1.12.3     Hierarchie certifikátů a certifikační cesty

Aby výše popsaný princip vyjadřování důvěry mohl v praxi fungovat a důvěra v konkrétní certifikáty mohla být odvozována od jejich příslušnosti do konkrétního stromu důvěry, musí každý certifikát obsahovat určité minimální údaje, sloužící těmto účelům.

Konkrétně musí obsahovat údaj o svém vydavateli, resp. vystaviteli. Tedy o certifikační autoritě, která certifikát vydala (vystavila). Tento údaj je současně i odkazem na nadřazený certifikát, ve smyslu stromovitého uspořádání stromu důvěry, který vydavatel použil při vystavování daného certifikátu (pro jeho podepsání).

Skrze tento údaj (o nadřazeném certifikátu) je pak možné dohledat celou tzv. certifikační cestu k některému z koře-nových certifikátů, a podle něj určit důvěryhodnost posuzovaného certifikátu.

Příklad vidíte na obrázku: jde o konkrétní certifikát a jeho certifikační cestu. Ta ukazuje, že certifikát byl vydán certifikační autoritou PostSignum, konkrétně její podřízenou kvalifikovanou autoritou QCA (PostSignum Qualified CA).

Obrázek 1 - 26: Příklad certifikační cesty konkrétního certifikátu

Certifikát této podřízené autority (PostSignum Qualified CA) zase byl vydán kořenovou certifikační autoritou PostSignum (tj. PostSignum Root QCA), a podepsán s využitím (kořenového) certifikátu této (kořenové) certifikační autority.

Důležité také je, že dohledání certifikační cesty za nás může provést program, který používáme k ověřování platnosti elektronických podpisů. Jen ho musíme správně informovat o důvěryhodnosti příslušných certifikátů, pomocí jejich uložení do (správné části) toho úložiště certifikátů, které daný program používá.