8.2.3         Přihlašování k datovým schránkám pomocí certifikátu

Druhým příkladem, který si můžeme ukázat, je přihlašování k webovému rozhraní (portálu) datových schránek prostřednictvím certifikátu.

Nejprve si ale zdůrazněme, že datové schránky a jejich informační systém[6] byly spuštěny s tím, že základní způsob přihlašování k nim je pouze prostřednictvím jména a hesla[7]. A to i přesto, že právní úkony (podání), činěné prostřednictvím datových schránek, mají stejnou právní závaznost jako úkony podepsané, neboli opatřené platným (elektronickým) podpisem[8].

Možnost přihlašovat se k datovým schránkám prostřednictvím certifikátu je tudíž pro běžné koncové uživatele pouze volitelnou možností, nikoli povinností. Dostupné statistiky přitom naznačují, že tato možnost je v praxi využívána jen zcela minimálně.

Způsob, jakým informační systém datových schránek pojímá přihlašování prostřednictvím datových schránek, odpovídá vícefaktorové autentizaci. V tom smyslu, že povinnost používat jméno a heslo nadále zůstává, a certifikát slouží (vedle jména a hesla) jako další prvek autentizace. Není to tedy tak, že by použití certifikátu nahrazovalo použití hesla[9].

Nejméně poprvé se ale každý uživatel musí přihlásit ke své datové schránce jen pomocí jména a hesla. To proto, aby si mohl zaregistrovat svůj uživatelský certifikát, a pak se přihlašovat s jeho pomocí.

Jakmile si ale uživatel jednou zaregistruje svůj certifikát, již se dále nemůže přihlašovat jen pomocí jména a hesla, jako původně (ale jen s pomocí certifikátu). Proto existuje i možnost zrušit registraci uživatelského certifikátu, tak aby se uživatel opět mohl přihlašovat jen prostřednictvím jména a hesla. Obě možnosti je třeba hledat v části pro nastavení datové schránky, a zde pak v části věnované správě certifikátů – kterou ukazuje obrázek.

Obrázek 8 - 14: Nabídka registrace certifikátů v nastavení datové schránky

Možnost zrušení registrace je sice prezentována jako smazání certifikátu, ale to se skutečně týká jen registrace u samotné datové schránky (a uživatel o certifikát ve svém úložišti samozřejmě nepřijde).

Samotné zaregistrování uživatelského certifikátu je pak ještě jednodušší než u předchozího příkladu se službou MojeID: uživatel zde nemusí sám vyhledávat svůj certifikát v požadovaném formátu, ale je mu rovnou nabídnut výčet těch, které jsou pro právě používaný browser dostupné (v jím používaném úložišti).

Připomeňme si znovu, že k přihlašování je (obecně) třeba využívat komerční certifikáty, nikoli certifikáty kvalifikované. Informační systém datových schránek druh certifikátu sám kontroluje a neumožní uživateli zaregistrovat jiný než aktuálně platný komerční certifikát (viz obrázek).

Obrázek 8 - 15: Výběr uživatelského certifikátu pro přihlašování k datovým schránkám

Stejně tak si připomeňme, že jakmile je uživatelský certifikát zaregistrován, je již možné pouze přihlašování s tímto certifikátem (a nikoli bez něj, jen pomocí jména a hesla).  Pokud se uživatel přesto pokusí o přihlášení jen pomocí jména a hesla, informační systém datových schránek mu to neumožní a dá mu najevo, že má zaregistrován uživatelský certifikát a že přihlášení je možné jen s ním. Řekne to ale až po zadání jména a hesla, viz obrázek[10].

Obrázek 8 - 16: Upozornění na možnost přihlášení jen s certifikátem

Pokud se uživatel přihlašuje pomocí certifikátu, pak musí tento certifikát „ukázat“ ještě před tím, než bude zadávat své uživatelské jméno a heslo. Certifikát je po něm totiž požadován ihned, jak-mile na přihlašovací obrazovce klikne na záložku „Certifikát“, viz obrázek.

Teprve po výběru certifikátu uživatel zadává své uživatelské jméno a heslo. Na rozdíl od přihlašování bez certifikátu nyní již nemusí vyplňovat tzv. captchu (ochranu proti robotům).

Obrázek 8 - 17: Přihlášení k datové schránce pomocí certifikátu

Pokud je vše v pořádku (byl vybrán správný certifikát a zadáno správné jméno a heslo), je uživatel řádně přihlášen a může se svou datovou schránkou pracovat.

Pokud ale něco není v pořádku, uživatel se dozví jen to, že došlo k nějakému problému, ale již se nedozví k jakému. Zda například zadal špatné jméno či heslo, nebo vybral nesprávný certifikát. Případně zda se pokouší přihlásit pomocí certifikátu, ale tato možnost pro něj není dostupná – nejspíše proto, že si žádný svůj uživatelský certifikát u informačního systému datových schránek nezaregistroval.