9             Certifikační autorita

Pro běžného zákazníka je automobilka továrna vyrábějící automobily. Avšak při podrobnějším zkoumání zjistíme, že se skládá z motorárny, lakovny, karosárny a ostatních provozů.  Podobně je to i s certifikační autoritou, jejíž základní schéma je znázorněno na obr. 9-1.

 

Obr. 9-1 Základní schéma CA

9.1                 Řetězec certifikátů

Pokud verifikujeme certifikát, pak musíme mít k dispozici množinu certifikátů, ze které lze vybrat řetězec, až ke kořenovému certifikátu (obr. 9-3). Všechny certifikáty do sestavovaného řetězce mohu získat z libovolných zdrojů včetně adresářových služeb s výjimkou kořenového certifikátu – ten musím mít předem získán bezpečnou cestou, protože ten je podepsán sám sebou nelze jej ověřit prostřednictvím elektronického podpisu. Proto může být velice snadno podvržen.

 

Pokud mi někdo zašle množinu certifikátů i s kořenovými certifikáty, tak tyto kořenové certifikáty mohu použít pouze pro snazší vyhledání řetězce certifikátů. Avšak vždy se musí zkontrolovat, zdali příslušný kořenový certifikát je shodný s některým kořenovým certifikátem získaným jinou – bezpečnou cestou.

 

Uvažujeme-li, že jednotlivé CA mohou mít i obnovené certifikáty, pak řetězec certifikátů bez rozšíření certifikátu „Identifikace klíče CA“ lze sestavit jen velice špatně.

 

V neposlední řadě nesmíme zapomenout na bezpečnostní politiku. Je třeba, aby řetězec kvalifikátorů  bezpečnostních politik (OID bezpečnostních politik) sahal též až ke kořenovému certifikátu. (Microsoft certifikáty s těmito rozšířeními nazývá kvalifikovanými certifikáty a již ve Windows XP bude i tuto kontrolu podporovat).

 

Dále je nutné u jednotlivých certifikátů zkontrolovat, zdali nejsou odvolány (nejsou na CRL).

 

 

 

 

Obr. 9-3 Řetězec certifikátů

Za důvěryhodný certifikát není nutné vždy prohlásit až kořenový certifikát. Pokud se za důvěryhodný certifikát prohlásí některý z certifikátů uprostřed řetězce mezi certifikátem uživatele a kořenovým certifikátem, pak se verifikace provádí pouze k tomuto důvěryhodnému certifikátu a celé ověřování se tím výrazně zrychlí.

 

Pro bezpečnost počítače  je zásadní seznam důvěryhodných certifikátů, který je instalován na počítači. Pokud se na tento seznam podaří podvrhnout např. certifikát některé z testovacích certifikačních autorit, tak máme o nepříjemnosti postaráno. Přitom starší verze prohlížečů byly distribuovány s celou řadou certifikátů certifikačních autorit o kterých jsme nikdy nemohli vědět jestli jsou důvěryhodné.  A tak první operací po instalaci prohlížeče bylo zrušení těchto certifikátů a vložení důvěryhodných certifikátů (důvěrných certifikačních autorit).