certifikace klicu SSL

[Dan Lukes]

Dne  4 Jul 97 v 11:13, Rehor Petr uvedl(a):

> tomu je volne dostupny. Problem je v tom, ze aby byly certifikaty co k
> cemu, musi se duverovat Certifikacni Autorite.

> udelat sami. Pro oficialni nasazeni na verejnem webu je asi
> nejschudnejsi ziskat certifikat pres http://www.verisign.com (nebo nekdo

    No, neoznacil bych tento zpusob za nejschudnejsi ...
    Verisign vam vyda certifikat Class 1 na zaklade udaju poskytnutych do
nejakeho WWW formulare a (sotva) tim overi, ze spravna je alespon zpatecni
E-Mail adresa. Takovy certifikat neni sice uplne bezcenny, ale jeho hlavni
kouzlo (vyjma testovacich ucelu) spociva v spis pusobeni na laiky a neznale
zakazniky. Certifikat Class 2 je pouze pro US/CA residents a i ten je (podle
vlastnich slov Verisignu) urcen pouze pro "small low-risk transactions". I
ten je vydavan vyhradne na zaklade elektronicky poskytnutych informaci, tyto
jsou vsak overovany na "konzistentnost" proti databazim informaci. Zarucuje
tak, ze certifikat je vydan ve jmenu realne existujici osoby, nijak vsak
nezarucuje, ze o tom tato osoba vi a je to ta osoba, ktera o nej pozadala a
pouziva jej.
Teprve certifikaty Class 3 jsou z hlediska "te prave bezpecnosti" zajimave.
Ty ovsem nedostanete (a jinak to ani nejde) bez osobni pritomnosti v sidle
vydavajici autority, nebo (v americe) u notare. Teprve takovy certifikat
zarucuje s prijatelnou pravdepodobnosti, nejen ze osoba se kterou jednate
existuje, ale ze to je prave ta osoba, za kterou se vydava.

A to, ze osoba mava certifikatem vsak jeste neznamena, ze mame vyhrano. Je
potreba zjistit, co vlastne tato osoba slibila respektovat ve smlouve, kterou
ma z CA uzavrenou a dale je velmi vhodne vedet, jak vam prislusna CA pomuze
v pripade problemu. To se samozrejme, u seriozni CA, tyka certifikatu vsech
trid. V nasich podminkach je prinejmensim potreba, aby prislusna osoba uznala
elektronicky podpis za zavazny a prislusna CA prislibila veskerou pomoc a
spolupraci a poskytnuti prislusnych podkladu vcetne aktivni pomoci pri jejich
ziskavani pri pripadnych soudnich sporech. Tuto cast problemu vsak
embrionalni ceske CA prakticky zcela zanedbavaji.

Vetsina v Cechach se vyskytujicich certifikatu je C-1 (a casto jeste mene)
s tim, ze kdyby doslo na lamani chleba, ma vetsina vydanych certifikatu
nizkou uzitnou hodnotu i v pripade, ze jsou vystaveny na zaklade pravdivych
udaju. C-2 se (jak rikal nektery z predchozich dopisu) teprve pripravuji. Lze
jen doufat, ze az je nekdo zacne poskytovat udela to "se vsim vsudy", peclive
a bez velkych chyb tak, aby celkove myslenku elektronickych podpisu mezi
verejnosti nezdiskreditoval. Tady, kde nejsou k dispozici takrka zadne statem
poskytovane informace v elektronicke podobe bude overovani "existence"
zadatele netrivialnim problemem (pokud nebude vyzadovana osobni navsteva).
Na ty "doopravdy zajimave" certifikaty, tedy C-3, si ale budeme muset jeste
dlouho nechat zajit chut (i kdyz vim o jedne firme, ktera vazne zvazovala
moznost jejich vydavani) - zejmena proto, ze proto neni vytvoren alespon
zakladni legislativni ramec - at uz se na to divame z hlediska pripadnych
soudnich sporu nebo z hlediska samotneho vydavani (jestli si myslite, ze vam
notar nejak pomuze pri vydavani klicu jako je to v Americe, zapomente na to.
Zkousel jsem to). Resenim nebude ani "import" klicu vydanych zahranicni
autoritou, nebot ta vam nebude schopna zajistit pomoc pred soudem a v
podstate ani overeni totoznosti pri vydavani certifikatu a pripadna
superlegalizace cizich certifikatu na horsi pomer namaha/vysledek nez kdyby
byla funkcni tuzemska CA.


    No, obavam se, ze tento thread se pohybuje na, pokud ne uz za hranici
temat teto konference. Mel jsem vsak z doslych prispevku pocit, ze dochazi k
jistemu preceneni realneho vyznamu certifikatu. Zaroven se omlouvam za delku
tohoto prispevku.

                                        Dan

Dan Lukes, Patkova 3/B1206, Praha 8, Czech Republic
tel +420-(2)-8551040 ext 776, E-Mail: dan at obluda.kolej.mff.cuni.cz,
aka: LUKES(or Postmaster)@Menza.MFF.CUNI.CZ and others