Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

8.3.2.1         SSL certifikáty s rozšířenou validací (EV certifikáty)

V souvislosti se zabezpečenou komunikací mezi (webovými) servery a jejich klienty si ještě řekněme o tom, že může existovat více různých druhů SSL certifikátů, které identifikují konkrétní server. Mezi sebou se liší především tím, jak moc a jak důkladně je při jejich vydávání zkoumána identita žadatele a „identita“ serveru, který se bude tímto certifikátem prokazovat.

Certifikáty, kterými se prokazují webové servery a které slouží potřebám vedení SSL relací, jsou obecně komerčními certifikáty (nikoli kvalifikovanými certifikáty). Certifikační autority, které je vydávají, tak mají více prostoru k tomu, aby si individuálně přizpůsobily způsob a „důkladnost“ ověřování identity toho, kdo o takový certifikát žádá. Včetně ověřování údajů o samotném serveru, který se má certifikátem identifikovat.

Může se tak stát například i to, že serverový SSL certifikát bude vydán (jednoznačně a dostatečně) identifikovanému žadateli – ale certifikační autorita si již nebude vůbec ověřovat, zda dotyčný žadatel má možnost (a právo) provozovat server na adrese, která bude v serverovém certifikátu uvedena.

Proto mezi lety 2005 až 2007 vznikla v rámci privátního sektoru iniciativa, sdružující provozovatele certifikačních autorit a výrobce webových browserů, s cílem definovat přísnější požadavky na vydávání serverových SSL certifikátů. Tyto požadavky se týkají jak identifikace samotného žadatele o vydání certifikátu (který se mj. musí dostavit osobně na certifikační autoritu), tak i jeho práva provozovat server na zadané doméně druhého řádu[17].

Ty certifikáty, které jsou vydány za splnění takto zpřísněných podmínek, pak jsou označovány jako certifikáty s rozšířenou validací (EV certifikáty, z anglického Extended Validation). Touto „rozšířenou validací“ je přitom myšleno právě (a pouze) zpřísnění podmínek při vydávání certifikátu, pokud jde o ověření (validaci) žadatele a jeho práva provozovat server na zadané doménové adrese. Jinak, například co do síly kryptografických algoritmů či velikosti klíčů, se takovéto EV certifikáty nijak neliší od „běžných“ serverových SSL certifikátů (pro odlišení někdy označovaných také jako „basic“).

Vzhledem k tomu, že se na celé iniciativě podíleli i výrobci webových browserů[18], mohou být její výsledky přímo „integrovány“ do jejich produktů. Jinými slovy: některé dnešní browsery (nikoli ale všechny) dokáží rozpoznat serverové certifikáty s rozšířenou validací a pracovat s nimi odlišně od „běžných“ (basic) serverových certifikátů.

Konkrétním projevem může být to, jaké informace browser zobrazuje v závislosti na druhu serverového certifikátu.  Jde-li pouze o certifikát „Basic“, pak browser podporující EV certifikáty raději nezobrazuje identitu držitele certifikátu coby provozovatele serveru. Jako kdyby neměl dostatečnou jistotu, že by to odpovídalo pravdě.

Příklad ukazuje následující obrázek, který lze srovnat i s předchozími obrázky: je na něm přístup k serveru, který se prokazuje pouze „základním“ (basic) serverovým SSL certifikátem, a nikoli EV certifikátem.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad serveru, který se prokazuje pouze základním (Basic) serverovým SSL certifikátem

Obrázek 8 - 21: Příklad serveru, který se prokazuje pouze základním (Basic) serverovým SSL certifikátem

Další obrázek již ukazuje příklad serveru, který se prokazuje EV certifikátem. Zde již jsou údaje o provozovateli serveru řádně uvedeny – a příslušná část adresového řádku je pro odlišení zbarvena do zelena.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad serveru, který se prokazuje serverovým certifikátem s prodlouženou validací (EV certifikátem)

Obrázek 8 - 22: Příklad serveru, který se prokazuje serverovým certifikátem s prodlouženou validací (EV certifikátem)


[17] Toto se ověřuje jednak u registrátora příslušné domény, ale také v rámci služby WHOIS.

[18] Náš právní řád ale takovéto druhy komerčních certifikátů nezná, a tuzemské certifikační autority je nevydávají.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61