Vlákno názorů k článku Jak na OpenSSL od Franta - eBanka pouziva neplatny korenovy certifikat ( http://www.ebanka.cz/pki/certifikaty/eBanka_ROOT.cer )...

eBanka pouziva neplatny korenovy certifikat ( http://www.ebanka.cz/pki/certifikaty/eBanka_ROOT.cer ) pro "Internetove elektronicke klice". Skoda, ze tento clanek jeste nebyl napsan v dobe, kzyz vygenerovali certifikaty. Jejich korenovy certifikat totiz vyprsel jiz v roce 1951.

A jaky to ma vyznam? Tohle je uplne jedno. Kdyby eBanka mela stamiliony uzivatelu, jako napr. VeriSign diky podpore root CA v IE a Netscapu, tak je to neco jineho a je nutne hlidat expiraci i s ohledem na delku provozu toho root certifikatu. A hlavne, neni snadne upgradovat najednou miliony instalaci IE nebo jineho prohlizece aby tam byl aktualni a novy certifikat. Proto ma ta expirace zde vyznam. U eBanky je dulezite datum vydani, to je 2001 a kdy bude expirovat je uplne jedno, zavisi to na vnitrni policy te banky, ktera se muze menit s vyvoje IT a kryptografie.
Jinak zakladni FAQ, kde aspon pochopite, proc je expire date pro root CA delano jsou zde: http://www.verisign.com/server/cus/rootcert/faq.html

Ale vyznam to rozhodne ma... tento FAQ odpovida na otazku, proc VERISIGN nastavuje expiraci svych CA certifikatu na par let od vydani, a ne, proc existuje pole expirace v x509 certifikatu. Faktem je, ze muzou podepsat dalsi certifikaty timto certifikatem, ale kdokoliv muze zpochybnit jakykoliv dokument podepsany certifikatem, ktery NIKDY nebyl platny.

Spis to naznacuje, ze se experti v eBance prilis obtezovali cist prislusne dokumentace a RFC. Zajimalo by me, na co si jeste zapomeli...

Tohle neni nic zavazneho. Ano, 509ka to definuje, ale tohle neni zasadni vec, je to proste optional a jestli si to root udela tak ci ona je jeho vec. Je proste root. Dulezita je distribuce toho CT, to datum je uplne ukradene a podle nej nejde stejne nic poznat. Ma to jen informativni hodnotu, ale vubec zadnou bezpecnostni.