Vlákno názorů k článku České poště nefungovaly weby, online služby byly nedostupné od Filip Jirsák - Asi jste svůj komentář zařadil do špatného vlákna....

Asi jste svůj komentář zařadil do špatného vlákna. Já argumentuju tím, jak se podpisy ověřují správně podle práva a jak je to zorganizované. Řešení zabývající se pouze technickou stránkou věci by bylo rychlejší, stáhlo by aktuální CRL z webu a pokud by tam certifikát nebyl, prohlásilo by ho za platné. Pak by opravdu aktuální nedostupnost CRL na webu byl problém. Pokud měl někdo s CRL v době výpadku problémy, pak právě proto, že řeší jenom technickou stránku věci a neřeší ty ostatní.

Podsunutý argument je jedním z argumentačních klamů. Co kdybyste místo toho zkusil skutečné argumenty?

Proto je ten CRL na třech místech. Navíc s případem „nemám aktuální CRL“ se počítá, protože k němu dochází dnes a denně. A případ „nemám aktuální CRL, protože nemám žádné CRL“, je pouze speciálním případem toho obecného, se kterým se počítá.

Jenže to není pravda, že by někdo nemohl nic dělat. Výpadek webu pošty správné ověřování certifikátů neovlivnil. Ovlivnit by mohl mizivé množství případů, pokud někdo ověřuje certifikáty jen příležitostně – pokud by nefungoval ani web externí firmy, na kterém jsou CRL PostSignum také zveřejněné. O výpadku toho dalšího webu postsignum.ttc.cz tu ale žádná informace není.

Pokud někdo ověřuje certifikáty špatně, problém mít mohl – ale pak má soustavně daleko větší problém v tom, že důvěřuje podpisům, které mohou být vytvořené na základě revokovaného certifikátu.

Reálný problém byla nedostupnost služby časových razítek, protože u té každý předpokládá, že časové razítko dostane hned. Oni to sice mají ošetřené v politice autority, že časové razítko vydají bezprostředně po přijetí žádosti, a když nejde web, není možné ani podat žádost, takže oni nic neporušili… Na druhou stranu, TSA PostSignum má občas předem hlášené odstávky, takže jejich zákazníci jsou na to, že časové razítko nemusí vždy dostat hned, zvyklí.

Kdybyste aspoň tušil, o čem se tady diskutuje, věděl byste, že jediný popis nestandardní situace tady byl "certifikáty šílely". Další popsaná situace - nebylo možné ověřit podpis, protože nebylo možné ověřit platnost certifikátu - je při ověřování podpisů zcela normální stav. Dokonce, pokud podpisy ověřujete hned po přijetí dokumentu, projde tímto stavem alespoň jednou v praxi každý dokument.

Jediný problém, který mohl mít reálný dopad, mohl nastat, pokud chtěl někdo, kdo podpisy ověřuje jen příležitostně a neměl stažené poslední CRL, ověřit platnost starého podpisu - staršího, než to poslední platné CRL. Ovšem to by byl problém pouze z organizačního hlediska, z technického pohledu je to pořád situace "nemáme aktuální CRL, ověření podpisu musíme odložit na dobu, až aktuální CRL budeme mít".

V komentáři o něco výše jsem popsal, jak se elektronický podpis ověřuje – když už mermomocí musíte diskutovat o něčem, o čem nic nevíte, tak si to tam alespoň dostudujte. Pak přijďte s popisem toho, jak nedostupnost CRL v uvedeném období ověřování zkomplikovalo – pokud tedy stále ještě budete mít pocit, že k něčemu takovému došlo.

Platnost certifikátů PostSignum se ověřuje oproti off-line CRL a ověřuje se zpětně, někdy můžete čekat na potřebné CRL až 24 hodin (pokud okamžik podpisu bude hned po platnosti předchozího CRL). Takže zdržení pár hodin se nijak nepozná, obvykle se schová do té lhůty, kdy čekáte na CRL novější než je podpis.

nemá nakešované platné CRL v počítači
No právě. Jenže CRL se vždy kešuje, protože se vůči němu ověřuje offline a zpětně. PostSignum vydává CRL jednou za 24 hodin, takže stejně musíte až 24 hodin čekat – pár hodin nedostupnosti CRL není nijak kritické, jak už jsem ostatně psal v předchozím komentáři.

Jo jo, když chcete vidět splašený certifikát, musíte si nejprve vyplnit formulář. Ten vám pak potvrdí pan doktor. Já vím.

Padat hlavy? :-))) Bavíme se o České poště :-)

Nevím, čemu říkáte "zpracovávat", když Adobe Reader slouží ke čtení dokumentů. A nedostupnost nějakého webu vám u čtení vůbec nevadí, nevadí ani při ověření podpisu. PDF dokumenty si v Adboe Readeru klidně můžete číst i na počítači, který není připojen k internetu.

Cp myslíte pod pojmem O2? Myslíte mobilní a nebo i DSL přes pevnou telefonní síť O2? Tam jsem byl v té době připojený a žádné problémy se nekonaly...

Co pořád máte s těmi certifikáty? Pro vydání certifikátu potřebujete z webu možná nějaké dokumenty, ale vydání rozhodně není kritické. Pro podpis web nepotřebujete vůbec. Pro ověření samotného certifikátu web také nepotřebujete, potřebujete ho akorát pro ověření, zda certifikát nebyl odvolán – on-line ověření PostSignum neumožňuje, takže zbývá jen offline ověření přes CRL, a tam párhodinová odstávka opět nevadí. Zbývá odvolání platnosti vlastního certifikátu, tam je čas poměrně kritický faktor a odstávka webu je dost nepříjemná, ale pořád zbývá možnost odvolat certifikát třeba telefonicky. Takže nevím, co se vám splašilo, ale certifikáty asi těžko.