Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.4.4.2         Automatické přidávání podřízených certifikátů

Druhá možnost automatického přidávání certifikátů do konkrétního úložiště se již týká „podřízených“ certifikátů, které patří podřízeným (zprostředkujícím) certifikačním autoritám. Tedy takových certifikátů, které leží na certifikační cestě ke kořenovému certifikátu. V praxi jde o certifikáty, které se v systémovém úložišti MS Windows instalují odděleně od kořenových certifikátů, do složky pro „zprostředkující certifikační autority“.

V roli příkladu si zopakujme strukturu certifikačních autorit, se kterou pracuje CA PostSignum, a kterou jsme si naposledy ukazovali v části 5.4.2.3 jako obrázek 5-30:

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Zařazení certifikátů CA PostSignum do složek
systémového úložiště MS Windows

Obrázek 5 - 36: Zařazení certifikátů CA PostSignum do složek systémového úložiště MS Windows

Zde se tedy jedná o certifikáty podřízených autorit: kvalifikované PostSignum QCA a veřejné PostSignum VCA. Nebo jejich „dvojkových“ verzí (PostSignum QCA 2 a PostSignum VCA 2).

Smyslem automatického přidávání těchto podřízených certifikátů (certifikátů podřízených, resp. zprostředkujících autorit) je usnadnit a zjednodušit plnění příslušného úložiště: aby do něj nemusely být dopředu (či nějak „ručně“) přidávány všechny podřízené certifikáty, které by kdy mohly být zapotřebí. Stejně tak je tímto způsobem pamatováno na to, že struktura podřízených certifikačních autorit se může měnit přeci jen častěji, stejně jako jejich certifikáty, zatímco struktura kořenových certifikačních autorit se až tak často nemění (stejně jako kořenové certifikáty těchto autorit).

Abychom toto tvrzení docenili, uvědomme si zásadní rozdíl mezi přidáním nového kořenového certifikátu a nového podřízeného (zprostředkujícího) certifikátu:

·         v případě přidání kořenového certifikátu se mění (zvětšuje) „rozsah“ vyjádřené důvěry

·         v případě přidání podřízeného certifikátu (certifikátu podřízené autority) se „rozsah“ vyjádřené důvěry nemění.

K automatickému přidání nového podřízeného certifikátu totiž dochází pouze v případě, kdy již je nainstalován (a tím i považován za důvěryhodný) odpovídající kořenový certifikát. Opět si to ukažme na konkrétním příkladu.

Nechť je v úložišti důvěryhodných certifikátů již nainstalován nový „dvojkový“ kořenový certifikát CA PostSignum (PostSignum Root QCA 2). Lhostejno zda skrze automatické přidávání kořenových certifikátů do systémového úložiště v MS Windows, či díky „ručnímu“ přidání uživatelem.

Když pak uživatel přistoupí na nějaký server – například na webový portál ISDS -  ten se mu prokáže serverovým (komerčním) certifikátem, vydaným novou komerční (podřízenou) certifikační autoritou PostSignum (PostSignum Public CA 2). Při zkoumání důvěryhodnosti tohoto certifikátu je nejprve vyhledána certifikační cesta, vedoucí k některému kořenovému certifikátu. Ta je nalezena v následující podobě:

·         kořenový certifikát (kořenové autority PostSignum Root QCA 2)

·         podřízený certifikát (podřízené autority PostSignum Public CA 2)

·         posuzovaný certifikát (pro server na adrese *.mojedatovaschranka.cz)

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

 Příklad certifikační cesty, z pohledu posuzovaného
certifikátu

Obrázek 5 - 37: Příklad certifikační cesty, z pohledu posuzovaného certifikátu

Jelikož tato certifikační cesta „končí“ takovým kořenovým certifikátem, který je považován za důvěryhodný (nachází se v příslušné části úložiště důvěryhodných certifikátů), může hodnotící program (prohlížeč) považovat posuzovaný serverový certifikát za důvěryhodný a uživatele pustit na stránky tohoto serveru.

Současně s tím může být považován za důvěryhodný i podřízený certifikát (zde PostSignum Public CA2), který dosud není umístěn v příslušné části úložiště důvěryhodných certifikátů – a tak sem může být dodatečně (a automaticky) přidán.

Připomeňme si znovu, že toto automatické přidávání podřízených certifikátů nemění „rozsah důvěry“, a je tedy spíše optimalizačním opatřením: urychluje a zefektivňuje následné posuzování důvěryhodnosti dalších konkrétních certifikátů.

Jde přitom o funkčnost, která dnes již není omezena jen na systémové úložiště MS Windows, popisované výše. Své mechanismy pro „dočítání“ certifikátů má například i úložiště, se kterým pracuje prohlížeč Firefox.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61