Názory k článku Datové schránky: pracujeme s epodpisy, III.

Předinstalovaná důvěra neumožní úředníkům správně vyhodnotit kvalifikované certifikáty k e-podpisům. Nebudou schopni (bez školení a odbornějšího posouzení) odlišit předinstalované kořenové certifikáty a certifikáty oněch 3 vyvolených kvalifikovaných certifikačních autorit. Řešením je nasazení sw, který dovede poznat jen "své" certifikační autority. Ten sw by měl umět pracovat i s CRL. Bez toho úředník na malém úřadě v Horni Dolní nevyhodnotí správně došlá podání. Otázka je, jak moc to vadí, v případě že jde jen o podání.

Seznam , včetně certifikátů lze najít na stránce MV ČR ...


Výsledky ověření platných kvalifikovaných systémových certifikátů akreditovaných poskytovatelů certifikačních služeb
Ministerstvo vnitra zveřejňuje v souladu s § 9 odst. 2, písm. e) a § 6 odst. 2 zákona č. 227/2000 Sb.


http://www.mvcr.cz/clanek/vysledky-overeni-platnych-kvalifikovanych-systemovych-certifikatu-akreditovanych-poskytovatelu-certifikacnich-sluzeb.aspx

Které ale získáte úplně stejně nebezpečným způsobem. Zkuste se stavit na vnitru a chtít otisky od odpovědného úředníka.

Já nevěřím ani svým nainstalovaným widlým. Určitě mi je někdo podvrhl i s nějakými pirátskými certifikáty. Je v nich dozajista už defaultně podvržena a zfalšována stránka MV ČR. Při instalaci mi i ten antivirák podvrhli. Proto nevěřím na mém PC vůbec ničemu ani webovým zprávám, sportovním výsledkům ani encyklopediím a nakonec ani tomu pornu - určitě mi to všechno podvrhávaj a ve skutečnosti to vše vypadá zcela jinak. Ale věřím si, jsem nepřetržitě na pozoru a nenechám se jen tak lehce pomýlit.

Jinými slovy - zkusme se zamyslet, kde je reálně nebezpečí infiltrace falšovanými kořenovými certifikáty českých kvalifikovaných autorit... A pak v případě klasických inkoustových podpisů napapír bych také zvedal varovně prst.

Tak předně bych rád upozornil, že v systémech Windows XP i Vista vám nic nebrání přidat si konkrétní certifikát (i kořenového certifikačního úřadu) mezi "nedůvěryhodné". Slouží k tomu zejména snap-in "Certifikáty", dále můžete využít kontrolního panelu IE. Také nemusíte při ruční instalaci certifikátů, pouhým kliknutím na ně, využít automatického určení úložiště, ale zvolit si vlastní.

Poznámka na okraj. Fyzických úložišt certifikátů ve Windows je několik: Registr, zásady skupiny, lokální počítač, Smart Card.

Osobně používám antivir od ESET, který dělá v zásadě něco podobného jako Microsoft Root Certificate Program. Dobré je že často je důvěra dána i prověřeným časově propadlým certifikátům webů, nebo certifikátům které například obsahují ještě odkaz na dřívější (tedy jinou) WWW adresu. Teď se možná někdo hrozíte, ale takových webů je mnoho a pokud nejde zrovna o banku jsem za tuto službu ESETu rád. Dříve jsem vždy musel ručně kontrolovat certifikáty a povolovat ručně přístup na takovýto web. Navíc tato služba mi poskytuje přehledný white list a black list.
P.S: Zkuste schválně někdy tvůrci/správci webu nahlásit, že jeho certifikát pro daný web/server není platný. K úplné funkční změně nedojde často nikdy (například některé služby atlas.cz), někdy klidně za půl roku i později ...

Výborný článek, zarazilo mne jen to tvrzení, že root CA nelze odstranit (a obrázek se zašedlým tlačítkem Remove). Bude v tom mít prsty UAC, protože při spuštění IE jako admin bez problémů odstranit lze.
Na druhou stranu - proč je odstraňovat, když se tam certifikát při první návštěvě nějaké stránky (třeba té ukázkové https://b.ica.cz) zase zpátky napere bez vědomí uživatele - chování je naprosto shodné i na W7. Pak už nezbývá jiná cesta, než vskutku Untrusted Certificates.