Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

6.5.5         Kontrola revokace již expirovaného certifikátu

K pochopení toho, jak Adobe Reader ověřuje stav revokace certifikátu, se ještě musíme seznámit s jedním možným případem: představme si dokument, jehož elektronický podpis je založen na certifikátu, kterému v době ověřování již skončila jeho řádná doba platnosti (tzv. expiroval). Nicméně v době vzniku podpisu byl certifikát ještě platný  – a dobu vzniku podpisu stvrzuje kvalifikované (podpisové) časové razítko, připojené k podpisu.

Takovýto podpis by stále měl být ověřen jako platný - samozřejmě pokud jsou splněny všechny další nezbytné podmínky včetně toho, že příslušný certifikát nebyl v době své řádné platnosti revokován.

Jak ale Adobe Reader zjistí, zda certifikát nebyl v době své řádné platnosti revokován? U certifikátů od tuzemských certifikačních autorit, které zatím nepodporují protokol OCSP (viz část 3.4.2), jsou jedinou možností seznamy CRL.  Ty ale existují ve dvou verzích, jak jsme si již popisovali v části 3.4.4: buďto je vydáván jen jeden (“kumulativní“) seznam CRL, který obsahuje i již expirované (tj. „starší“ certifikáty), nebo jsou neustále vydávány nové (“intervalové“) seznamy CRL, ze kterých jsou ale vyřazovány ty certifikáty, které již expirovaly.

Připomeňme si, že z tuzemských certifikačních autorit vydává eIdentity „kumulativní“ CRL seznam, zatímco I.CA a PostSignum vydávají „intervalové“ seznamy CRL.

Ty certifikační autority, které vydávají „intervalové“ seznamy CRL, samozřejmě zveřejňují i starší verze těchto seznamů, a to i „způsobem, umožňujícím dálkový přístup“ (přes webové rozhraní, jak jsme si také již popisovali v části 3.4.4). Problém je ale v tom, že Adobe Reader tento specifický způsob zveřejnění „starších“ verzí CRL nezná a nepodporuje, a tak se k potřebným informacím nedostane.

Připomeňme si také, že přímo v certifikátu je uveden URL odkaz na aktuální verzi seznamu CRL. Nikoli ale již odkaz na starší verze.

Praktické důsledky jsou tedy dosti nepříjemné: jakmile skončí řádná platnost certifikátu, na kterém je elektronický podpis založen, je vlastně jedno, zda je dokument ještě opatřen časovým razítkem či nikoli: Adobe Reader již nedokáže ověřit, zda certifikát nebyl revokován – a tak skončí verdiktem „nevím“ (resp. že platnost podpisu je neznámá).

Přesněji skončí takto u podpisů, založených na certifikátech od I.CA či PostSignum. V případě certifikátů od eIdentity revokaci ověřit dokáže.

Zdůrazněme si, že jde o vlastnost Adobe Readeru (a jeho neschopnost získat starší verze CRL seznamů). Neznamená to, že by ověření platnosti podpisu nebylo v dané situaci možné. Jiné programy, šité na míru tuzemským certifikačním autoritám a jejich způsobu zveřejňování, si s tímto problémem mohou poradit.

Jako příklad si ukažme PDF dokument, vzniklý autorizovanou konverzí na CzechPointu přímo 1.7.2009 (v den, kdy došlo ke spuštění datových schránek). Jako takový je opatřen elektronickým podpisem operátora CzechPointu, založeným na certifikátu s platností od 26.3.2009 do 26.3.2010 a opatřený (podpisovým) časovým razítkem (k datu 1.7.2009). Ověřování probíhalo 23.9.2010, kdy certifikátu již skončila řádná platnost, ale časové razítko ještě bylo možné ověřit jako platné (jeho certifikátu platnost ještě neskončila). Adobe Reader byl nastaven tak, aby posuzovaným okamžikem byl okamžik vzniku podpisu (tak, jak byl zachycen časovým razítkem). Výsledkem by tedy mělo být konstatování, že podpis je platný.

Certifikát, na kterém je podpis založen, vydala certifikační autorita PostSignum. Ta vydává  „intervalový“ seznam CRL –  a jelikož v době ověřování (23.9.2010) již skončila řádná platnost certifikátu (26.3. 2010), na aktuálním seznamu CRL již nemohla být obsažena informace o jeho eventuální revokaci. A tak Adobe Reader skončil ověření platnosti podpisu verdiktem „nevím“ – protože nedokázal najít informace o eventuální revokaci (zneplatnění).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad, kdy Adobe Reader nedokázal najít informaci o revokaci certifikátu

Obrázek 6 - 28: Příklad, kdy Adobe Reader nedokázal najít informaci o revokaci certifikátu© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61