertifikatet vara utfärdat av en utfärdare som är betrodd på den dator som signaturen valideras på. De flesta tillverkare av operativsystem placerar rotcertifikaten för ett antal certifikatutfärdare i operativsystemets förtroendearkiv. Användaren kan lägga till eller ta bort certifikat i arkivet.
Även om ett certifikat har utfärdats av en betrodd certifikatutfärdare måste du fortfarande bestämma om certifikatet tillhör någon som du litar på. I många fall fattas detta beslut av slutanvändaren. När ett AIR-program installeras visas exempelvis ID-informationen från utfärdarens certifikat när användaren ombeds att bekräfta att han eller hon vill installera programmet. I andra fall kan du behöva jämföra den offentliga nyckeln eller annan certifikatinformation med en lista med godkända nycklar. (Den här listan måste vara skyddad, t.ex. med sin egen signatur eller genom att den lagras på den krypterade lokala lagringsplatsen i AIR, så att det inte går att manipulera själva listan.)
Obs!
Du kan välja att lita på signeringscertifikatet utan separat verifiering, t.ex. om en signatur är självsignerad, men verifieringen av signaturen ger i detta fall ingen garanti avseende säkerheten. Om du inte vet vem som skapade signaturen är det svårt, om inte omöjligt, att försäkra att signaturen inte har manipulerats. Signaturen kan vara en signerad förfalskning.
Återkallning och utgångsdatum för certifikat
Alla certifikat går ut. Certifikat kan också återkallas av certifikatutfärdaren, t.ex. om certifikatets privata nyckel har komprometterats eller blivit stulen. Om en signatur har signerats med ett certifikat som gått ut eller som har återkallats visas signaturen som ogiltig, såvida signaturen inte innehåller en tidsstämpel. Om signaturen innehåller en tidsstämpel valideras signaturen av XMLSignatureValidator-klassen, förutsatt att certifikatet var giltigt vid tidpunkten för signeringen.
En tidsstämpel är ett signerat digitalt meddelande från en tidsstämpeltjänst som certifierar att informationen signerades vid en viss tid ett visst datum. Tidsstämplar utfärdas av tidsstämpelutfärdare och signeras med tidsstämpelutfärdarens eget certifikat. Tidsstämpelutfärdarens certifikat som är inbäddat i tidsstämpeln måste betraktas som tillförlitligt på den aktuella datorn för att tidsstämpeln ska betraktas som giltig. XMLSignatureValidator tillhandahåller inget API för att ange ett annat certifikat som kan användas vid valideringen av tidsstämpeln.