5.3.1 Standard X.509 a položky certifikátu
Pokud jde o obsah certifikátu jako takového, pak všechny certifikáty, o kterých se v této knížce zmiňujeme, vychází z mezinárodního standardu X.509 (který vydala Mezinárodní telekomunikační unie, ITU). Tento standard se přitom týká jak zde popisovaných certifikátů s veřejným klíčem, tak třeba i formátu seznamů CRL.
Standard X.509 například definuje to, jaké konkrétní položky má každý certifikát obsahovat. Ukažme si to na malém (a neúplném) příkladu, i s obsahem položek konkrétního osobního certifikátu:
|
Jméno položky |
Český překlad jména položky[5] |
Význam položky |
Příklad hodnoty |
|
Version |
Verze |
verze standardu X.509 |
3 |
|
Serial Number |
Sériové číslo |
sériové číslo certifikátu u jeho vydavatele |
261802
|
|
Signature algorithm |
Algoritmus podpisu |
jaký algoritmus má být použit pro el. podpis |
Sha256RSA |
|
Issuer |
Vystavitel |
jméno certifikační autority, která certifikát vystavila |
CN=PostSignum Qualified CA,O=Česká pošta, s.p. [IČ 47114983],C=CZ
|
|
Valid not before |
Platnost od |
od jakého okamžiku začíná řádná platnost certifikátu |
Fri Jan 15 10:18:48 CET 2010
|
|
Valid not after |
Platnost do |
k jakému okamžiku končí řádná platnost certifikátu |
Sat Jan 15 09:28:00 CET 2011
|
|
Subject
|
Předmět (subjekt certifikátu) |
komu byl certifikát vystaven |
SerialNumber=P135491, CN=RNDr. Ing. Jiří Peterka, OU=P135491,C=CZ
|
|
Certificate Policies |
Zásady certifikátu |
další informace o certifikátu a jeho statutu |
displayText: Tento kvalifikovany certifikat byl vydan podle zakona 227/2000Sb. a navaznych predpisu./This qualified certificate was issued according to Law No 227/2000Coll. and related regulations
|
|
CRLDistributionPoints |
Distribuční místa seznamu odvolaných certifikátů |
URL místa, kde lze nalézt seznam odvolaných (revokovaných) certifikátů) |
URL=http://www.postsignum.cz/crl/ psqualifiedca.crl |
|
KeyUsage |
Použití klíče |
K jakým účelům lze použít klíče, ke kterým se certifikát vztahuje |
digitalSignature | nonRepudiation | keyEncipherment
|
Každý certifikát, vycházející ze standardu X.509, tedy obsahuje řadu zajímavých údajů. Samozřejmě zde najdeme takové údaje, jako kdy začíná a kdy končí řádná platnost certifikátu (položky Valid not before, not after).
Již zde ale nenajdeme informaci o tom, že daný certifikát byl odvolán, a že jeho řádná platnost tudíž skončila předčasně. Důvody jsme si popsali v části 3.4, kde jsme si také uvedli, že informaci o případné revokaci je třeba hledat u vydavatele certifikátu (certifikační autority). Kde konkrétně, udává položka CRLDistributionPoints.
Velmi důležité jsou i položky, které popisují druh certifikátu: v předchozím příkladu je v položce „Certificate Policies“ explicitně uvedeno, že se jedná o kvalifikovaný certifikát (a tím o osobní kvalifikovaný certifikát). V případě kvalifikovaného systémového certifikátu bychom ve stejné položce našli explicitní konstatování, že jde o kvalifikovaný systémový certifikát. Připomeňme si ale, že naopak to neplatí: pokud nějaký certifikát není kvalifikovaný, nenajdeme v něm žádnou explicitní informaci typu „tento certifikát není kvalifikovaný“.
S typem certifikátu souvisí i vymezení toho, k čemu je možné certifikát využít. Přesněji: k čemu je možné využít soukromý klíč, ke kterému se certifikát vztahuje (viz část 4.3.1). To vyjadřuje položka „KeyUsage“.
Velmi důležitým údajem je také údaj o vystaviteli certifikátu (Issuer): zde je uvedeno jméno příslušné certifikační autority. Právě tento údaj je pro nás vodítkem k posuzování důvěryhodnosti certifikátu. Závazné jsou nicméně jiné položky (viz část 3.5.2).
A snad nejdůležitější je položka „Subject“ (v české lokalizaci buď Subjekt, nebo Předmět), která vypovídá o tom, komu byl certifikát vystaven, resp. kdo je jeho držitel. Tím pádem i o tom, kdo je podepsanou osobou (pokud hodnotíme něčí podpis, založený na daném certifikátu).
[5] Nejde o oficiální překlad, ale o překlad používaný v českých verzích operačního systému MS Windows.
> jak ji získat?
číst knihu on-line
> předmluva vydavatele
> předmluva autora
> kapitoly:
1, 2, 3, 4, 5, 6, 7, 8
> podrobný obsah
> obrázky
kurzy epodpisu
diskusní fórum
příklady k vyzkoušení
> PDF k podepsání
> PDF k ověření
> PDF s více podpisy
> dokumenty MS Office
> kolizní dokumenty
> biometrický podpis
videoukázky
> YouTube kanál
zajímavé on-line zdroje
> přehled certifikátů
aktuality z oboru
errata
co se do knihy nevešlo
co se od vydání změnilo
kde nepanuje konsensus
kontakt na autora
