česky | english
Úvod
Tato stránka popisuje novou strukturu a hierarchii sady nových kořenových certifikátů. Je částí skupiny stránek Komando pro kořenové certifikáty, viz tam pro získání přehledu. Podrobné informace o každém kořenovém certifikátu najdete v obsahu kořenových certifikátů.
Jestliže se tak rozhodneme, bude proces přenesen do Přehledu postupu certifikace (CPS) (KONCEPT) a Příručky zabezpečení (KONCEPT).
Struktura kořenových certifikátů
Typy ověření (validace) - viz též zde
- Jednotlivci:
- AV - základní jednoduché ověření e-mailové adresy jednotlivce, bez zaručení jeho totožnosti
- IV - ověření totožnosti jednotlivce, s jeho jménem
- Organizace:
- DV - Domain Validated - nejběžnější ověření podle WHOIS a internetové domény - pro weby používající SSL/TLS
- OV - Organization Validated - ověřena existence a platnost organizace - proti DV rozšířeno
- EV - Extended Validation - rozšířené ověření proti DV a OV, generuje zelené označení majitele v adresní liště prohlížečů, například:
- Jednotlivci:
Struktura
Struktura nových kořenových certifikátů je hierarchický model:
Nejvyšší úroveň (kořen)----------------- <== toto vede do seznamu kořenových
/ | \ \ \ certifikátů (v prohlížečích)
/ | \ \ \
/ | \ \ \______ certifikát odpovídače OCSP pro odvolání uzlů (bude-li potřebný)
/ | \ \
/ | \ \
Uzel: Uzel: Uzel: Uzel: <== uživatelé budou asi muset
člen zaručený zaručená zaručovatel distribuovat uzel sami
| \ jednotlivec organizace \
| \ | \ | \ \
| \ ______|___\__________|___\_____________\____ certifikát odpovídače OCSP pro každý uzel podepisující odvolání certifikátů koncové entity
| | |
\|/ \|/ \|/
Anonymní Zaručený Certifikát <== certifikáty distribuované
Certifikát Certifikát pro zvláštní uživatelským softwarem
účel
Přídavné uzly pro zvláštní účely (například podepisování kódu) mohou být připojeny později, pokud budou odpovídat auditovaným zásadám a praktikám.
Typy uzlů pod kořenovými certifikáty
Tyto uzly jsou pojmenovány:
"Člen" -- pro nezaručené Členy a pouze s certifikáty s ověřením DV a AV. Neobsahují jména.
"Zaručený" -- dostupný pouze zaručeným členům - jednotlivcům, jména mohou a nemusí být vložena.
"Organizace" -- dostupný pouze zaručeným členům - organizacím, názvy společností lze vložit.
"Zaručovatel" -- dostupný pouze jednotlivcům - zaručovatelům, jména lze vložit (nepovinně(?)).
Možnosti do budoucna
- lze uvažovat o uzlu (pod kořenem) pro podepisování kódu
Distribuce
Podle koncepce můžeme zvolit jednu ze dvou strategií:
# |
co přijde do kořenového seznamu |
co musí dodat podílník například do Apache |
1 |
kořenové a pod-kořenové uzly |
certifikát serveru |
2 |
pouze kořenové |
certifikát serveru plus pod-kořenový (zprostředkující) |
Mozilla a Microsoft obecně volí druhou koncepci; oba budou v budoucnu distribuovat pouze nejvyšší úroveň kořenových certifikátů (budoucí zásada).
Pro a proti
"Pro" ve variantě 1 ("proti" ve variantě 2):
- pro podílníka jednoduché, potřebuje se zabývat jen svým vlastním certifikátem
- každý vydavatel má možnost výběru z různých profilů
- což znamená, že neobvyklé kořeny jako DV/AV a podobně mohou být odfiltrovány
- žádné obavy z "jeden kořen všechny sváže"...
"Pro" ve variantě 2 ("proti" ve variantě 1):
- podílník musí svým softwarem předložit jak pod-kořenový (zprostředkující), tak svůj vlastní certifikát
- například Apache HTTPD musí být konfigurován pečlivěji
- jak to bude fungovat u e-mailových klientů?
- znamená to, že jeden kořen může poskytovat unifikovanou přijatelnost pro všechny CAcertem nabízené pod-kořeny
- vyžaduje se pouze jednoduché vyjednání
Otázka vícenásobných kořenů: Proč není pro CAcert snazší být zařazen výrobci prohlížečů, když lze zaručit, aby skutečné zásady tvorby certifikátů byly stabilní. Mluvíte o budoucích nových certifikátech pod jedním společným kořenem. Na jedné straně je to dobré, protože můžeme později přidat služby, ale na druhé straně je to špatné, neboť nám výrobce může těžko důvěřovat. Pomohlo by používat více kořenů. Má to také jiné výhody: uživatelé zvolí třídu 1 a/nebo třídu 3 a nemusí importovat pod-kořenové (zprostředkující) certifikáty. Odvolání certifikátu neovlivní celé řetězce. -- BerndEckenfels
Otázka podepisování CRL: Dá se vyhnout použití kořenového certifikátu pro podpis CRL? Privátní klíč kořenového certifikátu by neměl být použit v každodenní práci. (Je vhodné přidat schopnost vydat odvolání, ale není dobré ho použít pro běžné znovupodepsání.) Myslím si, že je možné určit nepřímého vydavatele CRL, ale také si myslím, že by nebyl dobře podpořen hlavními/velkými implementacemi? -- BerndEckenfels
Terminologie
Používají se tyto termíny:
top-level root = kořen[ový certifikát] nejvyšší úrovně;
- subroot = pod-kořenový certifikát [zkráceně pod-kořen] - nejblíže nižší kořenovému certifikátu.
Používání různých termínů je velmi zavádějící a termíny nejsou dosud fixovány. Poznámky:
- Potřebujeme 3 termíny: pro nejvyšší kořenové certifikáty, zprostředkující/pod-kořenové certifikáty a "listy" - koncové certifikáty.
Používání termínu root (kořen) je zavádějící a nadužívané.
- Puristický pohled snad je, že jediná nejvyšší úroveň může být 'kořen' ... pragmatický pohled, že nejvyšší plus zprostředkující tvoří "kořenový balíček".
- Terminologie PKI je zřejmě:
- všechno je certifikát,
- kořenový certifikát je vrchol (což je pouze certifikát, protože kód nemůže sám od sebe zpracovat veřejný klíč),
- zprostředkující certifikát je podepsán nejvyšším kořenovým nebo jiným zprostředkujícím certifikátem, má nastaven bit "isARoot" (je kořen) a používá se jen pro podepisování jiných certifikátů,
- certifikáty koncových entit čili EE certifikáty nepodepisují jiné certifikáty a zřejmě jsou užitečné pro reálné osoby,
- jako vždy, PKI, proboha , je navržen ke zmatení všech a jeho terminologii nelze normálním lidem doporučit.
- Uživatelům je to jedno, členům také. Proto potřebujeme takové termíny, na kterých se shodneme a které budeme používat.
- Připomínám, že Microsoft byl nevrlý, protože starý kořenový certifikát CAcert měl označení CN='Root CA'. Zcela správně...
- Současný pohled:
jeden na vrcholu se nazývá kořen[ový certifikát] (root) nebo kořen[ový certifikát] nejvyšší úrovně (top-level root) tam, kde je třeba,
zprostředkující se nazývají pod-kořeny, protože tomu ostatní rozumějí,
- a ty dole se nazývají certifikáty, protože tomu rozumějí uživatelé.
Termíny Mozilly viz Glosář CA Mozilly.