«JUL AUG OCT » 7 2008 2009 2010 13 captures 25 Feb 09 - 11 Dec 09

Close Help

ŠIFROVÁNÍ SSL A KOŘENOVÝ CERTIFIKÁT FZÚ

1. Proč používat spojení  SSL  k tradičně nešifrovaným službám?

Použitím šifrování  SSL  zajistíte bezpečnost dat přenášených mezi vaším počítačem a serverem. Zadávaná data (přihlašovací jména a hesla, čísla platebních karet, rodná čísla a jiné důvěrné informace) tedy nemohou být odposlechnuta a následně zneužita či pozměněna nepovolanými třetími osobami. Tohoto šifrování lze např. použít při zabezpečeném přístupu k webovskému serveru nebo při zabezpečeném přístupu k poště.

2. Co je  SSL  certifikát?

Stručně řečeno,  SSL certifikát  je identifikační průkaz serveru, obsahující šifrovací klíč, kterým jsou data bezpečně chráněna proti zneužití během přenosu po Internetu. Tímto certifikátem se server prokazuje při navazování bezpečné (šifrované) komunikace. Certifikát obsahuje mj.

• údaj o jeho časové platnosti
• digitální podpis certifikační autority, která tento certifikát vystavila
• údaj o tom, který server se tímto certifikátem smí prokazovat.

3. Co je certifikační autorita?

Certifikační autorita  ( CA ) je autorita (úřad, instituce, podobně jako např. státem autorizovaný notář), která je zodpovědná za ověření skutečné identity nositele certifikátu (podobně jako notář ověřuje platnost vašeho podpisu, provedeného v jeho přítomnosti, s vaší identitou podle občanského průkazu). Vedle několika málo "oficiálních" celosvětově uznávaných certifikačních autorit, jejichž seznam je zabudován v prohlížečích, lze však vytvořit i další certifikační autority. Ty jsou

• buď ověřeny nadřazenými autoritami (a jsou bez dalšího uznány prohlížečem nebo jiným klientem, např. poštovním, jako důvěryhodné) - což však není zadarmo
• nebo nejsou takto ověřeny, a pak záleží na uživateli, jak jim bude důvěřovat ( v rámci organizace často však jde o užitečné řešení v rámci  Intranetu )

V každém případě řetěz ověřování autorit směrem nahoru musí někde skončit. V tom případě autorita ověřuje sama sebe ( self-signed authority ). Certifikát tímto způsobem vydaný se nazývá  kořenový ( root certificate ) , CA sama se pak nazývá  kořenovu certifikační autoritou  (úřadem) ( root certification authority ). Kořenový certifikát může vydat nejen celosvětově uznávaná  CA , ale v principu libovolná organizace. Pak ovšem jde o případ, kdy se uživatel sám musí rozhodnout o důvěryhodnosti takového serveru a jeho certifikátu, a zda tedy bude certifikát akceptovat nebo ne.

4. Kořenový certifikát  FZÚ

Kořenovým certifikátem certifikační autority mohou být podepsány (druhotné)  SSL  certifikáty jednotlivých služeb na jednom nebo více serverech organizace (např. přístup k poště zabezpečeným protokolem  IMAP  či  POP3 ) nebo k webovým stránkám s důvěrným obsahem zabezpečeným protokolem  https ). Pokud důvěřujete dané certifikační autoritě, pak všechny certifikáty, podepsané její kořenovým certifikátem, jsou důvěryhodné. To znamená, že pokud ve vašem operačním systému uložíte  Kořenový certifikát CA FZÚ  na správné místo, pak už napříště při přístupu ke službě, prokazující se  SSL  certifikátem, který byl podepsán  kořenovým certifikátem FZÚ , nevznikne pochybnost klientského programu o důvěře k poskytovateli této služby. V opačném případě budete vaším prohlížečem či poštovním klientem tázáni, zda se má pokračovat v komunikaci s nedůvěryhodným serverem, protože  CA , která vydala dotyčnému serveru certifikát, není systému známa.

5. Jak klient instaluje  SSL  certifikát?

Někteří klienti (např. webovské prohlížeče  Internet Explorer ,  Netscape  a další) vás při přístupu k zabezpečené webovské stránce (v URL adrese se místo protokolu  http://  objeví  https:// ) upozorní, že neznají certifikát serveru a že tedy jde o server apriori nedůvěryhodný. Máte však obvykle volbu, zda budete serveru důvěřovat buď po dobu vaší seance, nebo jednou provždy. Ve druhém případě prohlížeč uloží certifikát serveru do patřičného úložiště na vašem  PC  a při příštím přístupu ke stránkách z tohoto serveru vám již varování nebude zobrazovat. (Pozn.: Ne však všechny prohlížeče a obecně další klienti používající zabezpečené spojení tuto otázku o důvěře jednou provždy položí).

Do úložiště byl v tomto případě uložen nikoliv kořenový certifikát, ale pouze certifikát pro danou službu na daném serveru. Jiná služba bude používat jiný certifikát, a ten nebude automaticky uznávat, přestože je - stejně jako předchozí - také podepsán kořenovým certifikátem  FZÚ . Problém uznání všech možných certifikátů, podepsaných  Kořenovým certifikátem FZÚ , se elegantně vyřeší, máte-li v patřičném úložišti na vašem  PC  uložen onen primární Kořenový certifikát FZÚ . Pak již nepotřebujete vkládat druhotné certifikáty, a prohlížeče a další klienti budou tyto certifikáty automaticky pokládat za důvěryhodné a nebudou vás obtěžovat žádným varováním a dotazy.

6. Jak nainstalovat kořenový  SSL  certifikát?

1. Instalaci lze provést přímo z některých prohlížečů (např. z  Internet Exploreru ), a to klepnutím na tento odkaz certifikát. Zvolte  Otevřít a pak se spustí průvodce pro import certifikátu a stačí jen nastavit uložení certifikátu do úložiště  Důvěryhodné kořenové certifikační úřady .
2. Jestliže váš prohlížeč tuto možnost neposkytuje (např.  Netscape ), musíte stáhnout  Kořenový certifikát FZÚ  na lokální disk vašeho  PC  a importovat ho jedním z níže popsaných způsobů.

Kořenový certifikát FZÚ  existuje v několika formátech:

• ve formátu  .der   (je akceptován programy  Microsoftu ,  Netscapem  a dalšími)

• ve formátu  .pem   (rozumí mu zejména  Netscape ,  Mozilla  a  Konqueror )

• Ve  Windows 98  musíte provést tyto kroky:  Start | Nastavení | Ovládací panely | Možnosti Internetu | Obsah | Certifikáty | Důvěryhodné kořenové certifikáty | Importovat a přidat stažený certifikát do úložiště s názvem  Důvěryhodné kořenové certifikační úřady .
• Ve  Windows  XP  je nutno provést tyto kroky:  Start | Ovládací panely | Připojení k síti a Internetu (tato mezivolba se použije při neklasickém režimu zobrazení  Windows XP ) | Možnosti Internetu | Obsah | Certifikáty | Důvěryhodné kořenové certifikáty | Importovat a přidat stažený certifikát do úložiště s názvem  Důvěryhodné kořenové certifikační úřady .
• Uživatelé prohlížeče  Mozilla  (anglická verze) provedou tyto kroky:  Edit | Preferences | Privacy & Security | Certificates | Manage Certificates... | Authorities | Import .
• Uživatelé prohlížeče  Konqueror  provedou tyto kroky:   Nastavení | Nastavit: Konqueror | Kryptografie | Podepisovatelé SSL | Importovat .

7. Použití  SSL  ve  FZÚ

• Zabezpečený (šifrovaný) přístup k poště
• Web Mail

8. Další zdroje informací

• www.root.cz
• www.apache.org
• První certifikační autorita, a.s.