OT: Princip fungovania autorit

Michal Kubecek mike na mk-sys.cz
Neděle Říjen 20 19:01:29 CEST 2002


On Sun, Oct 20, 2002 at 01:49:24PM +0200, David Rohleder wrote:
> mike na mk-sys.cz (Michal Kubecek) writes:
> 
> > Klíč (resp. certifikát) si můžete aktualizovat kdykoli sám, informace
> > o době platnosti je jeho součástí. Certifikáty autorit jsou obvykle
> > vydávány na pět let (ale teď jsem zrovna v Mozille objevil jeden
> > s platností 25 let(!)). Dá se předpokládat, že browser si budete
> > upgradovat častěji.
> > 
> 
> Toto je nesmysl. Certifikaty CA se "neupgraduji", ikdyz ma platnost 25
> let, tak neni zadny duvod davat tam "upgradovany" certifikat CA, pokud
> nenastala mimoradna okolnost (prozrazeni privatniho klice, nalezeni
> algoritmu pro rozlomeni RSA).

Proč hned mluvit o nesmyslech, když říkáme v podstatě totéž?
Certifikát CA aktualizovat lze, ale vzhledem k jeho poměrně dlouhé
platnosti (vhledem k periodě aktualizace prohlížeče) to obvykle
nemá smysl.

> 
> Dale  bych byl opatrnejsi pri "aktualizaci" certifikatu pokud ho
> nemate z duveryhodneho zdroje. A nezabezpecena www stranka neni
> duveryhodny zdroj. Dokonce i zabezpecena stranka "starym" certifikatem
> neni duveryhodna (proc byste veril novemu cert. CA, kdyz neverite
> stare CA, kterym je ta stranka podepsana?)

Třeba proto, že ten starý vypršel, souhlasím s tím, že jindy to skutečně
moc smyslu nemá (kromě již zmíněných případů). U certifikátů s platností
pět let si lze představit, že k tomu dojde.

                                                          Michal Kubeček


Další informace o konferenci Linux