Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

6.5.10     Jaké certifikáty zařadit mezi důvěryhodné?

Upřesněme si ještě jednou, že když Adobe Reader bude vyhodnocovat nějaký konkrétní podpis, bude se snažit zjistit, zda je tento podpis založen na takovém certifikátu, který může považovat za důvěryhodný, a stejně tak všechny jemu nadřazené certifikáty na příslušné certifikační cestě. Pouze v tomto případě (a při splnění všech ostatních podmínek) bude moci prohlásit podpis za platný. 

Důvěryhodnost každého konkrétního certifikátu přitom posuzuje podle toho, zda se přímo tento certifikát nachází v úložišti důvěryhodných certifikátů, nebo zda se zde nachází jemu nadřazený certifikát, neboli certifikát příslušného vydavatele (certifikační autority).

Jak již také víme, vyjadřovat důvěru individuálně jednotlivým „podpisovým“ certifikátům by mělo být spíše výjimkou potvrzující obecné pravidlo, že důvěra se vyjadřuje vydavatelům certifikátů (certifikačním autoritám), a do úložišť jsou ukládány především jejich certifikáty. Připomeňme si také, že certifikáty certifikačních autorit se do příslušného úložiště mohou dostat různými způsoby: jako jejich „počáteční náplň“, skrze mechanismy pro automatickou instalaci certifikátů nebo „ručně“, samotnými uživateli či správci (viz část 5.4).

V našich zeměpisných šířkách by tak v úložišti měly být všechny kořenové certifikáty všech tuzemských akreditovaných certifikačních autorit (tj. I.CA, Postsignum a eIdentity), a také certifikáty všech jejich podřízených (zprostředkujících) autorit, které vydávají kvalifikované certifikáty  (jak jsme si popisovali již v části 1.10).

S takto nastaveným obsahem úložiště certifikátů (obsahujícím kořenové certifikáty a certifikáty kvalifikovaných podřízených autorit) pak bude korektně ověřována platnost uznávaných elektronických podpisů, uznávaných značek a kvalifikovaných časových razítek, založených na certifikátech tuzemských certifikačních autorit. Mějme ale na paměti, že dnes již jsou za uznávané považovány i takové elektronické podpisy, které jsou založené na kvalifikovaných certifikátech některých zahraničních certifikačních autorit (podrobněji viz seznamy TSL, část 4.5.3).

Samozřejmě můžeme do příslušného úložiště sami přidat také certifikáty dalších vydavatelů (certifikačních autorit), které považujeme za důvěryhodné – tak, aby i podpisy založené na jimi vydaných certifikátech mohly být vyhodnoceny jako platné. Například chceme-li, aby se korektně vyhodnocovaly podpisy založené na komerčních certifikátech (byť nebudou „uznávané“), musíme do právě používaného úložiště nainstalovat také certifikáty příslušných (komerčních) certifikačních autorit. Například certifikačních autorit našich obchodních partnerů či (podřízených) komerčních autorit akreditovaných autorit, jako je PostSignum, eIdentity či I.CA.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61