Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

6.5.8         Platnost nadřazených certifikátů

Kromě toho certifikátu, na kterém je právě ověřovaný podpis založen, musí Adobe Reader zkoumat i všechny jemu nadřazené certifikáty (na příslušné certifikační cestě). U všech musí ověřit, zda k posuzovanému okamžiku nebyly revokovány[8], a také zda již neskončila jejich řádná platnost. 

Případné důsledky jsou obecně stejné, jako u „výchozího“ certifikátu, na kterém je založen právě ověřovaný podpis: pokud by některý z nadřazených certifikátů byl k posuzovanému okamžiku revokován, musí být ověřovaný podpis prohlášen za neplatný. Jinak pokud by některému nadřazenému certifikátu skončila jeho řádná platnost, muselo by ověřování platnosti podpisu skončit výsledkem „nevím“, resp. „platnost podpisu je neznámá“.

Kontrolu stavu revokace a řádné doby platnosti všech nadřazených certifikátů provádí Adobe Reader sám a automaticky, jako součást ověřování zkoumaného podpisu. Uživatel by o tom v zásadě ani nemusel vědět.

Přesto je zde jedno úskalí, které musí vyřešit uživatel: musí zajistit, aby program Adobe Reader měl přístup ke všem nadřazeným certifikátům na certifikační cestě. Protože pokud se tak nestane a některý z nadřazených certifikátů nebude k dispozici, Reader skončí s verdiktem, že platnost certifikátu je neznámá. Protože ji skutečně nedokáže ověřit.

Sám Adobe Reader ovšem takovouto situaci formuluje poněkud komplikovaněji a pomocí jiné terminologie, když místo o tom certifikátu, na kterém je podpis založen, hovoří o „identitě autora podpisu“ (která „není obsažena v uživatelově seznamu důvěryhodných identit“), a místo o nadřazených certifikátech hovoří o „rodičovských certifikátech, které nejsou důvěryhodnými identitami“, viz obrázek.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

 Adobe Reader nedokáže najít (platné) nadřazené certifikáty

Obrázek 6 - 32: Adobe Reader nedokáže najít (platné) nadřazené certifikáty


[8] S výjimkou kořenového certifikátu, jehož revokaci Reader neověřuje. Musel by vycházet z revokačních údajů, podepsaných s využitím toho samého certifikátu, na jehož revokaci se právě ptá. Pokud k revokaci došlo, nemohl by údajům o ní věřit.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61