Vlákno názorů k článku Jak oživit elektronický podpis? od Jirka Kosek - Podle mne je EP v podání I.CA pro...

Podle mne je EP v podání I.CA pro většinu normálních lidí nepoužitelný. Pomineme-li cenu, služby I.CA bych rozhodně nenazval dokonalé. Pro zasmání připojuji popis mé nedávné historky.

<para>Na konci března mě kamarád upozornil na to, že v rámci
propagační akce
<ulink url="http://www.portalzp.cz&quot;&gt;portálu zdravotních
pojišťoven</ulink>, je možné získat kvalifikovaný certifikát
zdarma. Jeho běžná cena je 770 Kč za rok, což se mi vzhledem k jeho
praktické využitelnosti nevyplatí. Ale jestli je to zdarma, alespoň
vyzkouším, jak to s tím elektronickým podpisem funguje v praxi.</para>

<para>Podle pokynů na portálu zdravotních pojišťoven jsem se snažil na
stránkách I. CA vygenerovat žádost o certifkát. Vzhledem k tomu, že mi
osobně jako e-mailový klient vyhovuje alternativní Mozilla
(resp. Thunderbird) chtěl jsem mít možnost odesílat podepsané maily
přímo z ní. Pro přístup na stránky I. CA jsem proto použil
Mozillu. Toho jsem však vzápětí litoval, protože na stránce, kde se
vyplňují údaje potřebné pro vystavení certifikátu, jsem se z jedné
strohé věty dozvěděl, že stránky fungují pouze s prohlížečem Internet
Explorer.</para>

<para>Přiznám se, že mě to zklamalo, protože jsem si v minulosti
nechával vystavit certifikát i od jiných zahraničních autorit, a ty
s Mozillou problémy něměly. Řekl jsem si tedy, že se projednou
zachovám jako správný uživatel, nebudu se snažit systém přelstít,
a zavolám na kontaktní linku I.CA, jejíž telefonní číslo je na
stránkách I.CA. Jediné, co mi na této lince dokázali poradit však
bylo, abych poslal e-mailem dotaz ne jejich technickou
podporu. Kontakt po telefonu prý není možný. Inu
dobrá. O profesionalitě služeb jsem si pomyslel své, odeslal jsem
dotaz na technickou podporu a mezitím si vygeneroval žádost
o certifikát v Internet Exploreru. Naštěstí jsem dost pokročilý
uživatel na to, abych věděl, že certifikát lze vyexportovat z jedné
aplikace (Internet Explorer, resp. úložiště certifikátů ve Windows)
a naimportovat do druhé (Mozilla). Možná mě už v tuhle chvíli budete
považovat za kverulanta, který naschvál nepoužívá Internet Explorer,
a snaží se nachytat ostatní. Občasné spuštění IE přežiji, ale jak si
mají o certifikát zažádat uživatelé ostatních operačních systému jako
je třeba Linux? Oni nemohou se státní správou komunikovat
elektronicky? Přece také platí daně?</para>

<para>Pokračoval jsem dále v generování žádosti o certifikát až jsem
se dostal k poslednímu kroku, kdy je potřeba žádost o certifikát
nahrát na disketu. Přiznám se, že mě požadavek poměrně překvapil,
disketu jsem nepoužil už asi tři roky a důsledné ohledání mého
notebooku mi jen potvrdilo, že se v něm žádný otvor pro zastaralé
záznamové médium nenachází. Řekl jsem si, že to nebude problém, že
některé registrační autority určitě budou schopné žádost načíst z CD
nebo z USB tokenu (flash paměť). Opět tedy volám do I.CA a ptám se,
kde je možné podat žádost na CD. Jejich informační linka je
obdivuhodná, protože nic neví. Prý si mám zavolat na pobočky PVT nebo
ČSOB, kde se certifikáty vystavují, a zeptat se tam.</para>

<para>Budiž. V PVT určitě počítám rozumí lépe, tak volám nejprve
tam. Dozvídám se, že v PVT mají počítače ještě z dob kupónové
privatizace, takže z ničeho jiného než z diskety to nejde. Paní na
druhé straně telefonu se mě nejprve ptá, zda si to opravdu nemohu na
disketu přehrát a pak mi nesměle nabízí, že na jednom počítači mají
i CD mechaniku, a mohli by mi to přehrát sami. Ptám se, zda je to
v pořádku, když se ve všech podmínkách píše, jak mám certifikát
chránit. Paní proti mé výtce nic nenamítá a navrhne mi, ať zkusím
ČSOB. Volám tedy do ČSOB. Po deseti telefonátech, několika přepojeních
a bloudění v kruhu konečně mluvím s někým, kdo ví, co je to
certifikát. Jde to jen z diskety, program neumožňuje načtení žádosti
z jiného média. Jsem odkázán na I.CA. Kruh je uzavřen.</para>

<para>Pobaveně si vzpomenu na ministra Mlynáře, jak ve světle
reflektorů kamer vykládá o elektronickém podpisu, e-governmentu,
informační společnosti, blablabla. Na <ulink
url="http://www.micr.cz/epodpis/default.htm&quot;&gt;stránkách ministerstva
informatiky</ulink> nalézám telefonní číslo na horkou linku e-podpisu.
Už spíše ze sportu na číslo zkouším volat. Hlášení mých problémů
(žádost jde vystavit jen v IE a lze ji předat jen na disketě) je
zaujalo, nicméně nemají žádný nástroj, jak I.CA donutit stav napravit.
Určitě to s nimi však proberou na dalším setkání. Přestávám chápat,
jak mohla I.CA dostat akreditaci na poskytování certifikačních
služeb. Jejich služby mi připadají dost amatérské.</para>

<para>S certifikátem jsem se otravoval už půl dne, a musím také někdy
pracovat. Pouštím to k vodě a počkám si alespoň na odpověď technické
podpory ohledně generování žádosti v Mozille.</para>

<para>Po týdnu mě I.CA překvapila. Přišla mi odpověď na sedm dní starý
dotaz. Žádost si mám vygenerovat v Internet Exploreru, certifkát po
vystavení vyexportovat a naimportovat do Mozilly. Podpora pro další
platformy se připravuje, ale zatím není k dispozici. Opravdu výborná
technická podpora, když po týdnu přijde na to, co mě napalo po jedné
minutě, a to nejsem odborník na e-podpis.</para>

<para>Začínám být certifikátem posedlý, říkám si, že to musím
dotáhnout do konce. Bez certifikátu neodejdu. Volám znovu na linku
I.CA a ptám se, co mám dělat, když v počítači nemám disketovou
mechaniku. Velmi se nad mým problém podivují, prý se ještě s takovým
případem nesetkali. Jestli se to nemohu na jiném počítači
přehrát. Nemohu a nechci. Ať zkusím zavolat do PVT a ČSOB. Volal
jsem a musel jsem si sám hledat telefonní čísla, telefonní kontakty na
ČSOB na webu I.CA chybí. Poslední co mi navrhují je kontaktovat jejich
technickou podporu &ndash; mailem. Ptám se, jestli to myslí
vážně. Vyjadřují údiv nad tím, že posledně mi odpověděli až za
týden. Zavolat se tam nedá, ani oni nemohou. Přestávám se bavit a chci
mluvit s nadřízeným. Nadřízený je už jen přímo generální ředitel pan
Č. Chci mluvit s ním. Má jednání. Beru si na něj číslo,
a navrhuji, že pokud mi technická podpora zavolá dříve než panu
generálnímu skončí jednání, nebudu mu muset volat. Nikdo nevolá. Za to
já volám pana ředitele. Rád bych s ním probral kvalitu jejich služeb
a přístup jeho zaměstnanců. Asi přede mnou někdo pana ředitele
varoval, protože se mi ho během půldne nepodaří
zastihnout. Jeden z důvodů proč jsem generálního ředitele nezastihl
mohlo být to, že zrovna pracoval jako technická podpora. Jak jsem si
později uvědomil, odpověď na můj dotaz ohledně Mozilly mi posílal
právě on.</para>

<para>K mému překvapení se mi někdo z I.CA ozval další den (už devět
dní po té, co jsem chtěl získat kvalifikovaný certifikát). Byly mi
nabídnuty dvě možnosti &ndash; abych si žádost přehrál na disketu nebo
že ji donesu na CD na předem dohodnutou pobočku PVT a certifikát
dostanu jen e-mailem. Souhlasil jsem s druhou variantou. Po pár
hodinách mi bylo potvrzeno, že mohu vyrazit na nejbližší pobočku PVT,
že jsou na mě připraveni.</para>

<para>Na pobočce PVT si ode mne vzali CD, zasunuli do počítače a po
chvíli mne požádali o průkaz lékaře nebo potvrzení, že pracuji
v nemocnici. Nechápavost jsem v té chvíli nemusel
předstírat. V žádosti o certifikát jsem do jednoho pole napsal kód
PORTALZP přesně tak, jak bylo popsáno v pokynech na portálu
zdravotních pojišťoven. Měl bych tak nárok na jeden z tisíce
certifikátů, které byly zdarma. Pracovnice PVT však trvaly na tom, že
tento kód mohou mít certifikátu jen zdravotničtí pracovníci. Mé pokusy
o to, ukazát jim na webu, že se to vztahuje i na pojištěnce nebyly
úspěšný. Někam ještě volaly, ale tam je akorát ujistili v jejich
omylu. Vzal jsem si tedy zklamaně zpět své CD a jel jsem domů. Volám
zpět do I.CA a líčím jim můj problém. Přesměrovávají mě na pana
Š. z PVT, který má projekt portálu ZP na starosti.</para>

<para>Dozvídám se, že možnost získat certifikát zdarma byla zamýšlena
skutečně jen pro lékaře a firmy, které ve větším objemu komunikují se
zdravotními pojišťovnami. To, že je na webu něco jiného, je zřejmě
chyba. Prý to ještě prověří u partnerů ze zúčastněných
pojišťoven. Nicméně v PVT mi každopádně měli nabídnout alepoň možnost
získaní certifikátu za peníze. Pan Š. byl také poměrně překvapen,
když jsem mu řekl, že můj kamarád takto certifikát coby pojištěnec
získal. Asi prý některé pobočky ČSOB nepracují důsledně podle
metodických pokynů. Zjistí co se dá, a určitě si mi po víkendu ozve.</para>

<para>Chci certifikát zdarma a rozhodl jsem se proto zkusit ČSOB. Když
to dali kamarádovi zdarma, dají to třeba i mě. Oprašuji starý
notebook s disketovou mechanikou, v krabičce od myši nacházím disketu
s ovladači, mažu jí a přehrávám na ní žádost o certifikát. V pátek
odpoledne, deset minut před koncem zavírací doby pobočky ČSOB,
provádím další pokus o vygenerování certifikátu. Vše je zdá se
v pořádku, ale aplikace hlásí, že mám za certifikát zaplatit. Ukazuji
vytištěné kopie stránek portálu ZP, z kterých vyplývá, že mám nárok na
certifikát zdarma. Paní L. ochotně volá do I.CA, ale nikdo
to už nebere. Domlouváme se, že to zjistí a ozve se mi.</para>

<para>Víkend jsem přežil v pohodě a certifikát mi k životu překvapivě
nechyběl. V úterý se mi paní L. ozvala, že budu mít certifikát
zdarma. Radostně běžím s disketou do ČSOB. Certifikační program přečte
data z diskety a čekáme. Minutu, pět minut, deset minut. Ptám se, zda
je to normální. Prý ano, protože žádosti se v I.CA ručně
kontrolují. Půl hodiny a pořád nic. Paní L. volá do I.CA. Dozvídáme
se, že mám špatně vyplněnou žádost. Hodnotu PORTALZP jsem napsal do
pole Zaměstnavatel a ne do Organizační jednotka. No jo, ale co mám
napsat do pole Zaměstnavatel. Odcházím z zklamaně z ČSOB a jdu domů
studovat dokumenty vážící se k certifikátům.</para>

<para>Nakonec vykoumám, že v poli zaměstnavatel mohu uvést své jméno,
protože mám živnostenský list. Zkušeně v Internet Exploreru generuji
novou žádost, na druhém počítači ji nahrávám na disketu a další den
jdu do ČSOB. Po ověření totožnosti a podepsání smlouvy je mi vystaven
certifikát. Zdarma. Jen mě podivuje, že nikdo něchtěl vidět
živnostenský list.</para>

<para>Disketu zahazuji na dno šuplíku a z e-mailu, který mi
přišel instaluji certifikát. Po instalaci ho vyexportuji a importuji
do mého e-mailového klienta. Hotovo. Ale komu teď budu psát? Vzpomínám
na nedělní oběd, kde mi kamarád líčil své zkušenosti s podpisem. Skoro
všude mu řekli, že elektronické podání nestačí. Odpovědi na jeho
maily přicházely nepodepsané.</para>

... a tak to bude do doby, nez i do tehle oblasti vstoupi konkurence ...

Ja jsem take majitelem kvalifikovaneho certifikatu, seriove cislo 9.

Nepotrebuji ho, nechal jsem ho vystavit z profesiobalniho zajmu. Nakonec mam certifikaty nekolika zahranicnich agentur, tak proc nemit take cesky. 770 Kč není málo, ale v odmene za nasazeni PKI u zakaznika se to da vyuctovat.

Take jsem ho chtel mit vystaveny pod linuxem. Tam jsem narazil. Nedozakazal jsem sehnat patche do OpenSSL, ktere by mi umoznily pouzivat 64-bitove Unicode kodovani, ktere se pouziva uvnitr certifikatu I.CA (mimochodem nepisi lide po tecce mezeru?) Pokud by takove patche existovaly, mam subjektivni pocit, ze mam struktury certifikatu nastudovane tak, ze bych dokazal s OpenSSL vystavit zadost u ktere by I.CA nedokazala poznat, ze neni vystaven jejich aplikaci.

Nuz na vyber bylo generovani certifkatu pomoci absolutne neduveryhodne aplikace distribuovane v binarni podobe a podobne neduveryhodne aplikace v podobe active X komponenty ICA enroll. Tezke rozhodovani. Nakonec zvitezila aplikace, ta alespon nekomunikuje po Internetu a snad muj privatni klic neproflakne. Jeste aby ho generovala nahodne. Par pokusu ukazalo, ze alespon neni pokazde stejny, takze budeme verit, ze je nahodny. (Predstavte si, jakou paseku dokaze napachat ten, kdo jednou dokaze distribuovat takovouhle aplikaci negenerujici nahodne privatni klice.)

Takze mam zadost a jdu do CSOB pro overeni. Prvni adresa v seznamu byla Vitezne namesti 5. To mam hned u skoly, proc ne. Jenze ouha, dlouho tam nikdo nic o certifikatech nevedel a nakonec sehnali nekoho, kdo me rekl, ze oni tedy v zadnem pripade. Poslal me do pobocky o 100 metru dale, adresa jina. Tam vedeli a meli hned tri proskolene osoby. Certifikat me vystavovali postupne vsichni tri. Neslo jim to. Volani do ICA = vsichni tri maji propadle certifikaty. Aplikace jim to nerekla, o autorovi takove aplikace si myslim zcela nepublikovatelne veci.

Takze dalsi pobocka CSOB. Vybral jsem tu v Jindrisske, velka pobocka, tak by mozna mohli chodit lide z okolnich uradu. Pan byl velmi prekvapen, ze chci certifikat. A kupodivu mi jej dokazal i vystavit. Overeni ICA trvalo pul hodiny, takze tam chudak zustal po pracovni dobe. Rikal, ze to nekdy trva i dele. Opet se to neobeslo bez volani na ICA, ale jen takove pingnuti mate to = mame to.

Kazdopadne musim lidi z RA pochvalit, ze meli velmi profesionalni chovani. Kdyz se omlouvali, ze to dlouho trva a nebo ze jim to nejde, tak opravdu vzbuzovali dojem, ze to snad i mysli vazne. Ptal jsem se jich, co by rikal, kdyby si o certifikat prislo vsech 200 tisic pojistencu spratelene pojistovny. Na to rikali, ze to tedy nevedi, protoze pri rychlosti aplikace je propustnost jedne RA asi 12 lidi za den.

Takze stal jsem se s vynalozenim 4 hodin casu + 770 korun majitelem certifikatu. Mimochodem, pokud se domnivate, ze v CSOB lze neco zaplatit embosovanou platebni kartou, tak jste na tezkem omylu, poslali me do bankomatu a s penezi zase zpet.

Nuz zacal jsem si certifikat uzivat. Jenze ouha, jedna ze hodne zajimavych aplikaci je sluzba casovych razitek, ktera ma dostat podle slibu na webu kazdy drzitel certifikatu vystaveneho I.CA zdarma. Jenze ja ho nedostanu vubec, kvalifikovany certifikat mi totiz jejich aplikace odmita prijmout. Takze reklamace mailem (podepsanym jejich kvalifikovanym certifkatem), po tydnu urgence telefonem, oboje bez odpovedi. Kdyz jim zavolam, poznamenaji si cislo a slibi se ozvat. Jeste par dni zbyva do 30 dnu a bude nasledovat vypoved smlouvy pro poruseni zavazku poskytovat technickou podporu a pro klamani spotrebitele nepravdivymi informacemi.

A jen takova perlicka, pri organizaci prednasky RMS jsem posilal pozvanky podepsane kvalifikovanym certifkatem. I ministru Mlynarovi. Odpovidal mi nepodepsanymi maily. Potom jsem omylem poslal mail podepsany mym Thawte certifikatem (jsem WOT notary) a odovedel podepsanym emailem. Podivil jsem se, proc jsou nektere odpovedi podepsane a jine a ne a odpoved byla: Podepisuji odpovedi jen na podepsane emaily. Z toho mi vyplyva, ze emaily podepsane kvalifikovanym certifikatem se jako podepsane nezobrazily. Mozna nekdo nema korenovy certifikat pro kvalifikovane certifikaty instalovan.

Mimochodem overil jsem, ze vychozi instalace pocitacu v poslanecke snemovne, senatu, ministerstvu zdravotnictvi a dopravy certifikat neobsahuji, takze kdyz tam poslete podepsany email, tak se zobrazite jako podvodnik.

Na druhou stranu, I.CA je jiste v tezke situaci. Vim jake jsou pozadavky na jejich servery a hosting a take kolik to orientacne stoji. Kdyz si predstavim, ze bych tohle provozoval a pritom vystavil po roce behu na jednu RA 9 certifikatu, tak to je na masli. To se pak nedivim, ze reditel dela soucasne sekretarku a technickou podporu. Ono mu asi nic jineho nezbyva, jeste by mohl ve volnem case stat pred uradem vlady s transparentem, mila vlado, kdyz jsi me do toho uvrtala, tak mi ted pomoz a zajisti, aby lidi nejake certifikaty chteli. Kdyz jsem dostaval akreditaci, to bylo reci jak vsichni budou mit certifikat. Proverovala me BIS, abych nahodou neutekl s certikaty milionu lidi a ted jich ma kazdy prumerny podnik vice od interni CA nez jsem jich mel moznost vydat ja.

No tak to je síla a možná by to byl zajímavý náměr pro TV reportáž. Opravdu jsme maximální kocourkov a mimo jiné to dokazuje, že Mlynář je jedině šašek, který umí dělat gesta pro média. Ostatně kdo si s ním někdy mailoval, tak jen z jeho češtiny na úrovni prvního stupně ZŠ (a to je bývalý novinář a současný ministr) se mu muselo dělat špatně.

Jen k tem disketam. Kdyz jsem si zadal o certifikat v Ebance, take po me chteli dorucit zadost na diskete. Zeptal jsem se na CD, a pry muze byt. Jenze protoze mi 6ty smysl nedal, vyndal jsem pro jistotu ze skrine FDD mechaniku a nahral tu zadost jeste na disketu. A samozrejme, zadost z CD sice pravda precist problem nebyl, ale ten nastal v okamziku, kdy bylo treba zpet nahrat bankou podepsanou zadost ;).
Vypalovacka nebyla. Ani jsem se na pracovnici banky nezlobil, pokousela se na CD soubor ulozit z jejich aplikace a me bylo hned jasne, ze tohle nema sanci na uspech. Jen me prekvapilo, ze s necim takovym proste nepocitaji. Zvlaste kdyz dnes uz opravdu neni zadny duvod pouzivat diskety (bal jsem se hlavne toho, ze nez ji donesu domu, nebude citelna).

Díky za asi nejzajímavější příspěvek do diskuse. Zaujalo mne hlavně potvrzení toho, čeho jsem se obával: I) že můj privátní klíč není bezpečný (nemohu jej vytvořit sám), II) že CA která prodává vládou schválené certifikáty není v kořenových certifikátech počítačů, které vláda používá.

Ja fakt tu kristalovou kouli nemam, ale Euro On-Line pise o tom, ze by Ceska Posta mela vydavat take kvalifikovane certifikaty. Jejich rozhodovani se docela tahlo.

Jo a jestli nechcete cekat na to, ze se v 16:00 objevi ta zprava mezi zpravickami, kam ji v jednu umistil Martin Kopta, navstivte Euro On Line

To je blbost !

Váš soukromý klíč si můžete (dokonce musíte) vytvořit sám. I.CA přijímá žádosti v protokolech podle standardů popsaných v jejich certifikační politice a vydává je opět v jasně daných standardních formátech. Na disketě k nim nenesete svůj soukromý klíč, ale žádost o vystavení certifikátu, kterou pouze podepisujete svým soukromým klíčem. Protože v žádosti je uveden váš veřejný klíč, je CA schopna ověřit, že odpovídající soukromý klíč skutečně máte. Žádost můžete vytvořit hexa editorem, když na to přijde.

Mimochodem, přimlouval bych se za to, abyste všichni měli a používali soukromý klíč pouze z čipové karty, nejlépe s papírem ověřujícím, že má určitou úroveň zaručení bezpečnosti.

Informace o funkcionalitě RA z praxe je ale zajímavá a I.CA by si z toho měla vzít ponaučení. Těmto nuancím nemůže normální člověk nikdy rozumět a šíří se o firmě pak bludy. Chybí jí user-friendliness, prostě asi nejsou peníze.

Tak to pozor. Soukromy klic nevytvarite vy, ale vytvari jej aplikace, kterou poskytuje CA. Ta aplikace neni ani nahodou pripravena na to, ze si udelam klic pres openssl genrsa -des3 2048 a v aplikaci vyrobim potom CSR.

To ze si to muzete udelat hexa editorem je pravda, budete muset znat syntaxi nekolika privatnich OID, ktere do certifikatu vklada jejich aplikace, aby to nepoznali. Oni samozrejme popiraji moznost, ze by podporovali certifikaty, resp. zadosti o ne, vytvorene mimo jejich aplikace. No to jsem se specialne ptal a kolega zjevne take.

S tim, ze by bylo vhodne, aby se pouzivaly certifkaty vyhradne na cipovych kartach lze jen souhlasit. Snad bych jen upresnil, ze pro domaciho uzivatele je jiste stravitelnejsi pouzivat USB tokeny, ktere interne obsahuji cipove karty, ale jsou levnejsi nez ctecka a karta zvlast. Tady ale opet narazime na to, ze I.CA takove tokeny nepodporuje a ne kazdy si v takove situaci umi poradit.

Bezny uzivatel, ktery nema potrebne znalosti nema sanci svuj privatni klic ochranit dostatecne, zvlaste kdyz nektere nejmenovane firmy si predstavuji zabezpeceni tak, ze uzivateli poslou nejaky program a ten si ve vlastni rezii nacte certifikat a privatni klic, pricemz obejde alespon zakladni bezpecnostni mechanizmy uloziste certifikatu v prohlizeci/OS, ktere to jeste mohly zachranit.

Snad bych jen upresnil, ze pro domaciho uzivatele je jiste stravitelnejsi pouzivat USB tokeny, ktere interne obsahuji cipove karty, ale jsou levnejsi nez ctecka a karta zvlast.

Nejen domaci uzivatel. Predstava, ze s sebou taham na sluzebni cestu krome notebooku i ctecku karet, se mi docela zajida. A to radeji nezminuju investicni a provozni naklady v organizaci, ktera ma nekolik stovek PC.

Oni samozrejme popiraji moznost, ze by podporovali certifikaty, resp. zadosti o ne, vytvorene mimo jejich aplikace. No to jsem se specialne ptal a kolega zjevne take.

Pokud je toto tvrzeni overitelne, je naprosto neuveritelne a troufam si rict SKANDALNI ze vubec dostali od ministerstva licenci.

Nádheráááá ! já málem padl ze židle...
počkejte, ono se Vám fakt podařilo získat kvalifikovaný certifikát od 1CA přes ČSOB odkazem na VZP zadačo?
to by byl skutečný průlom "Českou cestou" ;-)

S VZP to nemá nic společného. Na www.portalzp.zp probíhala akce, kdy prvních 1000 zájemců dostalo certifikát zdarma.

I.CA. nevydala, podle vseho, nikdy zadny certifikat serioveho cisla "9". Pokud vidim, tvuj certifikat:

 Data:
 Version: 3 (0x2)
 Serial Number: 10004604 (0x98a87c)
 Signature Algorithm: sha1WithRSAEncryption
 Issuer: CN=I.CA - Qualified root certificate 
 (kvalifikovaný certifikát poskytovatele) 
 - PSEUDONYM,
 C=CZ, 
 L=Podvinný mlýn 2178/6, 190 00 Praha 9,
 O=První certifikační autorita a.s.,
 OU=Akreditovaný poskytovatel certifikačních služeb
 Validity
 Not Before: Apr 14 14:55:02 2004 GMT
 Not After : Apr 14 14:55:02 2005 GMT
 Subject: C=CZ, CN=Dan Ohnesorg, 
 L=Rudná u Prahy, Jinočanská 367/7/Email=dan@ohnesorg.cz, 
 G=Dan, I=DO/name=Dan Ohnesorg, 
 S=Ohnesorg, SN=ICA - 10008174
 ....
 X509v3 Certificate Policies: 
 Policy: 1.3.6.1.4.1.6625.1.1.4.4
 CPS: http://www.ica.cz/qcp/cpqpica02.pdf
 User Notice:
 Explicit Text: Tento certifikat je vydan 
 jako Kvalifikovany certifikat 
 v souladu se zakonem 227/2000 Sb.

... ma seriove cislo 10004604. To jen pro poradek.

Kdyz uz jsem tak brouzdal po databazi - celkem bylo dosud vydano (do tohoto okamziku) 5063 kvalifikovanych certifikatu. Z nichz 1345 bylo vydano (zatim) tento rok, Loni to bylo 2944 a rok predtim (to sluzba zacinala - prvni certifikat byl vydan 29.3.2002) 773.