Chceme-li přenést po Internetu citlivé údaje (např. login a heslo, číslo platební karty apod.) a chceme-li zabránit tomu, aby se dostaly do rukou někoho nepovolaného, musíme
Ve WWW se pro bezpečnou šifrovanou komunikaci používá protokol SSL a pro ověřování totožnosti Certifikáty. Takový certifikát obsahuje
Při šifrované SSL komunikaci se www server prokáže prohlížeči svým certifikátem. Prohlížeč se pokusí ověřit identitu toho, kdo provozuje server, tím, že
Na základě čeho může prohlížeč údajům v certifikátu věřit?
Celý certifikát je totiž ještě digitálně podepsaný tzv. certifikační autoritou. Certifikační autorita (zkráceně CA) je někdo třetí, kdo ručí za to, že údaje v certifikátu jsou pravdivé. Pokud si prohlížeč může digitální podpis certifikátu ověřit a pokud dané CA důvěřuje, může mít jistotu, že komunikuje opravdu s tím, s kým chtěl komunikovat.
Jak se ověřuje podpis certifikační autority?
K ověření podpisu musí mít prohlížeč k dispozici certifikát certifikační autority. Pomocí něj podpis ověří. Certifikát CA se do prohlížeče může dostat dvěma způsoby:
Pokud tedy prohlížeč pomocí certifikátu CA ověří, že údaje v certifikátu serveru jsou pravdivé a dále že certifikát serveru je platný a jméno serveru v něm uvedené odpovídá jménu serveru, se kterým komunikuje, vezme z certifikátu veřejný klíč serveru a vesele zahájí šifrovanou komunikaci.
Pokud něco z toho nesedí, napíše uživateli napřed varovné hlášení, že druhá strana není důvěryhodná a proč. Je pak na uživateli, jestli se rozhodne pokračovat nebo ne.
U komerční firmy, která provozuje veřejnou službu (např. banka a přístup k účtu přes Internet), musí být certifikát v pořádku a podepsaný nějakou známou CA.
Jde-li ale o něco menšího a interního (např. univerzita a přístup k univerzitnímu e-mailu přes webmail.cuni.cz), pravděpodobně prohlížeč napíše, že certifikát žádnou známou CA ověřený není. Je to proto, že podepsání certifikátu nějakou známou CA něco stojí a proto si správce serveru vytvořil CA vlastní, kterou si podepisuje vlastní certifikáty.
Aby mohl prohlížeč takové certifikáty serverů ověřovat (a neotravoval pořád s výstražným hlášením), je nutné si do prohlížeče CA doinstalovat.
Privátní certifikační autoritu CUNI najdete na http://www.cuni.cz/cunica.der. Jsou jí podepsané certifikáty serverů
Instalace:
Klikněte na odkaz. Co se stane pak závisí na typu vašeho prohlížeče. Zde najdete návody pro:
Po kliknutí na odkaz se objeví okno
Zaškrtněte "Trust this CA to identify web sites".
Klikněte ještě na "View" a zkontrolujte, že odpovídají uvedené údaje:
Pokud ano, zavřete toto okno a klikněte na "OK".
Po kliknutí na odkaz se objeví varování Microsoftu:
Zkontrolujte, zda název souboru odpovídá "cunica.crt" a klikněte na "Otevřít".
Tohle také není povzbudivé, nicméně klikněte na "Nainstalovat certifikát". Spustí se "Průvodce importem správce certifikátu":
Klikněte na "Další".
Opět klikněte na "Další".
Klikněte na "Dokončit".
Zkontrolujte, zda údaje v okénku odpovídají obrázku a klikněte na "Ano".
A je to hotovo.
22. 11. 2002 vhor@cuni.cz