Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.5.5         Revokace certifikátu

Do problematiky správy vlastních certifikátů patří i možnost jejich revokace, neboli možnost jejich předčasného zneplatnění (odvolání). Jak již víme z předchozích částí, je takováto možnost dostupná pouze v době řádné platnosti certifikátu.

Pokud bychom se podrobně začetli do certifikačních politik kvalifikovaných certifikačních autorit, zjistili bychom, že možnost revokovat náš vlastní certifikát má i sama certifikační autorita, a dokonce i dozorový orgán (Ministerstvo vnitra). To jsou ale možnosti, vycházející přímo z požadavků zákona a určené pro řešení opravdu výjimečných situací[24].

Jiné opatření se týká zaměstnaneckých certifikátů a dává možnost pověřené osobě (zastupující zaměstnavatele) žádat nejen o vydání certifikátů pro konkrétní zaměstnance, ale i o jejich případnou revokaci. My si zde ale ukážeme, jak může požádat o revokaci vlastního certifikátu přímo jeho držitel.

Obecně lze konstatovat, že konkrétní postupy, kterými si lze revokaci vyžádat, stanovuje vydavatel certifikátu (certifikační autorita). V praxi jich bývá více a jsou odstupňovány podle toho, jak spolehlivě dokáže certifikační autorita identifikovat toho, kdo o revokaci žádá. Pokud jej dokáže identifikovat „na dálku“, může akceptovat i žádost zaslanou elektronickou cestou (mailem, přes web atd.). V opačném případě vyžaduje osobní návštěvu na pobočce a předložení osobních dokladů.

Pro identifikaci žadatele na dálku je nejčastěji využíváno speciální heslo (heslo pro zneplatnění). Toto heslo si uživatel obvykle určuje sám, a to již v rámci žádosti o vydání certifikátu, a bývá uvedeno v protokolu o vydání certifikátu. Později se jím musí prokázat, chce-li požádat o revokaci. Pokud si jej pamatuje, může revokaci provést například pomocí emailu či přes webové stránky certifikační autority, případně telefonicky.

Příklad ukazuje následující obrázek, na kterém je žádost o zneplatnění certifikátu skrze webové stránky (u společnosti eIdentity, po úspěšném přihlášení do jejich klientského systému).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Žádost o revokaci certifikátu přes webové stránky, u CA eIdentity

Obrázek 5 - 69: Žádost o revokaci certifikátu přes webové stránky, u CA eIdentity

Kromě (povinného) hesla pro zneplatnění je zde možné uvést i důvod žádosti o zneplatnění certifikátu: zda došlo k jeho kompromitaci, či zda byl nahrazen jiným certifikátem apod.

Konkrétní možnosti, jak požádat o revokaci certifikátu, se navíc mohou v čase měnit. Například CA PostSignum dříve umožňovala požádat o revokaci i skrze webové stránky, jen na základě zadání hesla pro zneplatnění (a bez jakéhokoli předchozího přihlašování). 

Možná ale, že tato varianta byla shledána málo bezpečná - a tak ji PostSignum již nepodporuje. Držitelé certifikátů od této certifikační autority (případně „pověřené osoby“) mohou dnes svou žádost doručit pouze osobně, telefonicky nebo e-mailem. Bez znalosti hesla pro zneplatnění ale stejně připadá v úvahu jen osobní návštěva.

Ukažme si nyní příklad emailové žádosti o revokaci vlastního certifikátu, se znalostí hesla pro zneplatnění.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad e-mailové žádosti o
zneplatnění certifikátu u CA PostSignum

Obrázek 5 - 70: Příklad e-mailové žádosti o zneplatnění certifikátu u CA PostSignum

Samotná žádost nemusí být nějak specificky formátována. Musí ale obsahovat předepsané náležitosti, konkrétně sériové číslo certifikátu, a také požadované heslo pro zneplatnění.

Na obrázcích si povšimněte i určitého časového rozdílu mezi okamžikem odeslání žádosti a okamžikem jejího přijetí. Zde je tato doba cca 40 minut, ale v praxi může být i výrazněji delší (třeba několik hodin), i v závislosti na denní době.

Okamžikem, ke kterému dochází k revokaci, přitom obvykle není okamžik podání, resp. přijetí žádosti o zneplatnění (na předchozím příkladu: 10.2.2011, 13:45), ale okamžik zpracování žádosti (zde: 14:25). Konkrétně u CA PostSignum je tento časový odstup v příslušné certifikační politice stanoven na max. 12 hodin – a do tohoto časového intervalu je zahrnuto i zveřejnění nového CRL seznamu.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Nově vydaný CRL seznam, již s informací o revokaci certifikátu (rozdíl jedné hodiny je dán jiným časovým pásmem)

Obrázek 5 - 71: Nově vydaný CRL seznam, již s informací o revokaci certifikátu (rozdíl jedné hodiny je dán jiným časovým pásmem)


[24] Sama certifikační autorita zneplatní certifikát v případě úmrtí držitele či jeho zbavení právní způsobilosti, ministerstvo zase může zneplatnit vydané certifikáty v případě odnětí akreditace certifikační autoritě apod.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61