Certifikační autorita

Co je to

Chceme-li přenést po Internetu citlivé údaje (např. login a heslo, číslo platební karty apod.) a chceme-li zabránit tomu, aby se dostaly do rukou někoho nepovolaného, musíme

údaje přenášet zašifrované
ujistit se, že příjemce je pravý a ne někdo, kdo se za něho vydává

Ve WWW se pro bezpečnou šifrovanou komunikaci používá protokol SSL a pro ověřování totožnosti Certifikáty. Takový certifikát obsahuje

údaje o serveru - jeho doménové jméno (např. www.cuni.cz) a kdo server provozuje (název a adresu organizace)
informaci odkdy dokdy je certifikát platný
veřejný šifrovací klíč serveru

Při šifrované SSL komunikaci se www server prokáže prohlížeči svým certifikátem. Prohlížeč se pokusí ověřit identitu toho, kdo provozuje server, tím, že

porovná jméno serveru se jménem uvedeným v certifikátu
ověří, jestli certifikát není prošlý
ověří, zda údaje uvedené v certifikátu jsou pravdivé

Na základě čeho může prohlížeč údajům v certifikátu věřit?

Celý certifikát je totiž ještě digitálně podepsaný tzv. certifikační autoritou. Certifikační autorita (zkráceně CA) je někdo třetí, kdo ručí za to, že údaje v certifikátu jsou pravdivé. Pokud si prohlížeč může digitální podpis certifikátu ověřit a pokud dané CA důvěřuje, může mít jistotu, že komunikuje opravdu s tím, s kým chtěl komunikovat.

Jak se ověřuje podpis certifikační autority?

K ověření podpisu musí mít prohlížeč k dispozici certifikát certifikační autority. Pomocí něj podpis ověří. Certifikát CA se do prohlížeče může dostat dvěma způsoby:

při instalaci - např. k Internet Exploreru přibaluje Microsoft certifikáty několika známých oficiálních CA, což jsou firmy v USA, které vykonávají funkci CA na základě a v souladu s nějakým zákonem (viz. např. zákon o digitálním podpisu, který specifikuje kdo se může stát CA, za jakých podmínek, co musí ověřovat před podepisování certifikátu apod. )
dodatečně ho nainstaluje člověk sedící u počítače a řekne "této CA důvěřuj"

Pokud tedy prohlížeč pomocí certifikátu CA ověří, že údaje v certifikátu serveru jsou pravdivé a dále že certifikát serveru je platný a jméno serveru v něm uvedené odpovídá jménu serveru, se kterým komunikuje, vezme z certifikátu veřejný klíč serveru a vesele zahájí šifrovanou komunikaci.

Pokud něco z toho nesedí, napíše uživateli napřed varovné hlášení, že druhá strana není důvěryhodná a proč. Je pak na uživateli, jestli se rozhodne pokračovat nebo ne.

U komerční firmy, která provozuje veřejnou službu (např. banka a přístup k účtu přes Internet), musí být certifikát v pořádku a podepsaný nějakou známou CA.

Jde-li ale o něco menšího a interního (např. univerzita a přístup k univerzitnímu e-mailu přes webmail.cuni.cz), pravděpodobně prohlížeč napíše, že certifikát žádnou známou CA ověřený není. Je to proto, že podepsání certifikátu nějakou známou CA něco stojí a proto si správce serveru vytvořil CA vlastní, kterou si podepisuje vlastní certifikáty.

Aby mohl prohlížeč takové certifikáty serverů ověřovat (a neotravoval pořád s výstražným hlášením), je nutné si do prohlížeče CA doinstalovat.