Import kořenového certifikátu ZČU
http://athletics.salemu.edu/under_construction_large.jpg
Úvod
Pro zabezpečování elektronické komunikace na internetu se využívá různých metod šifrování informací. Šifrování jako takové, ale samo o sobě nezaručuje bezpečnost (pokud si nezkontroluji oprávnění revizora v MHD může se mi stát, že zaplatím pokutu podvodníkovi = šifrovat bezpečně mohu i komunikaci s podvodníkem). Proto bychom při používání šifrovaných přenosů měli vždy dbát na ověření identity protistrany, se kterou komunikujete nebo požadujete nějaké služby. Pro ověřování protistrany se v dnešní době používají digitální certifikáty (podobně jako obtížně falšovatelné občanské průkazy nebo odznaky revizorů v MHD).
Digitální certifikáty a jejich použití
Digitální certifikát je elektronická identifikace nějakého subjektu a obsahuje položky určující jeho platnost (jméno, datum, jméno vydavatele, ...). Narozdíl od občanského průkazu lze certifikátem také potvrdit platnost jiného certifikátu (zřetězení certifikátů - certificate chaining). Této vlastnosti se využívá při vydávání, ale hlavně ověřování certifikátů - viz níže.
Před začátkem šifrované komunikace je tedy potřeba ověřit identitu komunikujícího protějšku, respektive ověřit pravost a platnost jím předloženého certifikátu (průkazu). Proto je potřeba pozorně číst a přemýšlet o výstražných hlášeních prohlížeče, která v souvislosti s navazováním spojení uživateli vyskakují v prohlížeči. V praxi je potřeba zkontrolovat základní podmínky:
- soulad jména certifikátu se jménem serveru na který se prohlížeč/uživatel snaží připojit
Každý certifikát má své jméno (common name). Toto jméno musí souhlasit se jménem serveru, který jej předkládá tj. jméno v certifikátu musí souhlasit se jménem serveru v URL prohlížeče - datum platnosti certifikátu
Certifikáty mají časově omezenou platnost (validity) tj. certifikát nesmí být prošlý - důvěryhodnost certifikátu případně certifikační autority, která jej vydala
Aby uživatel nemusel potvrzovat důvěryhodnost každého jednotlivého certifikátu ke každému serveru a při každém navazování spojení, používá se s výhodou zřetězení certifikátů. Každý certifikát, stejně jako průkaz, je vydáván nějakou autoritou (issuer), která zaručuje správnost zapsaných informací. V digitálním světě se takové autoritě říká certifikační autorita (CA), ta stvrzuje správnost informací ve vydávaném certifikátu jeho zřetězením/podpisem svým vlastním certifikátem - kořenovým certifikátem certifikační autority.
Pro uživatele to znamená, mít v přohlížeči nainstalovány (importovány) kořenové certifikáty certifikačních autorit a k těmto mít přiřazenu důvěryhodnost. Některé světové certifikační autority již mají své kořenové certifikáty nainstalovány a nastaveny důvěryhodnost automaticky od výrobců prohlížečů. Prohlížeč přitom tato nastavení zohledňuje při vyhodnocování třetí podmínky platnosti certifikátu. Pokud je podepsaný CA, kterou uživatel označil za důvěryhodnou, je i předložený certifikát považován za důvěryhodný. Pokud prohlížeč nedokáže rozhodnout automaticky, dotáže se uživatele.
V ideálním případě musí být tedy splněny všechny tři podmínky: certifikát by měl být časově platný, podepsaný důvěryhodnou certifikační autoritou a jméno v certifikátu by mělo odpovídat subjektu který jej předkládá. Bohužel svět není ideální ...
O ověření těchto parametrů se stará prohlížeč za uživatele automaticky. Pokud není splněna některá z výše uvedených podmínek, zobrazí uživateli varovné hlášení. Ve chvíli zobrazení varování, se musí uživatel sám rozhodnout jestli jsou parametry pro zabezpečení spojení dostatečné či nikoliv a zda bude pokračovat v komunikaci se vzdálenou stranou či nikoliv.
Certifikáty ve výpočetním prostředí ZČU
V případě oficiálních serverů ZČU se zabezpečeným přístupem, mívají servery vlastní certifikát podepsaný Certifikační autoritou Západočeské univerzity v Plzni - ZCU root CA. Proto by si každý uživatel ZČU měl nainstalovat/importovat certifikát této CA. Pouze s jeho pomocí dokáže Váš prohlížeč automaticky zabezpečit bezpečnou komunikaci mezi uživatelem a většinou serverů ZČU.
Po úspěšné instalaci by se měl minimalizovat počet výstrah, která prohlížeč při přístupu na servery ZČU předloží k posouzení. Bohužel svět není ideální, ani svět digitálních certifikátů není jednotný, a některé prohlížeče mohou mít probém s automatickým vyhodnocením předkládaných certifikátů.
V takových případech je potřeba uživatelova duchapřítomnost a zamyšlení. V případě přístupu k finančním či majetkovým agendám by nikdy nemělo docházet k těmto varováním.
Nainstalovat/importovat certifikát ZCU root CA můžete z adresy http://crl.zcu.cz/crl/ZCUrootCA.der a při jeho přijímání musíte zkontrolovat miniaturu/otisk certifikátu, abyste si mohli být jisti, že importujete pravý certifikát. Miniatura/otisk jsou k dispozici na adrese: http://crl.zcu.cz/crl/fingeprint.
Příklady pro snazší orientaci v problematice
- certifikat je na spravne jmeno, podepsan spravnou autoritou ale je 2 dny prosly > admin zapomel
- certifikat je platny, na spravne jmeno ale neni podepsan ZCUrootCA > neco je spatne
- certifikat pri pristupu k serveru magion.zcu.cz ukazuje jmeno zly.hacker.cz > neco je spatne
Import do prohlížeče Internet Explorer
- otevřete nové okno prohlížeče s otiskem certifikátu: http://crl.zcu.cz/crl/fingeprint
- otevřete nové okno se stránkou certifikační autority ZČU (http://crl.zcu.cz/) a klikněte na odkaz DER nebo zadejte přímo adresu k certifikátu http://crl.zcu.cz/crl/ZCUrootCA.der. Zobrazí se dialog pro otevření souboru s certifikátem:
- tlačítkem Otevřít zobrazte informace o certifikátu a tlačítkem Nainstalovat certifikát naimportujte certifikát do úložiště operačního systému :
- v posledním kroku instalačního průvodce je potřeba zkontrolovat zda souhlasí miniatura instalovaného certifikátu s miniaturou uvedenou na stránce http://crl.zcu.cz/crl/fingeprint (okno s touto stránkou máte mít připravené z prvního kroku)
- po úspěšném importování kořenového certifikátu certifikační autority ZČU byste již nikdy, při komunikaci se servery ZČU, neměli dostat výstrahu o ndůvěryhodném certifikátu.
Import do prohlížeče Mozilla Firefox
- otevřete nové okno prohlížeče s otiskem certifikátu: http://crl.zcu.cz/crl/fingerprint
- otevřete nové okno se stránkou certifikační autority ZČU (http://crl.zcu.cz/) a klikněte na odkaz DER nebo zadejte přímo adresu k certifikátu http://crl.zcu.cz/crl/ZCUrootCA.der. Zobrazí se dialog pro instalaci certifikátu. Pokračujte tlačítkem Zobrazit.
- zde je potřeba zkontrolovat zda souhlasí miniatura instalovaného certifikátu s miniaturou uvedenou na stránce http://crl.zcu.cz/crl/fingeprint (okno s touto stránkou máte mít připravené z prvního kroku)
- Pokud miniatura/otisk souhlasí, zavřete okno s podrobnostmi certifikátu, zvolte Uznat tuto CA pro identifikaci serverů a dokončete import tlačítkem OK.
- po úspěšném importování kořenového certifikátu certifikační autority ZČU byste již nikdy, při komunikaci se servery ZČU, neměli dostat výstrahu o ndůvěryhodném certifikátu.