Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

4.3.4         Kvalifikované vs. komerční certifikáty

Rozdělování certifikátů na „osobní“ a „systémové“ se ale používá jen u certifikátů kvalifikovaných.

Připomeňme si, že všechny ostatní certifikáty obecně označujeme jako komerční certifikáty.

Hlavní smysl komerčních certifikátů je možnost jejich nasazení všude tam, kde nepřipadá v úvahu nasazení certifikátů kvalifikovaných. Jak již víme, kvalifikované certifikáty lze využívat jen při podepisování (vytváření elektronických podpisů), při označování (vytváření elektronických značek), resp. při „razítkování“ (vytváření časových razítek).

Vzhledem ke komplementárnosti účelu (jiné účely než podepisování) už ale není možné rozdělovat komerční certifikáty podle stejného kritéria, jako certifikáty kvalifikované, tedy podle využití pro podpis či pro značku/razítko. 

Místo toho jsou komerční certifikáty děleny více ad-hoc způsobem, opět ale v závislosti na svém využití. Obvykle na:

·         komerční osobní certifikáty: jsou vystavovány pouze fyzickým osobám a mohou být použity například pro šifrování, autentizaci, ale třeba i podepisování

·         komerční serverové certifikáty: mohou být vystavovány jak fyzickým osobám, tak i právnickým osobám či organizačním složkám státu. Používají se zejména pro identifikaci a autentizaci webových serverů vůči jejich klientům, a pro zabezpečenou komunikaci mezi klienty a servery pomocí protokolu SSL/TLS

Některé certifikační autority nabízí například také komerční šifrovací certifikáty, určené právě a pouze pro šifrování[54].

Zajímavé je, že samotný pojem „komerční certifikát“ v zákonech nenajdeme. Není zde použit, a je zaveden až praxí (právě jako doplněk k pojmu „kvalifikovaný certifikát“).

Zákon[55] definuje pouze kvalifikovaný certifikát. Činí tak ve dvou krocích, když nejprve říká, že:

certifikátem [se rozumí] datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování elektronických podpisů s podepisující osobou a umožňuje ověřit její identitu, nebo spojuje data pro ověřování elektronických značek s označující osobou a umožňuje ověřit její identitu

a poté již definuje požadavky kladené na kvalifikovaný certifikát, byť nejprve odkazem:

kvalifikovaným certifikátem [se rozumí] certifikát, který má náležitosti podle § 12 a byl vydán kvalifikovaným poskytovatelem certifikačních služeb

Teprve zmíněný paragraf 12 pak přináší samotné požadavky, kladené na kvalifikovaný certifikát. Ten mimo jiné musí:

·         mít v sobě napsáno, že je vydán jako kvalifikovaný

·         identifikovat toho, kdo ho vydal

·         identifikovat toho, komu byl vydán (a to na úrovni: jméno, popřípadě jména, a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym

·         obsahovat veřejný klíč (data pro ověřování podpisu)

·         být označen elektronickou značkou poskytovatele certifikačních služeb, ta musí být sama založena na kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný certifikát vydává

·         obsahovat unikátní (sériové) číslo kvalifikovaného certifikátu

·         obsahovat údaj o počátku a konci platnosti kvalifikovaného certifikátu

Kromě toho kvalifikovaný certifikát může:

·         obsahovat údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu (toho, co je podepisováno) jen pro určité použití,

·         obsahovat zvláštní znaky podepisující osoby (vyžaduje-li to účel kvalifikovaného certifikátu – například u tzv. zaměstnaneckých certifikátů údaj o zaměstnavateli)

·         obsahovat omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít.

Další osobní údaje pak smí kvalifikovaný certifikát obsahovat jen se svolením podepisující osoby. Zde se může jednat například o emailovou adresu, která se dnes do kvalifikovaných certifikátů běžně vkládá. Nebo třeba údaje o bydlišti držitele certifikátu apod.


[54] Důvodem pro odlišení šifrovacích (komerčních) certifikátů od ostatních komerčních certifikátů jsou i odlišné možnosti nakládání s příslušnými soukromými klíči: u šifrovacích certifikátů mohou být příslušné soukromé klíče svěřeny do úschovy třetí osobě (aby se v případě potřeby dostala k zašifrovaným datům), zatímco u komerčních certifikátů používaných pro autentizaci toto nepřipadá v úvahu (aby se třetí osoba – byť jen v případě potřeby – autentizovala pomocí cizího soukromého klíče a odpovídajícího certifikátu).

[55] Zákon č. 227/2000 Sb. o elektronickém podpisu, v platném znění



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61