Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

3.4.2         Protokol OCSP a seznamy CRL

V každém certifikátu je vždy uvedena přesná adresa místa, kam je třeba se podívat, zda certifikát nebyl revokován. Toto „podívání se“ ale může mít dvě principiálně odlišné formy:

·         fungující v reálném čase

·         fungující „opožděně“

Rozdíl mezi oběma variantami je zásadní: v prvním případě máme možnost se okamžitě dozvědět, zda k okamžiku, kdy dotaz klademe, byl certifikát revokován, či nebyl. Ve druhém případě máme možnost se požadovanou informaci dozvědět pouze zpětně, s určitým časovým odstupem.

Pro realizaci první varianty samozřejmě musí existovat potřebná technická řešení. Nejčastěji je používán protokol OCSP (Online Certificate Status Protocol), který umožňuje vznést interaktivní dotaz na certifikační autoritu a ihned získat požadovanou odpověď[39]. V ČR se s implementací tohoto protokolu teprve začíná[40], počátkem roku 2011 jej zkoušela v testovacím provozu první tuzemská certifikační autorita (I. CA).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad výsledku ověření stavu revokace prostřednictvím protokolu OCSP u I.CA

Obrázek 3 - 8: Příklad výsledku ověření stavu revokace prostřednictvím protokolu OCSP u I.CA

Standardně využívaná je až druhá varianta (fungující „opožděně“), jejíž dostupnost je přímo vyžadována zákonem. Z hlediska implementace je jednodušší, alespoň pro samotné certifikační autority. Uživatelům, kteří se chtějí spoléhat na platnost elektronických podpisů, ale přináší dosti zásadní komplikaci: pokud budou ověřovat platnost nějakého konkrétního elektronického podpisu, nemají šanci to zvládnout v reálném čase (tj. dozvědět se výsledek ihned). Musí nejprve počkat, a to relativně dlouhou dobu: až 24 hodin.

Tato druhá varianta je v praxi implementována skrze tzv. CRL seznamy, kde CRL je zkratkou z anglického Certificate Revocation List. V doslovném překladu tedy jde o seznam revokovaných certifikátů.

Již toto pojmenování přitom vystihuje věcnou podstatu: certifikační autorita jednoduše vyvěsí na konkrétní (předem dané) místo na svém webu seznam těch certifikátů, které byly revokovány – s uvedením přesné doby, ke které k revokaci došlo, a mnohdy také s uvedením důvodu revokace (byť toto není povinné). A do každého certifikátu již při jeho vydávání vloží odkaz na toto předem dané místo, formou URL odkazu.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad URL odkazu na místo, kde je zveřejněn seznam revokovaných certifikátů (CRL seznam)

Obrázek 3 - 9: Příklad URL odkazu na místo, kde je zveřejněn seznam revokovaných certifikátů (CRL seznam)

Problém je ale v tom, že takovéto „vyvěšení“ (zveřejnění informací formou CRL seznamu) nemusí být okamžité, ve vztahu k okamžiku, ke kterému k revokaci došlo. Přesněji: okamžitá nemusí být aktualizace tohoto seznamu, resp. vydání jeho nové verze. 

V případě kompromitace nějakého soukromého klíče certifikační autority sice mohou vydat (a zveřejnit) novou verzi svého CRL seznamu velmi brzy, třeba i v řádu minut – ale nejsou povinny tak učinit okamžitě. Podle platných norem[41] mají na zpracování požadavku na revokaci právě oněch 24 hodin.


[39] Obvykle ale jen tomu, kdo má s příslušnou certifikační autoritou uzavřenu smlouvu na poskytování služeb na bázi OCSP protokolu, protože jde typicky o zpoplatněnou službu.

[40] Nejspíše je tomu tak proto, že tato první varianta není požadována zákonem. Ten požaduje pouze druhou variantu.

[41] CEN CWA 14167-1, kap. 5.2.5.2 – RM 1.1© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61