Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

3.4.4         Kumulativní a intervalové CRL seznamy

S potřebou „podívat se“ do starší verze CRL seznamu souvisí i otázka toho, jak jsou tyto seznamy vlastně vedeny, a také jak dlouho jsou k dispozici.

Pro vedení CRL seznamů existují dvě základní možnosti:

·         „kumulativní seznam“: takovýto CRL seznam  je jen jeden,  je průběžně aktualizovaný a obsahuje celou historii revokovaných certifikátů (tj. jde o seznam revokovaných certifikátů sahající až do doby, kdy certifikační autorita začala certifikáty vydávat, resp. od kdy je povinna je zveřejňovat).

·         „intervalové seznamy“: takovýchto CRL seznamů existuje více, a „pokrývají“ vždy jen určitý časový interval, typicky v délce platnosti příslušného druhu certifikátu. V aktuální verzi takovéhoto CRL seznamu tedy lze najít informace o (eventuální) revokaci jen takových certifikátů, které by jinak byly stále ještě platné. Pro informace o starších certifikátech je třeba najít příslušný starší (intervalový) seznam CRL.

Certifikační autority, akreditované v ČR, používají obě právě popsané varianty:

·         společnost eIdentity vydává (jeden) kumulativní seznam CRL, který průběžně aktualizuje

·         společnosti PostSignum a I.CA vydávají intervalový seznam CRL. Od něj je vždy dostupná aktuální verze (přes jedno URL), zatímco starší verze je třeba vyhledávat přes vyhledávací rozhraní na webu certifikační autority. Příklad ukazují obrázky.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Hledání starších CRL seznamů od I. CA

Obrázek 3 - 10: Hledání starších CRL seznamů od I. CA

Kromě zveřejňování informací o revokaci konkrétních certifikátů ve formátu CRL seznamů umožňují některé certifikační autority získání těchto informací i interaktivně, skrze formulář na svých webových stránkách. Příkladem může být společnost eIdentity, viz obrázek.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad informace o revokaci certifikátu, získané přes web

Obrázek 3 - 11: Příklad informace o revokaci certifikátu, získané přes web

Pokud jde o „hloubku v čase“, po kterou vydavatelé certifikátů (certifikační autority) zveřejňují informace o revokování svých certifikátů, pak tuto otázku relevantní zákon (č. 227/2000 Sb. o elektronickém podpisu) explicitně neřeší.

Obecně ale říká, že certifikační autority jsou povinné uchovávat informace o svých službách po dobu 10 let, a po uplynutí této doby je bez zbytečného odkladu předávají ministerstvu vnitra[43].


[43] V době vzniku tohoto textu nebylo jasné, jak bude toto ustanovení zákona v praxi interpretováno: zda certifikační autority přestanou zveřejňovat informace o revokaci starší 10 let, či zda je pouze předají ministerstvu, ale budou je nadále samy zveřejňovat. © Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61