Hlavní navigace

Názor ke zprávičce Po úniku klíčů bude dnes zneplatněno 23 000 TLS certifikátů od Filip Jirsák - V případě osobních certifikátů je registrační autorita ten,...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 1. 3. 2018 16:59

    Filip Jirsák

    V případě osobních certifikátů je registrační autorita ten, kdo provede to skutečné ověření osoby, rozhodně to není jen přeprodejce. Ono by to taky jinak nedávalo smysl, abyste přišel za přeprodejcem, ten by od vás inkasoval peníze a pak by vás stejně poslal do certifikační autority. U serverových certifikátů vydávaných na dálku to tak být nemusí, ale pokud by to tak nebylo, uniká mi, k čemu by tam ten přeprodejce byl dobrý. Mimochodem, pokud by to tak bylo, reseller se nemusí dostat ani k těm veřejným klíčům – klidně by mohl jen vystavit fakturu.

    Pokud někdo vlastí privátní klíče, není „jen někdo, kdo přeprodává certifikáty“, a právo revokovat certifikát samozřejmě mít musí.

    Smlouva mezi zákazníkem a Trustico je něco jiného, než smlouva mezi Trustico a certifikační autoritou. Ve smlouvě mezi mnou a Trustico samozřejmě nechci ustanovení, že mohou požádat o zneplatnění certifikátu kdy je napadne, ale že o něj mohou požádat v případě, kdy budou mít důvodné podezření, že došlo ke kompromitaci. Mezi Trusitco a certifikační autoritou je to ale něco jiného, protože tam je zodpovědnost na Trusticu (pokud tedy jen nefakturují).

    Rozhodně bych si nekoupil certifikát od firmy, která bude mít v podmínkách, že certifikát odvolají jedině na žádost majitele privátního klíče – a pokud se nějakému útočníkovi podaří získat falešný certifikát, koupí firma bonboniéru a půjdou ho slušně požádat, jestli by byl tak laskav a certifikát odvolal.

    Mimochodem, tady v ČR se certifikáty vydávají na fakturu – protože pokud nezaplatíte, může certifikační autorita certifikát odvolat a vám bude k ničemu. Takže i kdyby někdo jen vystavoval faktury, může mít dobrý důvod certifikát odvolat (i když to nijak nesouvisí s bezpečností).