Názory k článku Kvalifikovaný certifikát na dvě věci

No takhle vyhraneny pristup k veci mel zatim vzdy jen Telecom (a paradoxne Microsoft) .... Nepujcili si oni na tento projekt management?

A jak to funguje s Mozillou Mail klientem. Rozhodne neminim pouzivat Microsft Outlook.

Budto je mozne si primo z NesCafe zazadat o certifikat pro NesCafe, nebo v Exploreru pri zadosti oznacit jako exportovatelny a pak vyexportovat a naimportovat na Mozilly, ale asi to chce vyzkouset na konkretni verzi s testovacim.

Ovsem jestli je pravda co pisou v tom clanku, tak bych to snad ani nezkousel...

Jestli tomu rozumím dobře, pak tedy stále neexistuje instituce, která by vydávala soukromé elektronické klíče?

Hmm, už vidím, jak se při takovýchto problémech se elektronický podpis lavinovitě šíří mezi lidmi. :-( V jakékoli certifikační autoritě by měli uvažovat tak, aby to bylo "for dummies". Nebo nerozumí marketingu?

Ale oni to nedelaji "pro lidi" - delaji to, jako ostatne vetsina subjektu v kapitalismu, pro zisk. Ten byznys je primarne zamereny od oblasti podniku :-)

Je mi jasné, že to dělají pro zisk. Ale musí to masově rozšířit, ne? Nebo že by si spočítali: než 1 000 000 tupých dummies je lepší 50 megapodniků? :-(

Spocitejte si, kolik lidi pracuje v tech megapodnicich (=zhruba tolik certifikatu bude podnik potrebovat) :-)

Nějak mě nenapadá, na co by mohl každý zaměstnanec potřebovat kvalifikovaný certifikát. Pro vnitrofiremní použití mu vystavím vlastní, a navenek se státními úřady jedná stejně jen pár osob, i u megapodniku.

jenze jak mu pad vse dokazete? jedine vzajemnou dohodou. Jenze padlo jiz par soudnich rozhodnuti ze to nestaci. takhle se budete soudit ze statem? proste zamestnance vyrazite a je to (pokud se neco provali)
M.

No, nemyslim si, ze primo jen pro podniky, ale ocividne normalni lidi na to nemaj ani zaludek, ani vedomosti ... mely by se jim dat dve diskety, jednu tam strcej, a "ono se to podepise" a druhou a "ono si to overi podpis", protoze jestli to bude jakkoliv slozitejsi, tak se to mezi prostym lidem opravdu tezko ujme ... at s tim jdou k certu, normalni aplikace se musej tejdny testovat, nez jdou do vostra, a tady sice udelaj neco presne podle nejakejch standartu, ale ocividne je to nepouzitelne ... ale zrejme maj dost penez na to, aby je takto plejtvali ..

No, myslim, ze normalni lidi to nezvladnou ani tak.

Mam internetbanking od NetBanky a to co tam maji za chaos s certifikaty nezvladam ani ja sam a to si myslim, ze o certifikatech neco vim. :-( hruza. Jestli nekdo vygeneruje stejne nesmysly i pri podpisovani danoveho priznani, tak to stejne nakonec budu chodit na FU sam (navic jsou tam prijemne pani, ktere mi poradi).

Mno nevim nevim co ma NetBanka za chaos s certifikaty... Kdyz jsem si ji porizoval tak zprovozneni netrvalo ani chvilku a s certifikaty nebyl vubec zadny problem.

Zato "internetbanking" od CSOB je skutecna perla. Jestli jste to nekdo instaloval tak me date za pravdu protoze neco tak neuveritelne zmrsenyho a slozityho jsem jeste nevidel, nejenze po radne instalaci me aplikace hlasi chybu pri otvirani certifikatu tak i manual k praci s certifikaty prakticky neni a podpora stoji take za ......

NetBanka je dobrý produkt, ale skutečně musíte mít dva certifikáty a celkem čtyři různá hesla. Možná jste si zřizoval Netbanku před její "inovací" jako já, teď je práce s certifikáty mnohem složitější.

Jo, taky se mi líbí, hezky zpracované, drobné chyby bych tam ale rozhodně našel. Třeba když si nastavím nejvyšší úroveň zabezpečení a on chce stahovat nějaké nezabezpečené komponenty...

Mají tam hromadu hesel, různá zabezpečení, a ještě k tomu nekonzistenci v pojmenovávání těch věcí. Když se jednou něco jmenuje revokační klíč (nebo heslo), tak by si pro to neměli vymýšlet jiná označení. To platí i pro další věci. Při odmítnutí změny hesla vám např. neřekne, jestli je to špatně zvolené heslo, nebo jste zadal staré heslo špatně, atd. Pro vylepšení je stále dost prostoru.

Jo, netbanku mám od její starší verze někdy z minulého roku a připadla mi použitelnější, ale jinak to přece jenom jde.

Nutno dodat, že netbanka JE ZDARMA, asi ji zkusím když je zdarma.

Co se týká bývalého IPB, to byla hrůza při instalaci a bylo to hnusné (ve srovnání s eBankou tehdy, eB je stále stejná a má výhodu - je ji možno použít z jakéhokoliv počítače s Internet Explorerem, nemusí se do OS rvát certifikáty)...

A navíc eB funguje i s jinými prohlížeči a v jiných operačních systémech, na rozdíl od většiny ostatních. S cenou už je to ale horší.

Při odmítnutí změny hesla vám např. neřekne, jestli je to špatně zvolené heslo, nebo jste zadal staré heslo špatně, atd.

To je mozna neprijmne z hlediska komfortu uzivatele, ale z hlediska bezpecnosti je naprosto nepredstavitelne, aby vam program vykladal co presne je v zadanych udajich spatne - bezpecna odpoved je jedina - zadana kombinace jmena a hesla je neplatna - at uz jde o neexistujici jmeno (napr. preklep), chybne heslo, stare a neplatne heslo nebo cokoliv jineho ...

To je nesmysl. Nevím proč by mi nemohl říct, že třeba zvolené heslo je moc krátké, nebo že staré heslo jsem zadal špatně. To žádnou bezpečnost neovlivní. Vše se totiž děje už při zabezpečené komunikaci se serverem, kdy už jsem autentizován.

Jedná se o formulář pro změnu hesla.

To co máte ve výčtu, s tím lze určitě souhlasit.

Jinak jste moc přísný - třeba Windows 2000 vám také hlásí, pokud např. zadáte nové heslo špatně (není 2x stejné).

U Netbanky se to ještě komplikuje tím, že nové heslo musí splňovat určité náležitosti, které ovem banka přesně klientům nesdělila.

Trvalo docela dlouho, než jsem přišel v čem je problém (a že je vlastně v novém hesle...)

Domnívám se, že by aplikace měla hlásit, že NOVÉ heslo z nějakého důvodu nevyhovuje (bez konkretizace).

Ha, nepozornost. To, ze jde o zmenu hesla me uniklo. Pro nove heslo (ktere navic bylo odmitnuto, takze se vlastne novym heslem nikdy nestalo) by to samozrejme byl prilis silny pozadavek. Za nepozornost se omlouvam.

Tak o nynejsi situaci nevim, NetBanku mam temer od zacatku ale uz jsem musel v prubehu 2x menil kompletne cerfitikaty kvuli vlastni chybe (preinstalace systemu, nezalohovani certifikatu) a urcite to vsechno probehlo bez problemu. Priznivou zkusenost mam i s infolinkou, kde ochotne poradi. Navic je vedeni uctu i s netbankou a kreditni kartou na prvni rok zcela zdarma tazke podle me je to na sluzbu "zdarma" uplne bajecny... Samozrejme pocitam ucet pro fyzicke osoby "nepodnikatele".

Jiz kdysi davno jsem si chtel poridit certifikat u nejake nasi firmy, nicmene me odradilo u 1CA toto (nakonec jsem si poridil pouze emailovy od THAWTE): https://www.1ca.cz, jestlize nemaji certifikat vystaveny nejakou rootovou CA, ktera je bezne nastavena v browserech, tak jak se mam ujistit, ze komunikuji prave s nimi? Komu a jak budu zasilat informace ... Z tohoto duvodu jsem si o profesionalite 1CA udelal vlastni obrazek. Tento clanek moje podezreni jen potvrdilo.
Trochu offtopic: nezajimam se moc o deni v ceskych luzich a hajich kolem certifikatu, ale predpokladam (to uz je invariant co se tyka statni spravy a (polo)statnich organizaci), ze jako obvykle nase hezke ceske korupcni prostredi umoznilo delegovat vydavani certifikatu tomu, kdo nejlepe "podmazal" dotycne uredni simly. Pokud se nemylim, tak "jine" certifikaty (THAWTE apod.) povoleny pro komunikaci se statni spravou nejsou, takze tu mame dalsi "zlaty dul", ktery opet pujde z nasich dani.

Zřejmě se domníváte, že pokud certifikační autorita má svůj certifikát dodáván s některým prohlížečem, znamená to, že je také důvěryhodnější. Tato představa není prosta iluzí. Není to tak dávno, co se tu zmiňovalo, jak snadné je získat falešný certifikát od některé takové (a mám pocit, že jmenovitě Thawte).

To neni predstava to je realita. Myslim, ze to byl Verisign, ktery vydal falesny certifikat Microsoftu, to ale nic nezmeni na tom, ze pokud chci fungovat jako duveryhodna CA musim mit duveryhodny (tj. posveceny nejakou rooti CA) certifikat. Vzdyt vsechny certifikaty co 1CA vyda budou take neduveryhodne. Co mi brani si vydat certifikat na 1CA ? Nic. A muzu vesele podepisovat a vydavat. Takove certifikaty se budpu chovat naproste stejne: "Posveceno 1CA - neznam -neduveryhodne. Chcete tomu duverovat ? Ano. Ne".
1CA pro me nemuze byt zatim duveryhodna z vyse uvedenych duvodu (plus tento clanek).

Mozna kdyby jste se seznamil s tim jak se overuje certifikat a ze v Internet Expoloreru stejne jako v Netscape (Mozille) (ci jiny prohlizec) musite mit Root certifikat certifikacni autority + vsechny cert. ktere na nej navazuji. Potom by se Vam nestalo, ze se Vas prohlizec ci mail klient bude takto chovat :-) Spolecnosti ktere maji certifikaty v Internet Exploreru za to tezce zaplatily!

co je podla vas "rooti CA"?

Overeni certifikatu ma tzv. "stromovou" strukturu:
ROOT CA
|
- rozsirujici certifikat CA
|
- Osobní certifikat
Tzn: pro spravne overeni musite mit naimportovane:
- Root cert. certifikacni autority (ROOT certifikat)
- vsechny rozsirujici cert. certifikacni autority (Osobni testovaci, Osobni Class2, Serverovy Class2,...). Ktere se vztahuji k certifikatu ktery chcete mit overeny.
Kazda autorita to muze mit jinak podle cert. politiky.

OK, tomu rozumiem, len som sa chcel autora menom "Palka" spytat, co v jeho vete:

"..., ze pokud chci fungovat jako duveryhodna CA musim mit duveryhodny (tj. posveceny nejakou rooti CA) certifikat."

ma byt ta "rooti CA". Pravdepodobne si mysli, ze ked je nejaka CA prednastavena v jeho prehliadaci, tak je "rooti", co na byt asi znakom najvyssej doveryhodnosti. :-)

Koukam, ze se to tady docela rozjelo.
Vy byste mohl vykladat z karet, kdyz vite co si myslim - nejste tady sam, nebojte! Mrknete se do prohlizece "Trusted Root CA" a budete hned vedet o cem mluvim - a nebo se radeji zeptejte v MS/Netscape/SUN co tim teda mysleli a proc :)
Jinak je moc pekny si tady cist. "Ono je to v podstate uplne k nicemu, ja o tom uz psal drive v ucitelskych novinach" ... volne prelozeno. Ja zkratka myslence hierarchie CA duveruji a Frantovi Vopickovi z 1CA proste ne. A opravdu nehodlam behat do 1CA se divat na jejich fingerprint jestli to jsou "voni". A uzivatele to zrovna tak delat nebudou. Tohle pochopili (mimo Kocourkov) snad uz i v Rusku... :) nebo snad jste videl jedinou banku (opet mimo kocourkov), ktera by si dovolila vydat sama sobe certifikat? Akademickou diskusi, ze prece ani "posveceny" certifikat nic resit nemusi necham na jine, ale 99.99% uzivatelu te banky to vskutku uz zajimat nebude. A takovy IT manazer, ktery by to povolil by domanageoval 12 :)
Jinak pan Peterka popsal jiny problem a neni co dodat, a ja s nim jen tise a skromne souhlasim... jo neni nad profiky z 1CA a stat jim zehnej z nasich dani.

Tak jsem se podival na "Trusted Root CA", abych vedel, o cem mluvite a jediny co vidim je
--
I.CA - Qualified root certificate ...
Testovaci CA
--
Obavam se, ze Vas asi stale nejak nechapu

Obávám se, že právě vy nechápete, že pro komunikaci se státem musí mít stát dostatečné záruky, že komunikuje jasně identifikovanou osobou. Takovou záruku na úrovni zákona mu žádná certifikační autorita, která není akreditovaná, nedá.

Při komunikaci mezi soukromými subjekty mohou samozřejmě obě strany zvolit libovolnou certifikační autoritu, na které se dohodnou.

Z bezpečnostního hlediska by v prohlížeči vůbec žádná root certifikační autorita neměla být nainstalována. O instalaci by se měl postarat dostatečně odborně zdatný profesionál, který ví co dělá. Nevím, jak by se vám třeba líbilo, kdyby v dodávaném software byla zadní vrátka pro výrobce (což je téměř ekvivalent nainstalovaných certifikačních autorit).

Ad 1CA a naše daně: kde jste na to přišel? Je to soukromý podnik, který žádné dotace nedostává. Klidně si založte svou vlastní CA a provozujte si ji, jestli se vám to vyplatí.

Navíc jste patrně nepochopil, že certifikát kořenové certifikační autority si každá certifikační autorita podepisuje sama :-(

Asi takto, v prvni polovine 90tych let navrhla IETF standardy zvane souhrne PEM, ktere vychazi z X.509 a ktere byly vystavene na myslence dusledne hierarchizace vsech certifikatu behajicich po netu.

Jenze to krachlo. Dodnes to nefunguje a uz to asi ani nikdy fungovat nebude. Namisto X.509 se do netu protlacuje LDAP a plossi certifikacni struktury.

1. Jako uzivatel nevite, jak se certifikat do vaseho browseru dostal a zda odpovida skutecnemu soucasnemu certifikatoru.

2. Jako uzivatel nevite ani, jake jsou politiky vsech autorit, ktere jsou v certifikacnim retezci. Bez politik, a bez pravniho zarazeni zavaznosti politiky na hmotnou odpovednost certifikatora, vam je certifikat malo platny. Dal to overovani, zda certifikator v retezci mezitim nezhynul, nebo nezneplatnil sve certifikaty. Treba akcie Verisign jsou dneska asi na 5% hodnoty z pred 2 let a kdo vi, jak to bude dal!

3. Proste seshora nezajistite, aby vespodu vsude kolem sveta kazdy certifikoval tak, jak byste chtel a zespoda to zase nezajistite smerem nahoru. Zvlast kdyz kazdy chce, aby certifikat byl levny, ze. Musite se starat sam o sobe, i kdyz to neni pohodlne. To je zivot. Take it easy.

Myslim, ze plest si X.509 s LDAP je asi jako michat hrusky a autobusy. X.509 jsou certifikaty, LDAP je adresářová služba podobná X.500.

Standardy, které přijímalo IETF se patrně spíš jmenují PKIX.

X.509 je jediný standard pro certifikáty, který je v současnosti použitelný (PGP používá spíš web-of-trust, ovšem něco na způsob hierarchického uspořádání se z toho dá také vytvořit) a používá se pro veškerý https provoz.

Pro zneplatnene certifikaty existuje rozsireni, diky kteremu je mozne CRL kontrolovat online. A treba mozilla to dela.

Když si půjdu pro certifikát na 1CA, tak si sebou odnesu i jejich kořenový certifikát. Tím je pro mne důvěryhodný.
Pokud chci jejich podpisy jen ověřovat, tak mám smůlu, a musím si pro něj dojít nebo důvěřovat tomu vystavenému na www stránkách.

Verisgn vystavil certifikáty někomu, kdo se vydával za Microsoft, u Thawte o problému nevím. Thawte nás docela důkladně prověřoval, je to už ale asi 6 let.

No pokud je certifikat v IE tak za to dotycne certifikacni autorita musela tvrde zaplatit a sveho certifikatu si tudiz nalezite vazi :o)

Vztahem bezpecnosti certifikatu a toho, jestli je nebo neni nainstalovan jako rootovy v nejakem prohlizeci jsem se zabyval uz pred znacnym casem v clanku HTTPS - bezpecnost jen pro vyvolene primo tady na Lupe. To, ze je nejaky certifikat umisten v root-store neni zadnou zarukou cehokoliv (nemluve o tom, ze instalace prohlizecu mohou a casto jsou ruzne customizovane - a to muze znamenat i naprosto zmenu seznamu techto certifikatu), natozpak jakekoliv bezpecnosti. Clanek sice mluvil predevsim o HTTPS, ale jeho zavery jsou obecne platne at uz jsou klice pouzivany k jakekoliv autentizaci.

Souhlas, to je receno strucne a jednoduse :-)

Veřejný klíč 1.CA (nebo jiné tuzemské CA) si může kdokoliv zařadit mezi své přijímané (ověřené) Certifikační autority sám.

Ověřit si identitu, totiž, že certifikát skutečně pochází od proklamované CA, můžete buďto porovnáním celého veřejného klíče CA s tím, který je uveřejněn na webu, nebo alespoň jeho otisku (Thumbprint, fingerprint). Otisk lze pro jistotu ověřit i jiným kanálem, než přes internet (web).

Problém přijímání certifikátů od kořenových CA je v tom, že pro praktické použití nějakého certifikátu si musíte stejně ověřit politiky všech certifikačních autorit, které v certifikačním stromu certifikaci zprostředkují, co garantují, co ne. Jakýkoliv slabý článek v řetězu se projeví. Také to, zda někdo v řetězci svůj certifikát nezneplatnil, atd. Zkrátka si hierarchizací stejně příliš nepomůžete, hloubka certifikace musí být únosná a Verisign nemá a nebude mít kancelář v každé obci za rohem.

Jak je to se soukromým klíčem ? V článku píšete "s veřejným klíčem jde za certifikační autoritou " a o odrážku dále píšete že do certifikátu je vložen žadatelův soukromý klíč. Já jsem si myslel, že soukromý klíč zůstane pouze na mém počítači a nikam ho nemusím (a ani bych neměl) nosit. Sice je na heslo, ale člověk nikdy neví.
Sám jsem si kdysi hrál s certifikáty tvořenými pomocí openssl. Zjistil jsem zajímavou věc. MS outlook 5 sice zprávu zašifroval, ale při jejím příjmu hlásil že nejde rozšifrovat. Podpis rozeznával v pořádku. Tutéž zprávu v pohodě rozšifroval outlook 4 i Netscape pod Linuxem. 128 bitové šifrování jsem měl nainstalované.

Zdravím Roman

V clanku je evidentne preklep. Do certifikatu se vklada verejny klic a CA ho podepise svym soukromym klicem.

máte pravdu, do certifikátu se samozřejmě vkládá veřejný klíč. Trapně jsem se přepsal, sypu si popel na hlavu :-)
Snad to ale bylo z kontextu jasné ...
Požádal jsem redakci o opravu, sám už nemohu do publikovaných článků zasahovat.

Má stárnoucí hlava tomu už opravdu nerozumí. Pan Peterka, ve své nezměřitelné moudrosti, věnuje desítky odstavců popisu něčeho, co by se dalo napsat do jednoho odstavce. Splete dohromady všechno možné a nemožné a čtenáři zjevně, ve fázi totálního zmatení, stejně nevědí kde je vlastně bota či kde zůstal zakopaný pes.

Pane Peterka, nemohl byste to konečně, někdy, napsat pro lidi?

"Proboha proc" davate panu Peterkovi za vinu, ze jste ten clanek nepochopil? Mozna v tomto pripade nebude chyba na jeho strane... ;-)

Jen jestli není chyba v tom, že pan Peterka nepochopil všechny principy, bezpečnost, zákonitosti a omezení, které sebou nese certifikát jako takový. Potom by to byl článek úplně o něčem jiném.

Jste si jistý, že jste to pochopil vy? Z článku poměrně jasně vyplývá, že pan Peterka tomu rozumí.

To, že někdo dá do certifikátu jenom Non-Repudiation je imho pekna blbost. S tim se toho pak moc delat neda.

Jsem si naprosto jist, že jsem zmíněnou problematiku pochopil (lépe řečeno jí rozumím). Neříkám, že pan Peterka věcem nerozumí (myslím, že tomu rozumí docela dost), ale při stejné filosofii já rozumímmikrobiologii nebo astronomii, nukleární fyzice apod.

Bohužel nemám tolik času abych se mohl rozepisovat tak jako pan Peterka a uvádět věci na pravou míru a svým způsobem spojovat vytrhané souvislosti.

Vy jste se nechal nachytat nějakým pane "Klausem", což způsobilo hluboké nedorozumění :-)

Tady se musim pana Peterky zastat. Myslim, ze clanek presne popisuje chybu, ktere se ICA dopustila.

Co se tyka duveryhodnosti certifikacni autority, tak skutecne je jedno jestli je v exploreru nebo ne. Podle toho co vim ja, tak o tom co tam bude rozhoduje MS na zaklade uplne jinych kriterii, nez je jen duveryhodnost.

Mimochodem, jeste pred nejakou dobou v MSIE nebylo ani Thawte.

V MSIE 3.0 už ano.

Jen jestli není chyba v tom, že pan Peterka nepochopil všechny principy, bezpečnost, zákonitosti a omezení, které sebou nese certifikát jako takový. Potom by to byl článek úplně o něčem jiném.

Jen jestli není chyba v tom, že pan Peterka nepochopil všechny principy, bezpečnost, zákonitosti a omezení, které sebou nese certifikát jako takový. Potom by to byl článek úplně o něčem jiném.

Rad bych vyjadril poteseni, jak p. Peterka clanek zpracoval.

Systematicky a chronologicky popsal celou situaci. To mne jako ctenari dalo moznost postupovat celou situaci krok za krokem, vstrebavat nove informace podavane "po troskach" (tak aby je ctenar (ja) byl schopen vstrebat). Navic mne osobne tak poskytl moznost sledovat logicky postup autora-resitele (tj. p. Peterky). I z toho je mozne se lecos priucit :)

Myslim, ze prave takovy styl psani je pro "normalni lidi".
Mam osobni zkusenost, ze tento styl je mnohem narocnejsi na kvality autora a jeho zdroje.

Dekuji p. Peterkovi a dalsim autorum s timto pristup k psani.

og

Od 22.4. platí nová certifikační politika ICA pro kvalifikované certifikáty. Změna spočívá v úpravě profilu vydávaných certifikátů, položka Key Usage nyní obsahuje:
nonRepudiation
digitalSignature
keyEncipherment
dataEncipherment.

Tím by (snad) měl být odstraněn problém s nepoužitelností certifikátů v klientech.

Stále ovšem zůstává stejné ustanovení 1.4.5 (Použitelnost).

Tak nevím, připadá mi, že se snad ICA zuby nehty brání tomu, aby certifikát pořádně fungoval...

Děkuji Vám Pavle za (dosud) jediný smysluplný příspěvek do této diskuse. Zároveň je to myslím příspěvek, který by celou diskusi měl ukončit: tím, že lze (volitelně) uložit do osobního kvalifikovaného certifikátu Key usage digitalSignature, keyEncipherment a dataEncipherment odstraňuje se zřejmě i problém s podepsáním dat.

Pravdou také zůstává, že v dokumentu popisujícím certifikační politiku je skutěčně potřeba opravit (anebo vysvětlit) odstavec 1.4.5: Použitelnost.

Zajímavé je, že v dokumentu Certifikační politika jsou změny profilu certifikátu datovány na 15.3.2002, zatímco platit zřejmě začaly až 22.4.2002. Zajímalo by mě, zda na změnu měly vliv dotazy a článek p.Peterky anebo zda I.CA pochopila problém sama a dříve?

700,-- s DPH za kvalifikovaný certifikát na 12 měsíců? To si radši těch 10 výkazů za rok pošlu na úřady poštou!

Proč to není zdarma? Když už to neumí zřídit a provozovat stát (na vývoj a údržbu něčeho takového by stačily 1-2 lidi), tak má najmout a platit nějakou CA nemyslíte?

Vždyť on především by ušetřil (mohl ušetřit) při zpracování lejster, i když kdo ví...

Víte, jak dlouho se počítalo sčítání lidí v roce 18xx v USA? Tuším 7 let, když zavedli v dalším sčítání děrné štítky, bylo to za 6 týdnů hotové :-) (autor systému stál v jedné firmě dnes sloučené v IBM)

No, hlavně že si nějakej úřad udělal za 15mil. prezentaci...

Takže asi zůstanu u Thawte Private CA, je to 128bit, jdou tím posílat maily, je to zdarma!, můžete mít kolik chcete certifikátů a je v tom Vaše jméno, pokud jste ověřeni dostatečným počtem lidí, tak třemi (50 bodů).

kde jste v praze? rad bych nejake bodiky ziskal.

M.

V praze zatim neni zadny Thawte notar, ale mel by byt. Nemusi to byt nutne zadarmo, notari berou tak od 100 do 250 korun za overeni. Zadnej velkej job to ale neni, spise pro nadsence.

Jinak problem s thawte byl kdysi v tom, ze dali do IE korenovy certifikat od jejich testovaci certifikacni autority, takze si kazdy mohl nechat vystavit testovaci certifikat a pak pri pristupu na jeho stranky z IE nedoslo ke zobrazeni varovani o neduveryhodnosti certifikatu.

K Thawte CA:
Diskuze je o kvalifikovaných certifikátech, které vám nikdo jiný než ICA zatím nevydá. Pokud není požadavek na kvalifikovanost, mohu si certifikáty vydávat sám:-)

By docela rozhodně nestačili. Nemáte páru o tom, co to obnáší.

existuje nejaka moznost, jak podepisovat postu certifikatem pro komunikaci s ex-IPB?

Rozhodne - podepisovat muzete vzdy jakymkoliv certifikatem, a dokonce, pokud jste se na jeho pouzivani s protistranou dohodl, pak jde o podpis zavazny (tak tomu, mimochodem, bylo i pred vznikem ZoEP).

Pokud se ale ptate na to, zda jde o podpis kvalifikovany ve smyslu ZoEP, pak odpoved je zaporna.

Já jsem si vše teoreticky ujasnil na stránkách České pošty (viz soubor pdf http://qca.postsignum.cz/zcu/files/info/QCA_zakaznik_PO.pdf). Stránky pro kvalifikovaný certifikát (používá se komunikaci se státní správou) = http://qca.postsignum.cz/ a stránky pro komerční certifikát (používá se pro šifrovanou komunikaci) = http://vca.postsignum.cz/.
Též mě potěšila cena 190Kč včetně DPH za certifikát. Narozdíl od 1.CA a eIdentity.
Na stránkách též najdete program PostSignum Tool 1.4 pro off-line generování klíčů a elektronických žádostí o certifikát.
Teď půjdu na poštu a nechám se překvapit jak to funguje na ostro.