Digitální certifikát svazuje konkrétní osobu s párem klíčů, sloužících pro vytvoření a ověření digitálního podpisu. Pokud má být ovšem certifikát pro příjemce zprávy důvěryhodný, musí jej vydat nějaký nezávislý, dostatečně důvěryhodný subjekt. A tímto subjektem je právě certifikační autorita.

Jestliže chceme získat certifikát, musíme si vybrat nějakou certifikační autoritu a požádat o jeho vydání. Nejprve bychom si tedy měli říci, co všechno vlastně taková certifikační autorita dělá, na konci článku se pokusíme stanovit si kritéria, podle kterých bychom se při výběru měli řídit.

Činnost certifikační autority by se dala přirovnat k činnosti notáře při ověřování klasického podpisu. Je zde ovšem jedna zásadní odlišnost – zatímco notář musí ověřit každý jednotlivý podpis, certifikační autorita neověřuje vlastní podpis, ale data pro vytváření digitálního podpisu, skutečných podpisů potom můžete pomocí těchto dat vytvořit libovolné množství. Jinak je ovšem postup analogický – certifikační autorita stejně jako notář musí zkontrolovat totožnost podepisující se osoby (respektive žadatele o certifikát), zajistit, že se skutečně podepisuje daná osoba (u klasického podpisu se osoba podepíše přímo před notářem, v případě digitálního podpisu musí prokázat vlastnictví daného páru klíčů), provést záznam potřebných údajů (do databáze, respektive do knihy), a následně vydá certifikát obsahující všechny potřebné údaje (notář připojí k dokumentu razítko, kde údaje vyplní) podepsaný svým soukromým klíčem (respektive vlastnoručním podpisem v případě notářského ověření).

Na rozdíl od notářského ověření podpisu, které je víceméně jednorázovým úkonem, je zde ovšem ještě jedna odlišnost. Protože digitální podpis se dá pomocí certifikátu (respektive s ním svázaného soukromého klíče) vytvářet opakovaně po celou dobu platnosti certifikátu, vzniká mezi certifikační autoritou a držitelem certifikátu obchodní vztah, který je také zpravidla podepřen uzavřením smlouvy, ze které pro obě strany vyplývají jisté povinnosti. Certifikační autorita na základě toho poskytuje další servis, jako například zneplatňování certifikátů a zveřejňování jejich seznamů, vydávání následných certifikátů a podobně. Držitel certifikátu se potom zavazuje, že poskytne certifikační autoritě přesné a pravdivé informace, bude ji informovat o případných změnách těchto údajů, bude chránit svůj soukromý klíč a, v případě jeho kompromitace, požádá certifikační autoritu o zneplatnění certifikátu.

Od podání žádosti po vystavení certifikátu

Popišme si celý proces od podání žádosti o certifikát až po jeho vystavení (uvedený postup se týká nejpoužívanějšího osobního certifikátu). Jestliže chcete získat certifikát, musíte si nejprve vygenerovat dvojici klíčů a vytvořit elektronickou žádost. I když to asi vypadá dost složitě, ve skutečnosti je to poměrně snadná záležitost – zpravidla totiž stačí navštívit webové stránky příslušné certifikační autority, zvolit typ certifikátu, a vše ostatní již proběhne zcela automaticky včetně vygenerování klíčů a odeslání vytvořené elektronické žádosti certifikační autoritě (i když někdy je vyžadováno nahrání žádosti na disketu a její osobní doručení). Nyní následuje nejdůležitější fáze, a sice ověření totožnosti žadatele. Za tím účelem se s největší pravděpodobností budete muset dostavit do sídla certifikační autority s alespoň jedním dokladem totožnosti. Podle tohoto dokladu bude zkontrolována vaše totožnost a také shoda údajů v dokladu a v elektronické žádosti. Pokud splníte všechny požadované náležitosti, bude vám vystaven certifikát, v opačném případě bude žádost zamítnuta. Způsob předání vlastního certifikátu je u jednotlivých certifikačních autorit různý, můžete si jej odnést na paměťovém médiu, nebo si jej stáhnete z webových stránek, případně vám může být zaslán elektronickou poštou. Některé certifikační autority zvolily poněkud odlišný způsob ověření totožnosti, kdy není nutná osobní přítomnost žadatele. Po vygenerování žádosti si vytisknete smlouvu (nebo vám ji certifikační autorita zašle), tuto smlouvu opatříte notářsky ověřeným podpisem, a zašlete do sídla certifikační autority.

Osobní návštěva certifikační autority by samozřejmě byla problematická pro žadatele, kteří pobývají daleko od jejího sídla. Proto certifikační autority, které osobní návštěvu vyžadují, zřizují síť speciálních poboček, takzvaných registračních autorit. Registrační autorita nevystavuje vlastní certifikát, pouze kontroluje elektronickou žádost a totožnost žadatele. Poté všechna data předá certifikační autoritě, která na jejich základě buď vystaví certifikát, nebo žádost odmítne.

Jak je to s klíči autority?

Jak už bylo řečeno, certifikační autorita vydané certifikáty podepíše svým soukromým klíčem. Z toho lze ovšem usoudit, že k tomuto klíči by také měl existovat nějaký certifikát. A opravdu tomu tak je, certifikát certifikační autority je důležitým článkem v ověření platnosti digitálního podpisu. Pokud totiž adresát obdrží podepsanou zprávu a nemá v systému nainstalován příslušný certifikát certifikační autority, měl by emailový klient zobrazit upozornění, že certifikát odesilatele vydala certifikační autorita, které zatím nedůvěřujete. Teprve instalací certifikátu certifikační autority stvrzujete, že této certifikační autoritě důvěřujete, takže nadále už budou všechny certifikáty vydané touto certifikační autoritou považovány za důvěryhodné. Pochopitelně je nutné si před instalací tohoto certifikátu certifikační autoritu opravdu prověřit, například tím, že navštívíme její webové stránky, prostudujeme si její certifikační politiku a případně další informace, a na jejich základě se teprve rozhodneme, jestli certifikační autoritě důvěřujeme.

Jestliže je ovšem osobní certifikát žadatele podepsán klíčem certifikační autority, kdo potom podepíše certifikační autoritě její vlastní certifikát? V zásadě jsou dvě možnosti, buď jej podepíše nějaká jiná, „vyšší“ certifikační autorita, nebo si jej podepíše certifikační autorita sama svým vlastním soukromým klíčem (takový certifikát se nazývá kořenový).

Přestože první varianta vypadá na první pohled logicky, v praxi se používá méně. Důvodem je to, že certifikační autorita, která takový certifikát podepíše, defacto přebírá část odpovědnosti za certifikační autoritu, jejíž certifikát podepsala. Nadřazená certifikační autorita by ovšem v případě takového přebírání odpovědnosti nutně musela mít možnost alespoň částečně kontrolovat certifikační autoritu, jejíž certifikát podepsala, což je pochopitelně problematická záležitost (zejména u komerčních subjektů). Proto se tato varianta omezuje například na situaci, kdy certifikáty podepisuje nějaký státní úřad, který takovou možnost kontroly má (tento model zavedl například slovenský zákon o elektronickém podpisu).

V praxi se také často používá jakýsi kombinovaný způsob, kdy certifikační autorita podepisuje vydávané certifikáty pomocí několika svých certifikátů (pro různé typy vydávaných certifikátů má samostatný certifikát, respektive klíč) a tyto jednotlivé certifikáty potom podepíše svým kořenovým certifikátem. Tímto způsobem vzniká jakási hierarchie certifikátů, pro ověření podpisu je potom potřeba nainstalovat všechny certifikáty v této hierarchii. Každopádně z výše uvedeného vyplývá, že certifikáty certifikační autority musí být neustále dostupné, zpravidla je možné je stáhnout nebo přímo nainstalovat na webu certifikační autority.

Kromě vlastního vydávání a správy certifikátů poskytuje certifikační autorita další důležitou službu, a sice udržování a publikování tzv. seznamu zneplatněných certifikátů, neboli CRL (certificate revocation list). Jedná se o seznam certifikátů, u kterých byla předčasně ukončena jejich platnost. Předčasné ukončení platnosti (neboli zneplatnění) certifikátu může mít několik příčin, například změnu údajů uvedených v certifikátu, ale nejzávažnější příčinou je kompromitace soukromého klíče. Pokud k takové události dojde, hrozí riziko zneužití klíče (laicky řečeno „zfalšování“ podpisu) a pochopitelně snahou držitele certifikátu je toto riziko co nejvíce eliminovat. Proto je důležité, aby byl certifikát uveden v seznamu zneplatněných certifikátů co nejdříve od okamžiku, kdy držitel certifikátu o zneplatnění požádá. V praxi je většinou CRL publikován v pravidelných intervalech, bez ohledu na to, jestli byl nějaký certifikát zneplatněn, či nikoli. Protože si tento seznam musí příjemci digitálně podepsaných zpráv pravidelně stahovat a instalovat, musí být také seznam zneplatněných certifikátů neustále dostupný, zpravidla na webu certifikační autority (měl být dostupný dvěma na sobě nezávislými způsoby).

Jak si vybrat certifikační autoritu

Nyní již zhruba víme, jak certifikační autorita funguje a měli bychom si říci, jakým způsobem si zvolit certifikační autoritu, kterou požádáme o vydání certifikátu. Nejdůležitější kritéria (v uvedeném pořadí) jsou tato:

  1. typ požadovaného certifikátu
  2. důvěryhodnost certifikační autority
  3. cena a úroveň poskytovaných služeb

První bod je celkem jasný a není třeba jej příliš rozebírat. Ne všechny certifikační autority vydávají všechny typy certifikátů, pokud tedy některá certifikační autorita nenabízí certifikát, který požadujeme, logicky nemůžeme jejich služeb využít.

Druhé kritérium je asi nejproblematičtější, posoudit důvěryhodnost nějaké certifikační autority nemusí být lehký úkol, zvláště pokud k tomu nemáme dostatek informací. A kde takové informace získat? Základem by měla být návštěva webových stránek společnosti a prostudování všech informací, které jsou zde zveřejněny. Z nich nejdůležitější je tzv. certifikační politika, což je jakýsi podrobný popis všech služeb, které certifikační autorita poskytuje a podmínek, za kterých tak činí. Jsou zde také uvedeny povinnosti certifikační autority i držitele certifikátu, technické podrobnosti, jako formáty elektronických žádostí, které certifikační autorita akceptuje, formáty vydávaných certifikátů a CRL, podmínky publikování CRL, způsob ověření údajů v žádosti a podobně. Kromě certifikační politiky nás také zřejmě budou zajímat další informace, jako dostupnost certifikační autority (respektive některé z registračních autorit), kvalita a rozsah nápovědy a dalších informací pro uživatele certifikátů, zda je poskytována technická podpora a další. V neposlední řadě může naši důvěru ovlivnit i samotná organizace, která certifikační služby nabízí, pokud se jedná o známou společnost, s kterou třeba již máme i nějakou zkušenost (ať už pozitivní či negativní), bude asi rozhodování o poznání jednodušší.

Poslední kritérium je opět celkem jasné, zde nás asi bude zejména zajímat cena za vystavení certifikátu, doba, na kterou je certifikát vydáván a délka klíče. Co se týče ceny za vystavení certifikátu, nemělo by nás překvapit, že je výrazně vyšší, než kupříkladu notářské ověření podpisu (což je ovšem vyrovnáno skutečností, že s pomocí certifikátu můžeme vytvořit libovolné množství podpisů). Na druhou stranu již i na českém trhu funguje certifikační autorita, která vám vystaví plnohodnotný certifikát zcela bezplatně. Před výběrem konkrétní certifikační autority se také informujte na další podrobnosti, jako například za jakých podmínek je možné získat následný certifikát (abyste nemuseli znovu absolvovat proces ověřování totožnosti), zda je možné generování klíčů na bezpečném zařízení (tokeny, čipové karty)…

Nyní byste již měli mít všechny potřebné informace o certifikačních autoritách a snad by proto pro vás neměl být problém zvolit si tu správnou společnost. Doufám, že to bude dobrá volba a přeji vám, abyste byli se službami vaší certifikační autority spokojeni.

Významné české certifikační autority

Starší komentáře ke článku

Pokud máte zájem o starší komentáře k tomuto článku, naleznete je zde.

Žádný příspěvek v diskuzi

Odpovědět