Certifikační autorita

Certifikační autorita (zkratka CA) je v asymetrické kryptografii subjekt, který vydává digitální certifikáty (elektronicky podepsané veřejné šifrovací klíče), čímž usnadňuje využívání PKI (Public Key Infrastructure) tak, že svojí autoritou potvrzuje pravdivost údajů, které jsou ve volně dostupném veřejném klíči uvedeny. Na základě principu přenosu důvěry (viz níže) tak můžeme důvěřovat údajům uvedeným v digitálním certifikátu za předpokladu, že důvěřujeme samotné certifikační autoritě.

Na Internetu působí mnoho komerčních certifikačních autorit, které obvykle mají své veřejné klíče umístěny přímo ve webových prohlížečích a dalších programech, čímž mohou uživateli zjednodušit rozhodování o míře důvěry webových serverů, ke kterým se připojuje (ale též digitálně podepsaných e-mailů i jiných dat). Existují též bezplatné certifikační autority nebo takové, které se řídí zákony daného státu, vnitřními předpisy organizace a podobně.[1]

Decentralizovanou alternativou k certifikační autoritě je síť důvěry.

Činnost certifikační autority

Pořadí Vydavatel Použití Tržní podíl
1 Let's Encrypt 52.5% 56,3%
2 GlobalSign 13.1% 14,0%
3 IdenTrust 11.6% 12,4%
4 Sectigo (Comodo Cybersecurity) 6.8% 7,3%
5 DigiCert Group 5.0% 5,3%
6 GoDaddy Group 4.2% 4,4%

Certifikační autorita vydává digitální certifikáty, což jsou elektronicky podepsané veřejné šifrovací klíče, které obsahují identifikační údaje svého majitele, za jejichž správnost se certifikační autorita zaručila. Když certifikační autorita podepíše svůj vlastní klíč, jedná se o certifikát podepsaný sám sebou (anglicky self-signed certificate).

Podrobnější informace naleznete v článku Digitální certifikát.

Majitel veřejného klíče musí proto při žádosti o vydání digitálního certifikátu důvěryhodným způsobem certifikační autoritu přesvědčit, že jím poskytnuté údaje odpovídají skutečnosti a tomu, co uvedl ve svém veřejném klíči. Může tak například učinit:

Po ověření a porovnání výše uvedených údajů vydá certifikační autorita digitální certifikát, který ověřené údaje obsahuje. Důležitou součástí digitálního certifikátu je elektronický podpis, kterým lze snadno ověřit jeho autentičnost. Pokud by byly údaje v digitálním certifikátu změněny, kryptografické ověření digitálního podpisu by změnu odhalilo.

Validační standardy

Certifikační autorita může ověřit vazbu žadatele na doménu různými způsoby. Podle úrovně ověření rozlišujeme:

  • DV (domain validated) – ověřuje jen kontrolu žadatele nad doménou, v certifikátu je uvedeno jen pro jakou doménu je určen
  • EV (extended validatation certificate) – ověřuje nejen kontrolu nad doménou, ale i identitu žadatele, která je pak také uvedena v certifikátu

Kritéria pro vydání EV certifikátu jsou definována v Guidelines for Extended Validation, které definovalo CA/Browser Forum.[2] V roce 2019 přestaly webové prohlížeče vizuálně odlišovat EV certifikáty v adresním řádku.[3]

Důvěra v certifikační autoritu

Hodnota digitálního certifikátu je úměrná míře důvěry, kterou máme k údajům v něm uvedených. Proto je pro certifikační autoritu nejdůležitější důvěra, kterou vůči svému okolí vzbuzuje (tj. že nevydá digitální certifikát s nepravdivými údaji). Certifikační autorita proto musí adekvátním způsobem pečovat o svoji důvěryhodnost, jinak by nebylo možné využít principu přenosu důvěry (viz níže). Důvěryhodnost certifikační autority můžeme posoudit podle jejích webových stránek, použitého mechanismu ověření údajů, které žadatel o digitální certifikát předkládá a dalších znaků (články v tisku a elektronických médiích, kótované akcie a podobně). Cena vydaného certifikátu (resp. oblíbenosti certifikační autority) pak obvykle odpovídá této těžko exaktně definovatelné míře důvěry.

Placené certifikační autority získávají od svých klientů peníze, které používají jednak na zajištění vlastní činnosti, ale hlavně na platbu za zařazení vlastních kořenových certifikátů do software, který využívá přenosu důvěry (viz níže). Certifikační autority tak platí za distribuci svých kořenových certifikátů v Microsoft Windows, Firefoxu a dalších programech.[zdroj?]

Přenos důvěry

Přenos důvěry se běžně využívá v reálném světě. Čteme časopisy, noviny, hovoříme s lidmi, sledujeme televizi. Pokud se dozvíme něco nového, přikládáme informaci váhu podle důvěryhodnosti zdroje informací. Přenášíme tak důvěryhodnost zdroje informací na jím poskytovanou informaci. Věříme více svým blízkým přátelům nebo autoritám (seriózní noviny, učitel ve škole, kvalitní kniha, odborný pořad v televizi). Naopak s rezervou obvykle přistupujeme k informacím „jedna paní povídala“ nebo k reklamě. Nevěříme řádně odsouzenému člověku nebo prokázanému falzifikátu (např. Rukopis zelenohorský).

Stejným způsobem se uplatňuje přenos důvěry u certifikační autority. Je-li certifikační autorita důvěryhodná, můžeme věřit informacím uvedeným v digitálních certifikátech, které vydala (resp. digitálně podepsala). Věříme, že by certifikační autorita nevytvořila digitální certifikát s nepravdivými údaji.

V počítači jsou šifrovací klíče uloženy v úložišti certifikátů nebo v klíčence. Při ověřování autentičnosti veřejného klíče můžeme využít toho, že klíč je digitálně podepsán důvěryhodnou certifikační autoritou (jinou osobou atp.). Pokud je digitální podpis certifikátu platný a důvěřujeme certifikační autoritě, která klíč podepsala, přeneseme důvěru a věříme v důvěryhodnost neznámého veřejného klíče.

Pro usnadnění přenosu důvěry jsou v počítači obvykle předem přítomny kořenové klíče certifikačních autorit, které jsou distribuovány buď přímo s operačním systémem (Microsoft Windows) nebo s příslušnou aplikací (Firefox, Opera, Thunderbird atd.). Do úložiště je možné přidávat další certifikáty a následně důvěřovat certifikátům, které jsou jimi ověřitelné.

Jako certifikační autorita na internetu jsou dominantní USA. Jejich společnosti mají podíl na trhu přes 90 %.[4] NSA tak může odposlouchávat většinu komunikace.[zdroj?] [5][6]

Kvalifikovaná certifikační autorita

Kvalifikovaná certifikační autorita je v rámci České republiky definována Zákonem o elektronickém podpisu (zákon č. 227/2000 Sb.).[7] Seznam akreditovaných certifikačních autorit, které mohou vydávat kvalifikované certifikáty zveřejňuje Ministerstvo vnitra České republiky.[8]

Akreditovaná certifikační autorita vydává (zpoplatněné) kvalifikované certifikáty, což jsou standardní digitální certifikáty, které však jsou výše zmíněným zákonem uznávány v rámci komunikace se státními institucemi České republiky. Kvalifikovaný certifikát je ze zákona akceptován stejně jako občanský průkaz, avšak možnost využití kvalifikovaného certifikátu je omezena na vyjmenované případy (státní instituce musí být připraveny a jejich zaměstnanci příslušně proškoleni):[9]

  • komunikace elektronickou cestou se státní správou pomocí emailu
  • pro ověřování elektronických podpisů
  • pro bezpečné ověřování elektronických podpisů
  • zajištění neodmítnutelnosti odpovědnosti

Z hlediska právní platnosti je jedno u které akreditované certifikační autority je certifikát vytvořen. Kvalifikované certifikáty se řídí RFC 3039, přičemž zákon dále nařizuje používání položek Key Usage a nonRepudiation bitu.[10] Problémem kvalifikovaných certifikátů je šifrování, protože elektronický podpis nezahrnuje důvěrnost (realizovanou šifrováním).

Kvalifikované certifikační autority stojí v současné době mimo klasické celosvětově působící certifikační autority a zákon ani jiný stav nepředpokládá. Před ověřením kvalifikovaného certifikátu si proto uživatel musí do příslušného programu (webový prohlížeč, e-mailový klient) sám nainstalovat certifikát příslušné kvalifikované certifikační autority (a sám ověřit jeho důvěryhodnost), což je v současné době pravděpodobně nejslabší místo kvalifikovaného certifikátu, protože důležitost jeho důvěryhodnosti kvalifikované certifikační autority nezdůrazňují a své certifikáty mají jednoduše vystaveny na svých webových stránkách.[11]

Zneplatnění certifikátu

Digitální certifikát lze zneplatnit před ukončením jeho deklarované platnosti pomocí seznamu zneplatněných certifikátů (CRL), který je obvykle zpřístupněn na stránkách příslušné certifikační autority. Omezení doby platnosti certifikátu zabraňuje přetěžování CRL. Zpracování CRL může podporovat program, který s certifikáty pracuje (nejlépe automaticky a průběžně). Zneplatnění omezuje možné zneužití certifikátu a dochází k němu především ze dvou důvodů:

  1. při změně údajů uvedených v certifikátu
  2. při ohrožení soukromého klíče (odcizení klíče, prozrazení heslové fráze)
Podrobnější informace naleznete v článku Digitální certifikát.

Literatura

Reference

  1. https://archive.today/20120529130606/https://www.tractis.com/help/?p=3670 – Seznam certifikačních úřadů podle jednotlivých zemí
  2. EV SSL Certificate Guidelines [online]. 31 August 2013. Dostupné online. 
  3. Google, Mozilla: We're changing what you see in Chrome, Firefox address bars. ZDNET [online]. 2019-08-13 [cit. 2024-10-18]. Dostupné online. (anglicky) 
  4. https://w3techs.com/technologies/overview/ssl_certificate/all - Usage of SSL certificate authorities for websites
  5. https://zonena.me/2013/09/how-the-nsa-is-breaking-ssl/ - How the NSA is breaking SSL
  6. https://www.caseyresearch.com/cryptohippies-response-to-the-nsas-attack-on-encryption/[nedostupný zdroj] - Cryptohippie Responds to the NSA’s Attack on Encryption
  7. https://web.archive.org/web/20070209000623/http://portal.gov.cz/wps/portal/_s.155/701?kam=zakon&c=227%2F2000 – zákon 227/2000 Sb.
  8. http://www.mvcr.cz/clanek/prehled-kvalifikovanych-poskytovatelu-certifikacnich-sluzeb-a-jejich-kvalifikovanych-sluzeb.aspx Archivováno 14. 7. 2009 na Wayback Machine. – přehled kvalifikovaných poskytovatelů certifikačních služeb a jejich kvalifikovaných služeb (Ministerstvo vnitra České republiky)
  9. http://www.lupa.cz/clanky/kvalifikovany-certifikat-na-dve-veci/ – Použitelnost kvalifikovaného certifikátu.
  10. http://www.lupa.cz/clanky/kvalifikovany-certifikat-na-dve-veci-ii/ – Rozšiřující položky certifikátů.
  11. http://interval.cz/clanky/jak-si-vybrat-certifikacni-autoritu/ – Ověření důvěryhodnosti certifikátu.

Související články

Externí odkazy

Read other articles:

Leo Karasumaru adalah seorang martir Katolik Jepang. Ia adalah adik dari Santo Paulus Ibaraki dan paman dari Santo Louis Ibaraki. Ia memberikan sumbangan besar kepada OFM dalam membangun gereja dan mengelola rumah sakit. Ia juga merupakan seorang katekis.[1] Referensi ^ https://katakombe.org/para-kudus/martir-grup/26-martir-nagasaki.html Artikel bertopik biografi Jepang ini adalah sebuah rintisan. Anda dapat membantu Wikipedia dengan mengembangkannya.lbs

 

Artikel ini adalah bagian dari seriFilsafat Hindu Ajaran Filsafat Samkhya • Yoga • Mimamsa Nyaya • Waisesika • Wedanta Aliran Wedanta Adwaita • Wisistadwaita Dwaita • Suddhadwaita Dwaitadwaita • Acintya-bheda-abheda Filsuf Abad kuno Kapila • Patanjali • Jaimini Gotama • Kanada • Byasa Abad pertengahan Adi Shankara • Ramanuja Madhwacarya • Madhusudana Wedanta Desika • Jayatirtha Abad modern Ramak...

 

Astro RiaLogo Astro Ria digunakan sejak 29 Mei 2015Diluncurkan1 Juni 1996 (SD)29 Mei 2015 (HD)Ditutup12 April 2021 (SD, Malaysia)12 April 2021 (SD Brunei)1 April 2022 (HD, Brunei)JaringanAstro Entertainment Network (2008-2012)PemilikAstro Malaysia Holdings BerhadFormat gambar1080i (HDTV)SloganDunia Hiburan AndaNegara MalaysiaBahasaMelayuInggrisWilayah siarMalaysiaSingapuraKantor pusatBukit Jalil, Kuala Lumpur, MalaysiaSaluran seindukAstro PrimaSitus webwww.gempak.comKetersediaan SatelitA...

2014 single by Pablo AlboránPor FinSingle by Pablo Alboránfrom the album Terral Released16 September 2014GenreSoft rockLength3:37LabelWarner Music SpainSongwriter(s)Pablo AlboránProducer(s)Eric RossePablo Alborán singles chronology Dónde está el Amor (2013) Por Fin (2014) Pasos de cero (2014) Por Fin (Finally) is a song recorded by Spanish singer-songwriter Pablo Alborán. The song was released as the first single from his third studio album Terral (2014). The song was written by Al...

 

Koordinat: 4°49′52″S 122°43′26″E / 4.83111°S 122.72389°E / -4.83111; 122.72389 Kota RahaIbu kota kabupatenTugu Jati RahaNegara IndonesiaProvinsiSulawesi TenggaraKabupatenMunaPeresmian ibu kota14 Juli 1959Dasar hukumPP No. 13 Tahun 1959Populasi • Total69,980 jiwa metropolitan (84.920) jiwaZona waktuUTC+8 (WITA)Kode area telepon+62 0403 Kota Raha adalah ibukota Kabupaten Muna. Kota ini juga salah satu kota di provinsi Sulawesi Tenggara, Indon...

 

1940 United States Senate election in Texas ← 1934 November 5, 1940 1946 →   Nominee Tom Connally George Shannon Party Democratic Republican Popular vote 978,095 59,340 Percentage 94.24% 5.72% County Results[1] Connally:      50–60%      60–70%      70–80%      80–90%      >90% No vote:       U...

Protein-coding gene in the species Homo sapiens TFAP2AIdentifiersAliasesTFAP2A, AP-2, AP-2alpha, AP2TF, BOFS, TFAP2, transcription factor AP-2 alphaExternal IDsOMIM: 107580 MGI: 104671 HomoloGene: 2421 GeneCards: TFAP2A Gene location (Human)Chr.Chromosome 6 (human)[1]Band6p24.3Start10,393,186 bp[1]End10,419,659 bp[1]Gene location (Mouse)Chr.Chromosome 13 (mouse)[2]Band13 A3.3|13 20.01 cMStart40,868,778 bp[2]End40,891,852 bp[2]RNA expression...

 

2020年夏季奥林匹克运动会波兰代表團波兰国旗IOC編碼POLNOC波蘭奧林匹克委員會網站olimpijski.pl(英文)(波兰文)2020年夏季奥林匹克运动会(東京)2021年7月23日至8月8日(受2019冠状病毒病疫情影响推迟,但仍保留原定名称)運動員206參賽項目24个大项旗手开幕式:帕维尔·科热尼奥夫斯基(游泳)和马娅·沃什乔夫斯卡(自行车)[1]闭幕式:卡罗利娜·纳亚(皮划艇)&#...

 

First Lady of Poland (born 1972) Agata Kornhauser-DudaFirst Lady of PolandIncumbentAssumed role 6 August 2015PresidentAndrzej DudaPreceded byAnna Komorowska Personal detailsBornAgata Kornhauser (1972-04-02) 2 April 1972 (age 52)Kraków, PolandPolitical partyLaw and JusticeSpouse Andrzej Duda ​(m. 1994)​ChildrenKingaParentsJulian KornhauserAlicja WojnaResidencePresidential PalaceAlma materJagiellonian UniversityAwards Agata Kornhauser-Duda (born 2 April 19...

Upazila in Dhaka, BangladeshRupganj রূপগঞ্জUpazilaMurapara RajbariCoordinates: 23°47.6′N 90°31′E / 23.7933°N 90.517°E / 23.7933; 90.517Country BangladeshDivisionDhakaDistrictNarayanganjGovernment • UniversityGreen University of BangladeshArea • Total176.48 km2 (68.14 sq mi)Population (2011) • Total534,868 • Density3,000/km2 (7,800/sq mi)Demonym(s)Rupganji, RupgonjiTime z...

 

لا يزال النص الموجود في هذه الصفحة في مرحلة الترجمة من الإنجليزية إلى العربية. إذا كنت تعرف اللغة الإنجليزية، لا تتردد في الترجمة من النص الأصلي باللغة الإنجليزية. (أبريل 2019) كريس تكر (بالإنجليزية: Chris Tucker)‏  كريس تاكر معلومات شخصية الميلاد 31 أغسطس 1971 (53 سنة)[1]  أتلان...

 

American initiative for foreign aid to Western Europe following World War II For the computer program, see Marshall Plan (software). European Recovery Program redirects here. Not to be confused with 2008 European Union stimulus plan. Foreign Assistance Act of 1948Long titleAn act to promote world peace and the general welfare, national interest, and foreign policy of the United States through economic, financial, and other measures necessary to the maintenance of conditions abroad in which fr...

Period of Greek statehood from 1832 to 1923 and 1935 to 1973 Kingdom of GreeceΒασίλειον τῆς ἙλλάδοςVasíleion tis Elládos1832–19241935–1973a Flag(1863–1973) Coat of arms(1936–1973) Motto:  Ἐλευθερία ἢ ΘάνατοςFreedom or Death Anthem: Ὕμνος εἰς τὴν ἘλευθερίανHymn to LibertyRoyal anthem: Heil unserm König, Heil! (1832–1862)Hail our king, hail!The Kingdom of Greece in 1920Capital Nafplio (1832–1834) Athe...

 

  هذه المقالة عن المصطلح في علم الأحياء. لمعانٍ أخرى، طالع شجرة الحياة (توضيح). شجرة الحياة مبسطة شجرة الحياة (بالإنجليزية: Tree of life)‏ هو استعارة استخدمها العالم تشارلز داروين لوصف علاقات الترابط بين الأنواع خلال التطور عبر الزمن. تطور هذا المصطلح في العصر الحديث ليكون ش...

 

U.S. queer activist direct action group Fed Up Queers, or FUQ, was a queer activist direct action group that began in New York City. The group was made up mostly of lesbians such as Jennifer Flynn (who later co-founded the New York City AIDS Housing Network as well as Health GAP), though notable participants also included gay rights pioneer and Stonewall riots veteran Bob Kohler,[1] and writer Mattilda Bernstein Sycamore. The activists who formed FUQ came together loosely for a few ac...

Tlalnepantla redirects here. For other uses, see Tlalnepantla (disambiguation). Municipality in State of Mexico, MexicoTlalnepantla de BazMunicipalityMunicipal hall of TlalnepantlaNickname: Tlalne or TlaneMotto(s): Culture, Work and ProgressLocation of Tlalnepantla in the State of MexicoCoordinates: 19°32′12″N 99°11′41″W / 19.53667°N 99.19472°W / 19.53667; -99.19472Country MexicoState State of MexicoRegionTlalnepantlaMetro areaGreater Mexico ...

 

2-ге тисячоліття XVI століття —XVII століття —XVIII століття —XIX століття —XX століття 1690-ті 1690 1691 1692 1693 1694 1695 1696 1697 1698 1699 1700-ті 1700 1701 1702 1703 1704 1705 1706 1707 1708 1709 1710-ті 1710 1711 1712 1713 1714 1715 1716 1717 1718 1719 1720-ті 1720 1721 1722 1723 1724 1725 1726 1727 1728 1729 1730-ті 1730 1731 1732 1733 1734 1735 1736 1737 1738 1739 1740-ві 1740 1741 1742 17...

 

Voce principale: Prima Divisione 1951-1952. Prima Divisione Calabria 1951-1952 Competizione Prima Divisione Sport Calcio Edizione Organizzatore FIGCLega Regionale Calabra Luogo  Italia Cronologia della competizione Prima Divisione 1950-1951 Promozione1952-1953 Manuale Fu il quarto livello del campionato italiano di calcio e la 29ª edizione della Prima Divisione nonostante il declassamento subito da quando fu istituita. Il campionato fu organizzato e gestito dalle Leghe Regionali e per ...

320–467 CE dynasty of nomads in Central and South Asia Kidarites320 CE–467 CE Tamga of the Kidarites 400ROURAN KHAGANATEKyrgyzsKokelGaojuTurksCHAM-PAFUNANSargatKhotanHYMYAREASTERNJINNORTHERNWEIGOGU-RYEOWESTERNSATRAPSVAKA-TAKASGUPTAEMPIREKIDARITESXIONITESAFRIGHIDSSASANIANEMPIREBYZANTINEEMPIREHUNSJushiTOCHARIANSTUYUHUNN. LIANGPaleo-SiberiansSamoyedsTungusMEROËAKSUMTerritory of the Kidarite kingdom, and main Asian polities c. 400GUPTAEMPIREXIONITESSASANIANHINDAFRIGHIDSSASANIANEMP...

 

Esta página cita fontes, mas que não cobrem todo o conteúdo. Ajude a inserir referências (Encontre fontes: ABW  • CAPES  • Google (N • L • A)). (Julho de 2013) Pio V Santo da Igreja Católica 225° Papa da Igreja Católica Info/Papa Atividade eclesiástica Ordem Ordem dos Pregadores Diocese Diocese de Roma Eleição 7 de janeiro de 1566 Entronização 17 de janeiro de 1566 Fim do pontificado 1 de maio de 1572(6 anos, 115&#...