Certifikační autorita dělá to, že svým podpisem potvrdí, že údaje na certifikátu jsou pravdivé. Tedy že když někdo chce vystavit certifikát např. na doménu root.cz, že je opravdu vlastníkem této domény. Takovou certifikační autoritu si ale může udělat kdokoli, ostatně když jste si sám podepsal certifikát, vlastně jste také takovou certifikační autoritou. Vy ale samozřejmě chcete důvěřovat jen certifikátům vydaným důvěryhodnými certifikačními autoritami, tedy takovými, u kterých věříte, že před vydáním certifikátu ty údaje opravdu prověří. Správně byste tedy měl začít s prázdným seznamem certifikačních autorit a do něj postupně přidávat ty, které si nějak ověříte a kterým důvěřujete.
Tvůrci prohlížečů si tu zodpovědnost výběru důvěryhodných autorit berou na sebe, takže vám ten seznam "důvěryhodných" autorit předvyplní desítkami certifikačních autorit (a slovo "důvěryhodný" tak dostane pěknou ozdobu v podobě uvozovek). Tím, že na sebe autoři prohlížečů berou tuhle zodpovědnost (a jejich špatné rozhodnutí ovlivní miliony lidí), mají samozřejmě nějaké podmínky pro to, aby se certifikát certifikační autority dostal do toho jejich seznamu. A to se svým podomácku vyrobeným certifikátem nesplníte ani náhodou. Tudy cesta nevede.
Pokud se jedná o jeden web a pár kamarádů, kteří nepoužívají moc počítačů, je nejjednodušší, že si vydáte certifikát s dlouhou platností, a oni si jej nainstalují. Ostatně, když se na ten web budou chtít dostat, prohlížeč je k instalaci prakticky donutí - když se chcete dostat na web s certifikátem, kterému prohlížeč nedůvěřuje, ale zároveň si ten certifikát nechcete nainstalovat do prohlížeče natrvalo, musíte být dost ostražitý a ve správném okamžiku prohlížeči v instalaci zabránit.
Pokud jde stále o jeden web, těch kamarádů je víc nebo chcete, aby to měli komfortní a nemuseli nic potvrzovat, můžete si od StartSSL nechat vydat certifikát zadarmo na rok (a za rok zase). StartSSL má svůj certifikát ve všech běžně používaných prohlížečích, takže se pak na váš web každý dostane bez divných hlášek. Je potřeba se připravit na to, že u StartSSL klasicky místo peněz platíte svým časem - vydání certifikátu není moc intuitivní, občas mají systémy přetížené, takže se nějaká akce neprovede a vy nevíte proč atd. Takže to chce obrnit se trpělivostí. (I když je pravda, že s tou intuitivností to není slavné ani u placených certifikátů, to asi aby si majitel certifikátu uvědomil, že to není žádná prča a měl pocit, že za něco tak složitého si certifikační autorita ty peníze fakt zaslouží.)
Pokud byste těch webových adres měl víc, pěkně to poleze do peněz. Nebo byste musel kamarády přesvědčit, že jste důvěryhodná certifikační autorita a ať si nainstalují váš kořenový certifikát. Jenže pak byste klidně mohl podepsat certifikát na adresu google.com a prohlížeče kamarádů by tomu důvěřovaly - já nemám moc kamarádů, jejichž kořenový certifikát bych si do systému nainstaloval.
V budoucnosti bude možné použít DANE, tj. certifikát pro doménu bude umístěn v DNS a ověřen přes DNSSEC. Certifikační autority se pak vrátí ke své původní funkci a k tomu, co dnes nabízejí jako EV (extended validation) certifikáty - tedy nebudou ověřovat jenom to, zda jste oprávněným vlastníkem domény, ale hlavně kdo jste. (Protože klidně můžete být oprávněným vlastníkem domény komercni-banka.cz, ale s Komerční bankou nemusíte mít nic společného. A příkaz k úhradě asi nechcete dávat někomu, kdo má zrovna nějakou hezkou doménu, ale pouze na webu, který vlastní opravdu Komerční banka). Jenže co se týče podpory DANE, dělí se dnes webové prohlížeče na dvě skupiny - na ty, které DANE nepodporují vůbec, a na ty, které DANE podporují pouze přes nějaký plugin třetí strany. Takže si ještě nějakou dobu počkáme.
46 Odpovědí
9248 Zhlédnutí