Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.4.4.1         Automatické přidávání kořenových certifikátů

Jak již víme, každý producent programu, který používá vlastní úložiště certifikátů, pro něj připravuje nějakou „počáteční výbavu“ kořenových certifikátů důvěryhodných certifikačních autorit. Tu ale nemusí instalovat vždy celou a najednou, při instalaci samotného programu. Již jen proto, že musí být pamatováno i na změny (na vznik nových důvěryhodných certifikačních autorit, na eventuální ztrátu důvěryhodnosti, ale třeba také na pravidelnou obměnu certifikátů certifikačních autorit).  Proto nemůže být řešení s „počáteční výbavou“ úplně statické.

Ukázat si to můžeme na příkladu systémového úložiště v MS Windows. Zde je ale situace značně odlišná podle toho, zda jde o Windows XP, nebo novější verzi (Vista či Windows 7):

Když si na svém počítači nově nainstalujete Windows XP, ihned najdete v systémovém úložišti tohoto operačního systému velký počet kořenových certifikátů certifikačních autorit, téměř 230. Další se pak mohou přidávat v rámci v rámci mechanismů aktualizace MS Windows (různých aktualizačních balíčků a „záplat“). V zásadě - až na tyto aktualizace – ale jakoby platil obecný princip: „vše je již na vašem počítači“.

V případě MS Vista a vyšších verzí MS Windows je situace jiná: při instalaci samotného operačního systému se do systémového úložiště uloží jen několik málo důvěryhodných kořenových certifikátů certifikačních autorit. Ostatní certifikáty, které tvůrce operačního systému (společnost Microsoft) považuje za důvěryhodné a zařazuje do svého programu MRCP (Microsoft Root Certificate Program), zůstávají dostupné on-line, na serverech Microsoftu.

Když se pak má posoudit důvěryhodnost nějakého konkrétního certifikátu, nejprve se najde příslušná certifikační cesta, neboli posloupnost certifikátů, vedoucí od posuzovaného certifikátu až k některému kořenovému certifikátu. Tento kořenový certifikát se pak nejprve hledá v systémovém úložišti na daném počítači. Pokud se v něm nenajde, hledá se dále on-line, na serverech Microsoftu, mezi důvěryhodnými certifikáty v rámci programu MRCP. Pokud je kořenový certifikát nalezen zde, je doinstalován (jako důvěryhodný kořenový certifikát) do příslušného systémového úložiště na daném počítači. A to automaticky, aniž by byl uživatel dotazován na souhlas či o tom byl jen informován[13].

Tímto chováním lze mj. vysvětlit i disproporci mezi tím, že uživatel nejprve vůbec nenajde nějaký konkrétní kořenový certifikát v systémovém úložišti svého operačního systému, ale programy, které toto úložiště používají, budou „samy od sebe“ důvěřovat všem certifikátům příslušné certifikační autority: při prvním přístupu je její kořenový certifikát automaticky doinstalován.

Mechanismy pro takovéto automatické instalování důvěryhodných kořenových certifikátů dokonce „přebíjejí“ vůli uživatele: pokud ten sám smaže některý z kořenových certifikátů ze systémového úložiště MS Windows, je tento certifikát při nejbližší relevantní příležitosti zase znovu automaticky nainstalován[14].

Připomeňme si ještě, že z tuzemských (akreditovaných) certifikačních autorit je do programu MRCP společnosti Microsoft zařazena certifikační autorita I.CA (se všemi kořenovými certifikáty, které používá), a částečně i CA PostSignum (ale jen svým novým kořenovým certifikátem, neboli certifikátem PostSignum Root QCA 2 své nové „dvojkové“  kořenové autority).

Stejně tak si připomeňme, že popisované automatické dočítání kořenových certifikátů se týká pouze systémového úložiště operačního systému MS Windows a ovlivňuje tak chování pouze těch programů, které toto úložiště využívají.

Poněkud odlišně to funguje u Adobe Readeru (i Acrobatu) od společnosti Adobe, která má svůj vlastní program AATL (Adobe Approved Trust List), týkající se pouze kořenových certifikátů, viz část 5.4.3.3:

Kořenové certifikáty, zařazené do programu AATL, tvoří jednorázovou „počáteční náplň“ vlastního úložiště Readeru při instalaci tohoto programu. Uplatňují se ale i při průběžné aktualizaci obsahu tohoto úložiště: Reader si každých 90 dnů stahuje aktuální verzi tohoto seznamu, a z něj si pak doplňuje ty kořenové certifikáty, které mu v úložišti chybí[15].

Na rozdíl od mechanismů aktualizace kořenových certifikátů v operačním systému MS Windows má u Adobe Readeru uživatel větší kontrolu nad celým procesem aktualizace. Může ho zakázat, prostřednictvím standardního uživatelského nastavení (viz obrázek). Nebo ho může naopak explicitně vyvolat, aby nemusel čekat na příští plánovanou aktualizaci po 90 dnech.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Uživatelské nastavení aktualizace kořenových certifikátů u Adobe Readeru

Obrázek 5 - 35: Uživatelské nastavení aktualizace kořenových certifikátů u Adobe Readeru


[13] Smyslem tohoto řešení, shodného pro Windows XP i vyšší verze, je zřejmě zefektivnění správy certifikátů (které se instalují až v okamžiku skutečné potřeby) a maximální odlehčení uživatele, který se nemusí o nic starat.

[14] Existuje možnost vypnutí popisovaného automatického doinstalovávání kořenových certifikátů: na MS Windows XP odinstalováním systémové komponenty „Aktualizace kořenových certifikátů“, a na MS Windows Vista a vyšších skrze podporu zásad skupiny, případně přímo editací registru: vytvořením DWORD položky DisableRootAutoUpdate ve složce HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot a jejím nastavením na hodnotu 1.

[15] Přesněji: aktuální verzi seznamu stahuje až v okamžiku, kdy má ověřit podpis na nějakém podepsaném dokumentu



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61