4.4 Postup získání certifikátu CA

4.4
Postup získání certifikátu CA
Pro bezchybnou a bezproblémovou funkci aplikací v rámci bezpečné komunikace
využívající technologie certifikátů, tedy i elektronický podpis (e-mail, webové aplikace, …)
je z výše uvedených důvodů prvním a základním požadavkem zařazení vybrané certifikační
autority mezi důvěryhodné CA.
V současné době neexistují jednoznačná a obecně uznávaná kritéria pro hodnocení
certifikačních autorit a jejich služeb. V literatuře je možné najít různé postupy hodnocení
důvěryhodnosti a akceptovatelnosti certifikačních autorit. Klíčovým dokumentem
popisujícím rozhodující procesy a postupy vybrané CA je její politika poskytování služeb. Při
případném výběru konkrétní CA, ať již akreditované nebo neakreditované, vydávající
kvalifikované certifikáty nebo jiné certifikáty, je třeba vidět i ostatní atributy.
Zajímavým a důležitým kritériem je počet vydaných certifikátů, počet registračních
autorit nebo délka provozu CA. I tyto zdánlivé maličkosti mohou poskytnout hodnotné
informace. Svoje doporučení pro výběr CA zveřejnilo na svých webových stránkách i české
Ministerstvo vnitra, akreditační orgán ve vztahu k technologiím elektronického podpisu.
Navrhovaná kritéria jsou:
dostupnost registračního místa pro žadatele o certifikát,
cena certifikátu – požaduji/nepožaduji čipovou kartu,
přívětivost aplikací a jejich použitelnost na různých platformách (např. žádosti o
vydání certifikátu),
složitost/jednoduchost postupu při získání certifikátu,
srozumitelnost informací, které poskytovatel zveřejňuje.
Kritéria pro výběr certifikační autority mohou být různá. Je však třeba si uvědomit, že
tento výběr má značný vliv na bezpečnost a provozuschopnost celého řešení (elektronické
komunikace).
Matoucí pro uživatele může být i to, že certifikační autority, jejichž certifikáty jsou
běžně užívané v České republice, nejsou obvykle po instalaci operačního systému nebo
konkrétní aplikace pracující s certifikáty (např. produkty Adobe, internetové prohlížeče)
zařazeny mezi důvěryhodné. Důvodem jsou především rozdílné požadavky kladené na CA
v Evropě a USA a dále také obchodní a technologické důvody. Přesto se některé české
certifikační autority pokoušejí zapojit do programů výrobců tohoto software a například do
Microsoft Root Certificate Program v době psaní tohoto textu byly zapojeny už dvě české
akreditované certifikační autority.
Konkrétní instalace certifikátu CA do běžných klientských systémů je zpravidla
uživatelsky velice přívětivá a jednoduchá. Většina CA umožňuje instalaci certifikátu přímo
z jejich webových stránek.
Nakladatelství FORUM, s.r.o., Na Březince 1513/14, 150 00 Praha 5 – Smíchov
Telefon: 251 550 576; Fax: 251 512 422; Email: [email protected]; Internet: www.forum-media.cz
Při instalaci certifikátu vybrané certifikační autority do systému uživatele je třeba
důsledně dbát několika základních pravidel:
Na webových stránkách CA najít (nebo jiným způsobem získat) odkaz na instalaci
certifikátu certifikační autority.
Vybrat si příslušný typ certifikátu CA. Důležitým kritériem je typ certifikátu
konkrétní CA pro daný účel (například komerční pro šifrování a autentizaci a
kvalifikovaný pro technologii elektronického podpisu) i doba jeho platnosti.
Pravost certifikátu certifikační autority je možné ověřit podle jeho otisku (hash
hodnoty certifikátu) označované též jako „fingerprint“ nebo miniatura. Na otisk
certifikátu CA je možné se dotázat přímo poskytovatele nebo tento otisk najít na
stránkách důvěryhodné instituce (prostředníka). V případě poskytovatelů
certifikačních služeb splňujících podmínky legislativy je možné s výhodou využít
stránky Ministerstva vnitra.
Je třeba instalovat certifikát do správného úložiště, obvykle mezi důvěryhodné
kořenové certifikační autority.
Prohlídkou úložišť je možné ověřit, že import certifikátu proběhl úspěšně.
Po instalaci certifikátu je správné v systému zobrazit detaily položek certifikátu CA
pro kontrolu. Je možné si prohlédnout jednotlivé položky certifikátu, a to včetně již
zmiňovaného otisku (miniatury) nebo data počátku a konce platnosti certifikátu.
Certifikáty certifikační autority je možné získat obvykle velice rychle a zdarma.
Správnou cestou je instalovat pouze certifikáty těch certifikačních autorit, kterým uživatel
důvěřuje. Certifikáty CA, které si uživatel systému nevybral (byly například součástí
standardní instalace) anebo je nainstaloval neuváženě, mohou výrazným způsobem ohrozit
bezpečnost elektronické komunikace. Klíčem je výběr správné certifikační autority splňující
požadavky klienta.
Nakladatelství FORUM, s.r.o., Na Březince 1513/14, 150 00 Praha 5 – Smíchov
Telefon: 251 550 576; Fax: 251 512 422; Email: [email protected]; Internet: www.forum-media.cz