3.5.2         Jak se hledá certifikační cesta?

Hledání konkrétních certifikačních cest a ověřování platnosti certifikátů na této cestě je samozřejmě úkolem pro programy, které pracují s elektronickými podpisy, značkami a razítky. Probíhá obvykle automaticky, bez přímého zapojení „lidského“ uživatele. Přesto je ale vhodné přinejmenším vědět, podle jakých pravidel toto hledání probíhá.

Až si budeme v páté kapitole (v části 5.3) podrobněji popisovat vnitřní strukturu dnes používaných certifikátů, zjistíme, že obsahují různé konkrétní položky, podle kterých by hledání certifikačních cest mohlo probíhat. Vodítkem by mohlo být jméno certifikační autority. To bychom měli najít jak na „podřízeném“ certifikátu, tak i na „nadřazeném“ certifikátu. Pochopitelně ale v jiných položkách:

·         u „podřízeného“ certifikátu v položce Vystavitel (anglicky Issuer): zde identifikuje tu certifikační autoritu, která certifikát vydala

·         u „nadřízeného“ certifikátu v položce Subjekt či Předmět (anglicky Subject): zde identifikuje toho, komu certifikát patří, resp. komu byl vystaven. Tedy konkrétní certifikační autoritu.

Příklad „spárování“ dvou konkrétních certifikátů podle jména certifikační autority ukazuje obrázek.

Obrázek 3 - 14: Shoda mezi obsahem položek "Vystavitel" (Issuer) a "Subjekt" (Subject)

Takovéto „párování“ (podle jména certifikační autority) se ale v praxi hodí jen pro prokázání opačného případu: když se hodnoty příslušných položek neshodují, můžeme z toho odvodit, že příslušné certifikáty „neleží vedle sebe“ na stejné certifikační cestě.

Důležité ale je, že opačně to neplatí: obsah obou položek se může shodovat i v případě, kdy nejde o „nadřazený“ a „podřízený“ certifikát. Jedna a tatáž certifikační autorita totiž může podepisovat vydávané (vystavované) certifikáty pomocí různých soukromých klíčů, resp. jejich podpisy mohou být založeny na různých kořenových certifikátech dané certifikační autority. To se ale při „párování“ jen podle jména certifikační autority nezohlední.

Pro pozitivní ověření vzájemné vazby mezi dvěma certifikáty je proto musíme „spárovat“ podle soukromého klíče, použitého k podepsání „podřízeného“ certifikátu při jeho vystavování.

Tento klíč samozřejmě není v žádném z obou certifikátů obsažen, ale najít zde můžeme alespoň jeho jednoznačný identifikátor, který je určitým způsobem odvozen z otisku soukromého klíče. Tento identifikátor bývá obsažen:

·         u „podřízeného“ certifikátu v položce Identifikátor klíče autority (Authority Key Identifier)

·         u „nadřízeného“ certifikátu v položce Identifikátor klíče předmětu (Subject Key Identifier)

Příklad „spárování“ dvou konkrétních certifikátů podle identifikátoru klíče vidíte na obrázku.

Obrázek 3 - 15: Párování certifikátů podle použitého klíče

(Horní) konec certifikační cesty, který odpovídá kořenovému certifikátu, pak poznáme podle toho, že jde o certifikát s vlastním podpisem. Ten jediný nemusí obsahovat obě popisované položky s identifikátory klíče – ale pokud je obsahuje, shodují se.

Obrázek 3 - 16: Příklad kořenového certifikátu (certifikátu s vlastním podpisem)