certifikace klicu SSL

[Alena Kabelova]

Certifikacni autorita (CA) vydava certifikaty. Certifikat je struktura
obsahujici identifikaci CA (pole ISSUER), identifikaci vlastnika paru
soukromy/verejny klic (pole SUBJECT) a samotny verejny klic. Cele je to
elektronicky podepsano CA.

Certifikat je tedy jakasi obdoba obcanskeho prukazu.

V podstate se rozlisuji CA tri kategorii.

1. CA tridy 1, ktere ruci za jednoznacnost certifikatu v ramci CA, tj.
pokud je vydan certifikat pro urcity SUBJECT, pak ruci za to, ze je
tento certifikat v ramci CA jedinecny.

2. CA tridy 2, ktera navic vyzaduje, aby zadatel o certifikat spolu s
zadosti prokazal sou totoznost (obcanskym prukazem, pasem, vypisem z
obchodniho rejstriku atd.). Verejny klic obsazeny v tomto certifikatu je
mozne pouzivat libovolne. V certifikatu muze byt pomoci OPTIIONS omezeno
vyuziti verejneho klice jen pro nektere oblasti (napr. pro podepisovani
certifikatu, pro mail atp.).

3. CA tridy 3, ktere vydavaji certifikaty urcene jen pro v certifikatu
vymezeny okruh pouziti. Jedna se o nevyssi tridu ruceni, ale cerifikaty
jsou urceny napr. pouze pro jednu aplikaci - jedne firmy (u Microsoftu
by rekli: "jsou urceny pro Intranet" :-) ). Tyto certifikaty nejsou
tedy  urceny pro obecne vyuziti v Internetu.

Certifikacni autorita PVT zatim vydava certifikaty tridy 1 a 3. O
certifikatech tridy 3 se z pochopitelnych duvodu nebudu zminovat.

Ceritifikaty tridy 1 vydava certifikacni autorita CA-PVT1. Tato
certifikacni autorita je verejne dostupna na:

https://ca.pvt.cz:4433

Pochopitelne, ze pri prvnim pristupu nebudete mit nahran certifikat
samotne certifikacni autority a muzete mit potize s protokolem HTTPS.
Takze doporucuji zacit s:

http://ca.pvt.cz

nebo

http://info.pvt.net:4434 (z http://info.pvt.net je link take z titulni
strany)

kde pomoci protokolu HTTP si nahrajete certifikat samotne CA, pak uz vse
bude fungovat k Vasi spokojenosti, tj. zamecek (resp. klicek) se Vam
zamkne.

CA-PVT1 Vam automaticky  zdarma vystavi certifikat vzdy na 14 dnu
(obdrzite jej bem nekolika vterin mailem). Certifikat s pulrocni
platnosti obdrzite po zaplaceni poplatku myslim 100 Kc. Tato platba je
soucasti autentizace zadatele.

Delka klice sice certifikacni autoritou neni omezena, ale pokud mate
Netscape, tak jste omezeni jim.

Na prislusnem webu jsou i navody jak dostat certifikaty do klientu a
serveru. Pokud mate Netscape Comunicator, muzete v podstate zadarmo
zacit vyuzivat bezpecny mail.

Proc PVT neprovozuje CA tridy 2? Odpoved je velice jednoducha. Pro
provoz takove CA je treba aparat, jehoz naklady se musi vratit.
Navratnost by se zajistila, kdyby byla potreba tyto certifikaty vydavat.
Nejprve je nutne, aby byly vyvinuty aplikace, ktere certifikaty
vyzaduji. Pro vyvoj aplikaci staci certifikaty tridy 1. Tyto certifikaty
staci i pro soukromou bezpecnou korespondenci.

Prave vydani urciteho mnozstvi certifikatu tridy 1 muze teprve zarucit
minimalni mnozstvi pozadavku na certifikaty tridy 2. Pokud vytvarite
nejakou podnikovou aplikaci, pak vam CA PVT muze vydat i certtifikaty
tridy 3.

PVT je pripraveno provozovat i CA tridy 2, avsak uzivatele si budou
muset pockat nekolik mesicu na okamzik, az bude vydano urcite kvantum
certifikatu tridy 1.

Pokud chcete diskutovat o CA, pak je zrizena verejna konference
ca at pvt.cz. Staci tedy poslat mail na listserv at pvt.cz s obsahem:
SUBSCRIBE CA Vas_mail at firma.cz

Ja jsem pouze nezucastneny pozorovatel deni kolem CA, pokud potrebujete
podrobnejisi informace, pak kontaktujte primo autorsky tym CA PVT.
Kontakt naleznete na vyse uvedene WWW-strance.

Pro bezneho uzivatele Internetu je i docela peknou hrou, kdyz se mu
zamecek zamkne, tj. zacne mu pracovat protokol HTTPS. Doporucuji si s
CA-PVT1  pohrat - mne osobne zamknuti zamku v Netscape Communicatoru
udelalo radost.

S pozdravem "uz nikdy zlomeny klic :-)))"

Libor Dostalek