5.4.2         Struktura úložišť certifikátů

Na interních úložištích certifikátů je zajímavé i to, že jsou často různě strukturovaná. Toto jejich strukturování se projevuje existencí více různých složek, do kterých lze umisťovat (vlastně třídit) jednotlivé certifikáty.

Až na jednu výjimku (viz dále) přitom platí, že umístěním konkrétního certifikátu do kterékoli složky dochází k vyjádření důvěry tomuto certifikátu – a program, který s úložištěm pracuje, bude tento certifikát považovat za důvěryhodný.

Onou výjimkou je složka pro certifikáty od nedůvěryhodných vydavatelů v systémovém úložišti v MS Windows: umístěním certifikátu do této složky se naopak explicitně vyjadřuje nedůvěra příslušnému certifikátu. Efekt je stejný, jako kdyby byl příslušný certifikát revokován.

Obrázek 5 - 25: Obsah složky pro nedůvěryhodné certifikáty v systémovém úložišti MS Windows

Důvodem pro existenci více složek v rámci jednoho úložiště je zřejmě také větší přehlednost. Při větším počtu certifikátů je toto členění v podstatě nutností pro „udržení pořádku“. Při malém počtu certifikátů v úložišti se naopak může jevit jako zbytečné.

Nicméně existence různých složek často přináší i určitou přidanou hodnotu: zařazením konkrétního certifikátu do konkrétní složky můžeme vyjádřit určitou informaci o tomto certifikátu, a ta pak může být využita pro efektivnější práci s ním.

Tak například: jedna ze složek bývá tradičně vyhrazena pro osobní certifikáty aktuálního uživatele. Právě (a pouze) do této složky se pak umisťují osobní certifikáty i se soukromým klíčem, a právě a pouze do této složky se „promítají“ osobní certifikáty i se soukromými klíči, uložené na čipové kartě či USB tokenu.

Nebo: (nejméně) jedna ze složek bývá vyhrazena pro certifikáty certifikačních autorit. To usnadňuje vyhledávání certifikačních cest (posloupností certifikátů, vedoucí od daného k nějakému kořenovému certifikátu certifikační autority. A dokonce to umožňuje automatické přidávání „dceřiných“ certifikátů certifikačních autorit, které si budeme popisovat později.

Na druhou stranu může být takovéto vnitřní strukturování úložišť certifikátů i zdrojem nepříjemných chyb. Pokud totiž uložíme (nainstaluje určitý certifikát) do nesprávné složky, může to mít úplně jiný význam oproti tomu, kdybychom jej nainstalovali do správné složky.