5.5.5         Revokace certifikátu

Do problematiky správy vlastních certifikátů patří i možnost jejich revokace, neboli možnost jejich předčasného zneplatnění (odvolání). Jak již víme z předchozích částí, je takováto možnost dostupná pouze v době řádné platnosti certifikátu.

Pokud bychom se podrobně začetli do certifikačních politik kvalifikovaných certifikačních autorit, zjistili bychom, že možnost revokovat náš vlastní certifikát má i sama certifikační autorita, a dokonce i dozorový orgán (Ministerstvo vnitra). To jsou ale možnosti, vycházející přímo z požadavků zákona a určené pro řešení opravdu výjimečných situací[24].

Jiné opatření se týká zaměstnaneckých certifikátů a dává možnost pověřené osobě (zastupující zaměstnavatele) žádat nejen o vydání certifikátů pro konkrétní zaměstnance, ale i o jejich případnou revokaci. My si zde ale ukážeme, jak může požádat o revokaci vlastního certifikátu přímo jeho držitel.

Obecně lze konstatovat, že konkrétní postupy, kterými si lze revokaci vyžádat, stanovuje vydavatel certifikátu (certifikační autorita). V praxi jich bývá více a jsou odstupňovány podle toho, jak spolehlivě dokáže certifikační autorita identifikovat toho, kdo o revokaci žádá. Pokud jej dokáže identifikovat „na dálku“, může akceptovat i žádost zaslanou elektronickou cestou (mailem, přes web atd.). V opačném případě vyžaduje osobní návštěvu na pobočce a předložení osobních dokladů.

Pro identifikaci žadatele na dálku je nejčastěji využíváno speciální heslo (heslo pro zneplatnění). Toto heslo si uživatel obvykle určuje sám, a to již v rámci žádosti o vydání certifikátu, a bývá uvedeno v protokolu o vydání certifikátu. Později se jím musí prokázat, chce-li požádat o revokaci. Pokud si jej pamatuje, může revokaci provést například pomocí emailu či přes webové stránky certifikační autority, případně telefonicky.

Příklad ukazuje následující obrázek, na kterém je žádost o zneplatnění certifikátu skrze webové stránky (u společnosti eIdentity, po úspěšném přihlášení do jejich klientského systému).

Obrázek 5 - 69: Žádost o revokaci certifikátu přes webové stránky, u CA eIdentity

Kromě (povinného) hesla pro zneplatnění je zde možné uvést i důvod žádosti o zneplatnění certifikátu: zda došlo k jeho kompromitaci, či zda byl nahrazen jiným certifikátem apod.

Konkrétní možnosti, jak požádat o revokaci certifikátu, se navíc mohou v čase měnit. Například CA PostSignum dříve umožňovala požádat o revokaci i skrze webové stránky, jen na základě zadání hesla pro zneplatnění (a bez jakéhokoli předchozího přihlašování). 

Možná ale, že tato varianta byla shledána málo bezpečná - a tak ji PostSignum již nepodporuje. Držitelé certifikátů od této certifikační autority (případně „pověřené osoby“) mohou dnes svou žádost doručit pouze osobně, telefonicky nebo e-mailem. Bez znalosti hesla pro zneplatnění ale stejně připadá v úvahu jen osobní návštěva.

Ukažme si nyní příklad emailové žádosti o revokaci vlastního certifikátu, se znalostí hesla pro zneplatnění.

Obrázek 5 - 70: Příklad e-mailové žádosti o zneplatnění certifikátu u CA PostSignum

Samotná žádost nemusí být nějak specificky formátována. Musí ale obsahovat předepsané náležitosti, konkrétně sériové číslo certifikátu, a také požadované heslo pro zneplatnění.

Na obrázcích si povšimněte i určitého časového rozdílu mezi okamžikem odeslání žádosti a okamžikem jejího přijetí. Zde je tato doba cca 40 minut, ale v praxi může být i výrazněji delší (třeba několik hodin), i v závislosti na denní době.

Okamžikem, ke kterému dochází k revokaci, přitom obvykle není okamžik podání, resp. přijetí žádosti o zneplatnění (na předchozím příkladu: 10.2.2011, 13:45), ale okamžik zpracování žádosti (zde: 14:25). Konkrétně u CA PostSignum je tento časový odstup v příslušné certifikační politice stanoven na max. 12 hodin – a do tohoto časového intervalu je zahrnuto i zveřejnění nového CRL seznamu.

Obrázek 5 - 71: Nově vydaný CRL seznam, již s informací o revokaci certifikátu (rozdíl jedné hodiny je dán jiným časovým pásmem)