Myslim, ze plest si X.509 s LDAP je asi jako michat hrusky a autobusy. X.509 jsou certifikaty, LDAP je adresářová služba podobná X.500.
Standardy, které přijímalo IETF se patrně spíš jmenují PKIX.
X.509 je jediný standard pro certifikáty, který je v současnosti použitelný (PGP používá spíš web-of-trust, ovšem něco na způsob hierarchického uspořádání se z toho dá také vytvořit) a používá se pro veškerý https provoz.
Pro zneplatnene certifikaty existuje rozsireni, diky kteremu je mozne CRL kontrolovat online. A treba mozilla to dela.
Asi takto, v prvni polovine 90tych let navrhla IETF standardy zvane souhrne PEM, ktere vychazi z X.509 a ktere byly vystavene na myslence dusledne hierarchizace vsech certifikatu behajicich po netu.
Jenze to krachlo. Dodnes to nefunguje a uz to asi ani nikdy fungovat nebude. Namisto X.509 se do netu protlacuje LDAP a plossi certifikacni struktury.
1. Jako uzivatel nevite, jak se certifikat do vaseho browseru dostal a zda odpovida skutecnemu soucasnemu certifikatoru.
2. Jako uzivatel nevite ani, jake jsou politiky vsech autorit, ktere jsou v certifikacnim retezci. Bez politik, a bez pravniho zarazeni zavaznosti politiky na hmotnou odpovednost certifikatora, vam je certifikat malo platny. Dal to overovani, zda certifikator v retezci mezitim nezhynul, nebo nezneplatnil sve certifikaty. Treba akcie Verisign jsou dneska asi na 5% hodnoty z pred 2 let a kdo vi, jak to bude dal!
3. Proste seshora nezajistite, aby vespodu vsude kolem sveta kazdy certifikoval tak, jak byste chtel a zespoda to zase nezajistite smerem nahoru. Zvlast kdyz kazdy chce, aby certifikat byl levny, ze. Musite se starat sam o sobe, i kdyz to neni pohodlne. To je zivot. Take it easy.
Obávám se, že právě vy nechápete, že pro komunikaci se státem musí mít stát dostatečné záruky, že komunikuje jasně identifikovanou osobou. Takovou záruku na úrovni zákona mu žádná certifikační autorita, která není akreditovaná, nedá.
Při komunikaci mezi soukromými subjekty mohou samozřejmě obě strany zvolit libovolnou certifikační autoritu, na které se dohodnou.
Z bezpečnostního hlediska by v prohlížeči vůbec žádná root certifikační autorita neměla být nainstalována. O instalaci by se měl postarat dostatečně odborně zdatný profesionál, který ví co dělá. Nevím, jak by se vám třeba líbilo, kdyby v dodávaném software byla zadní vrátka pro výrobce (což je téměř ekvivalent nainstalovaných certifikačních autorit).
Ad 1CA a naše daně: kde jste na to přišel? Je to soukromý podnik, který žádné dotace nedostává. Klidně si založte svou vlastní CA a provozujte si ji, jestli se vám to vyplatí.
Navíc jste patrně nepochopil, že certifikát kořenové certifikační autority si každá certifikační autorita podepisuje sama :-(
Tak jsem se podival na "Trusted Root CA", abych vedel, o cem mluvite a jediny co vidim je
--
I.CA - Qualified root certificate ...
Testovaci CA
--
Obavam se, ze Vas asi stale nejak nechapu
Koukam, ze se to tady docela rozjelo.
Vy byste mohl vykladat z karet, kdyz vite co si myslim - nejste tady sam, nebojte! Mrknete se do prohlizece "Trusted Root CA" a budete hned vedet o cem mluvim - a nebo se radeji zeptejte v MS/Netscape/SUN co tim teda mysleli a proc :)
Jinak je moc pekny si tady cist. "Ono je to v podstate uplne k nicemu, ja o tom uz psal drive v ucitelskych novinach" ... volne prelozeno. Ja zkratka myslence hierarchie CA duveruji a Frantovi Vopickovi z 1CA proste ne. A opravdu nehodlam behat do 1CA se divat na jejich fingerprint jestli to jsou "voni". A uzivatele to zrovna tak delat nebudou. Tohle pochopili (mimo Kocourkov) snad uz i v Rusku... :) nebo snad jste videl jedinou banku (opet mimo kocourkov), ktera by si dovolila vydat sama sobe certifikat? Akademickou diskusi, ze prece ani "posveceny" certifikat nic resit nemusi necham na jine, ale 99.99% uzivatelu te banky to vskutku uz zajimat nebude. A takovy IT manazer, ktery by to povolil by domanageoval 12 :)
Jinak pan Peterka popsal jiny problem a neni co dodat, a ja s nim jen tise a skromne souhlasim... jo neni nad profiky z 1CA a stat jim zehnej z nasich dani.
OK, tomu rozumiem, len som sa chcel autora menom "Palka" spytat, co v jeho vete:
"..., ze pokud chci fungovat jako duveryhodna CA musim mit duveryhodny (tj. posveceny nejakou rooti CA) certifikat."
ma byt ta "rooti CA". Pravdepodobne si mysli, ze ked je nejaka CA prednastavena v jeho prehliadaci, tak je "rooti", co na byt asi znakom najvyssej doveryhodnosti. :-)
Když si půjdu pro certifikát na 1CA, tak si sebou odnesu i jejich kořenový certifikát. Tím je pro mne důvěryhodný.
Pokud chci jejich podpisy jen ověřovat, tak mám smůlu, a musím si pro něj dojít nebo důvěřovat tomu vystavenému na www stránkách.
Veřejný klíč 1.CA (nebo jiné tuzemské CA) si může kdokoliv zařadit mezi své přijímané (ověřené) Certifikační autority sám.
Ověřit si identitu, totiž, že certifikát skutečně pochází od proklamované CA, můžete buďto porovnáním celého veřejného klíče CA s tím, který je uveřejněn na webu, nebo alespoň jeho otisku (Thumbprint, fingerprint). Otisk lze pro jistotu ověřit i jiným kanálem, než přes internet (web).
Problém přijímání certifikátů od kořenových CA je v tom, že pro praktické použití nějakého certifikátu si musíte stejně ověřit politiky všech certifikačních autorit, které v certifikačním stromu certifikaci zprostředkují, co garantují, co ne. Jakýkoliv slabý článek v řetězu se projeví. Také to, zda někdo v řetězci svůj certifikát nezneplatnil, atd. Zkrátka si hierarchizací stejně příliš nepomůžete, hloubka certifikace musí být únosná a Verisign nemá a nebude mít kancelář v každé obci za rohem.
Vztahem bezpecnosti certifikatu a toho, jestli je nebo neni nainstalovan jako rootovy v nejakem prohlizeci jsem se zabyval uz pred znacnym casem v clanku HTTPS - bezpecnost jen pro vyvolene primo tady na Lupe. To, ze je nejaky certifikat umisten v root-store neni zadnou zarukou cehokoliv (nemluve o tom, ze instalace prohlizecu mohou a casto jsou ruzne customizovane - a to muze znamenat i naprosto zmenu seznamu techto certifikatu), natozpak jakekoliv bezpecnosti. Clanek sice mluvil predevsim o HTTPS, ale jeho zavery jsou obecne platne at uz jsou klice pouzivany k jakekoliv autentizaci.
Overeni certifikatu ma tzv. "stromovou" strukturu:
ROOT CA
|
- rozsirujici certifikat CA
|
- Osobní certifikat
Tzn: pro spravne overeni musite mit naimportovane:
- Root cert. certifikacni autority (ROOT certifikat)
- vsechny rozsirujici cert. certifikacni autority (Osobni testovaci, Osobni Class2, Serverovy Class2,...). Ktere se vztahuji k certifikatu ktery chcete mit overeny.
Kazda autorita to muze mit jinak podle cert. politiky.
Mozna kdyby jste se seznamil s tim jak se overuje certifikat a ze v Internet Expoloreru stejne jako v Netscape (Mozille) (ci jiny prohlizec) musite mit Root certifikat certifikacni autority + vsechny cert. ktere na nej navazuji. Potom by se Vam nestalo, ze se Vas prohlizec ci mail klient bude takto chovat :-) Spolecnosti ktere maji certifikaty v Internet Exploreru za to tezce zaplatily!
Verisgn vystavil certifikáty někomu, kdo se vydával za Microsoft, u Thawte o problému nevím. Thawte nás docela důkladně prověřoval, je to už ale asi 6 let.
To neni predstava to je realita. Myslim, ze to byl Verisign, ktery vydal falesny certifikat Microsoftu, to ale nic nezmeni na tom, ze pokud chci fungovat jako duveryhodna CA musim mit duveryhodny (tj. posveceny nejakou rooti CA) certifikat. Vzdyt vsechny certifikaty co 1CA vyda budou take neduveryhodne. Co mi brani si vydat certifikat na 1CA ? Nic. A muzu vesele podepisovat a vydavat. Takove certifikaty se budpu chovat naproste stejne: "Posveceno 1CA - neznam -neduveryhodne. Chcete tomu duverovat ? Ano. Ne".
1CA pro me nemuze byt zatim duveryhodna z vyse uvedenych duvodu (plus tento clanek).
Zřejmě se domníváte, že pokud certifikační autorita má svůj certifikát dodáván s některým prohlížečem, znamená to, že je také důvěryhodnější. Tato představa není prosta iluzí. Není to tak dávno, co se tu zmiňovalo, jak snadné je získat falešný certifikát od některé takové (a mám pocit, že jmenovitě Thawte).
Jiz kdysi davno jsem si chtel poridit certifikat u nejake nasi firmy, nicmene me odradilo u 1CA toto (nakonec jsem si poridil pouze emailovy od THAWTE): https://www.1ca.cz, jestlize nemaji certifikat vystaveny nejakou rootovou CA, ktera je bezne nastavena v browserech, tak jak se mam ujistit, ze komunikuji prave s nimi? Komu a jak budu zasilat informace ... Z tohoto duvodu jsem si o profesionalite 1CA udelal vlastni obrazek. Tento clanek moje podezreni jen potvrdilo.
Trochu offtopic: nezajimam se moc o deni v ceskych luzich a hajich kolem certifikatu, ale predpokladam (to uz je invariant co se tyka statni spravy a (polo)statnich organizaci), ze jako obvykle nase hezke ceske korupcni prostredi umoznilo delegovat vydavani certifikatu tomu, kdo nejlepe "podmazal" dotycne uredni simly. Pokud se nemylim, tak "jine" certifikaty (THAWTE apod.) povoleny pro komunikaci se statni spravou nejsou, takze tu mame dalsi "zlaty dul", ktery opet pujde z nasich dani.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).