Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

3.4        Ověření platnosti certifikátu

Připomeňme si, že každý certifikát má předem stanovenou dobu své platnosti. Ta je v něm „napevno zabudována“: v každém certifikátu je napsáno, že platí od určitého konkrétního data do jiného konkrétního data, a tyto údaje není možné jakkoli měnit.

U certifikátů, vydávaných tuzemskými certifikačními autoritami a využívaných pro elektronické podpisy či značky, je délka jejich platnosti nastavována na 1 rok[36]. U certifikátů, využívaných pro časová razítka, to jsou zpravidla 3 roky (v případě CA PostSignum), nebo 5 let (v případě I. CA), či dokonce 6 let (v případě CA eIdentity).

Ověření, zda tato „řádná“ platnost certifikátu k posuzovanému okamžiku již skončila, nebo ještě ne, je jednoduchou záležitostí, která v praxi nečiní žádné problémy.

Na co ale nesmíme zapomínat (a co v praxi činí problémy) je možnost předčasného ukončení „řádné“ platnosti, a to skrze mechanismus revokace certifikátu (alias zneplatnění certifikátu, resp. jeho odvolání). Vždy se musíme přesvědčit, zda k posuzovanému okamžiku došlo či nedošlo k revokaci toho certifikátu, který zkoumáme. A je přitom jedno, zda stav revokace zkoumáme jako samostatnou podmínku (vedle „řádné platnosti“ certifikátu), nebo zda ji zahrneme pod jedinou podmínku (časové platnosti certifikátu).

V úvodu této kapitoly jsme revokaci zkoumali jako samostatnou podmínku, nezávisle na řádné platnosti certifikátu. Důvodem je jak kompatibilita s tím, jak je ověřování platnosti popsáno v prováděcích vyhláškách[37], tak především logika věci: jak již víme, výsledný verdikt o platnosti elektronického podpisu se liší podle toho, zda platnost certifikátu (přesněji kteréhokoli z certifikátů na certifikační cestě) skončila uplynutím doby jeho řádné platnosti nebo jeho revokací (předčasným zneplatněním).


[36] Jde o volbu příslušné certifikační autority, která musí zohlednit riziko zneužití certifikátu, které s časem roste (podrobněji viz část 2.6). Některé zahraniční certifikační autority hodnotí rizika jinak a vydávají podpisové certifikáty i s platností na 2 roky, či dokonce 3 roky.

[37] Konkrétně ve vyhlášce č. 496/2004 Sb., “o elektronických podatelnách“© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61