3.4        Ověření platnosti certifikátu

Připomeňme si, že každý certifikát má předem stanovenou dobu své platnosti. Ta je v něm „napevno zabudována“: v každém certifikátu je napsáno, že platí od určitého konkrétního data do jiného konkrétního data, a tyto údaje není možné jakkoli měnit.

U certifikátů, vydávaných tuzemskými certifikačními autoritami a využívaných pro elektronické podpisy či značky, je délka jejich platnosti nastavována na 1 rok[36]. U certifikátů, využívaných pro časová razítka, to jsou zpravidla 3 roky (v případě CA PostSignum), nebo 5 let (v případě I. CA), či dokonce 6 let (v případě CA eIdentity).

Ověření, zda tato „řádná“ platnost certifikátu k posuzovanému okamžiku již skončila, nebo ještě ne, je jednoduchou záležitostí, která v praxi nečiní žádné problémy.

Na co ale nesmíme zapomínat (a co v praxi činí problémy) je možnost předčasného ukončení „řádné“ platnosti, a to skrze mechanismus revokace certifikátu (alias zneplatnění certifikátu, resp. jeho odvolání). Vždy se musíme přesvědčit, zda k posuzovanému okamžiku došlo či nedošlo k revokaci toho certifikátu, který zkoumáme. A je přitom jedno, zda stav revokace zkoumáme jako samostatnou podmínku (vedle „řádné platnosti“ certifikátu), nebo zda ji zahrneme pod jedinou podmínku (časové platnosti certifikátu).

V úvodu této kapitoly jsme revokaci zkoumali jako samostatnou podmínku, nezávisle na řádné platnosti certifikátu. Důvodem je jak kompatibilita s tím, jak je ověřování platnosti popsáno v prováděcích vyhláškách[37], tak především logika věci: jak již víme, výsledný verdikt o platnosti elektronického podpisu se liší podle toho, zda platnost certifikátu (přesněji kteréhokoli z certifikátů na certifikační cestě) skončila uplynutím doby jeho řádné platnosti nebo jeho revokací (předčasným zneplatněním).