Vlákno názorů k článku Nebojte se elektronického podpisu: Praxe od Josef - Dle toho, co jsem zjistil, myslím, že certifikát...
-
Josef (neregistrovaný)Dle toho, co jsem zjistil, myslím, že certifikát (podpis) od CA Thawte nemá adresát zprávy nijak možnost ověřit. Zneplatním-li svůj certifikát (byl ukraden), mohu se o zneplatnění dovědět pouze já sám, ale nikdo jiný nepozná, zda je doručený podpis platný nebo zneplatněný - to nabourává celý smysl odvolávání certifikátů, to vše ztrácí smysl a dosti to narušuje bezpečnost celého systému. Thawte zcela chybí jakýsi seznam zneplatněných certifikátů (stáhnutelný), či např. ověření certifikátu on-line, jež by mohl provádět kdokoli. Mýlím se snad?
-
Ano, buhuzel se mylite. Seznamy zneplatnenych certifikatu (tzv. Certificate Revocation List, CRL) jsou na adrese http://www.thawte.com/roots/crldatabase.html
Pro FreeMail certifikaty od Thawte jde konkretne o tento CRL:
http://crl.thawte.com/ThawtePersonalFreemailIssuingCA.crl -
Josef (neregistrovaný)Ano, mýlil jsem se. Jenom mne napadá, kde se k adrese pro stažení CRL dostane někdo, kdo dostane podepsanou zprávu? Z úvodní stránky CA Thawte jsem se k CRL probojovat nedokázal, ani ve vlastním podpise jsem nikde nenašel adresu pro stažení seznamu či ověření (mimochodem, jak často je aktualizován jsem též nezjistil).
-
Aktualizován je asi každou chvíli, protože je v něm i záznam z "Aug 6 01:36:57 2005 GMT", čili certifikát odvolaný před pár hodinami.
Jak se k němu dostat ... já do vyhledávacího políčka na stránce Thwate napsal CRL a hned první odkaz byl ten správný. Jinak v certifikátu "Thawte Personal Freemail Issuing CA" je položka "CRL distribution points" - sice to není plain text, ale možná se zrovna tam ukrývá adresa odkud lze CRL stáhnout. -
Josef (neregistrovaný)V "CRL distribution points" se konkrétně u mně ukrývá toto:
Nekritické
30 3a 30 38 a0 36 a0 34 86 32 68 74 74 70 3a 2f
2f 63 72 6c 2e 74 68 61 77 74 65 2e 63 6f 6d 2f
54 68 61 77 74 65 50 65 72 73 6f 6e 61 6c 46 72
65 65 6d 61 69 6c 43 41 2e 63 72 6c
Alespoň já osobně z toho žádnou adresu získat nedokážu. Mozilla mi navíc při zobrazení certifikátu píše, že jej z neznámých důvodů nebylo možno ověřit (mám něco špatně nastaveno?) - myslím, že by bylo ideální, kdyby v okně zobrazení certifikátu bylo rovnou např. tlačítko, jež by on-line platnost prověřilo (tak je tomu např. při ověřování platnosti certifikátů vydaných Komerční bankou).
Navíc mne napadá, kdyby někdo teoreticky vytvořil falešný certifikát na mé jméno a dokázal do něj vložit i název vydavatele CA Thawte (nevím, zda je to prakticky možné), jak někdo zjistí, že je neplatný? - v CRL jeho číslo nebude. Připadlo by mi mnohem logičtější uveřejňovat seznam platných certifikátů (i když potom by ve výše uvedeném případě padělatel vložil i falešné seriové číslo), nebo nejlépe, kdyby bylo možno přímo on-line "zaslat" obdržený podpis a CA by odpověděla zda certifikát vydala a zda je platný.
