Certifikáty fakultních serverů

Certifikáty SureServer EDU (GlobalSign)

Novinka 22/12/2006: všechny hlavní fakultní servery, konkrétně StavNet, SMTP (Mars), IMAP, POP3 a WiFi, používají pro šifrovaná spojení (SSL nebo TLS) certifikáty SureServer EDU společnosti GlobalSign. Tato certifikační autorita je apriori pokládána za důvěryhodnou všemi běžně používanými programy bez nutnosti instalovat certifikát této certifikační autority.

Prakticky řečeno, při spojení s těmito servery nebudete obtěžováni žádnými varováními o nedůvěryhodných certifikátech. Pokud náhodou takové varování obdržíte, děje se něco špatného. V takovém případě kontaktujte správce serveru.

Certifikáty podepsané jinými certifikačními autoritami

Některé další servery na vysokých školách dosud používají pro šifrovaná spojení (SSL nebo TLS) certifikáty, které jsou podepsány certifikační autoritou CESNET CA nebo nějakou lokální certifikační autoritou nebo dokonce tzv. samopodepsané certifikáty.

Při spojení s těmito servery většina programů zobrazuje varování, že certifikát, kterým dotyčný server prokazuje svou totožnost, je podepsán nedůvěryhodnou certifikační autoritou, tj. autoritou, která není v seznamu autorit, kterým ten program apriori důvěřuje.

Varováním o nedůvěryhodné certifikační autoritě lze zabránit jednoduchým trikem: stačí přidat certifikát této certifikační autority k seznamu autorit, kterým dotyčný program důvěřuje. Ten program pak bude automaticky důvěřovat i všem certifikátům, které tato certifikační autorita podepsala.

Aby byla jistota, že si mezi důvěryhodné autority nenasazujete kukaččí vejce, doporučuji certifikát zásadně instalovat ze serveru instituce, která ten certifikát vydala a ještě před nainstalováním certifikát prohlédnout, zkontrolovat, komu patří, kdo jej vydal a zejména si zkontrolovat jeho kontrolní otisk (tzv. fingerprint), který bývá spolu s certifikátem zveřejněn.

Certifikát certifikační autority CESNET CA najdete na stránce http://www.cesnet.cz/pki/crt.html.

Import certifikátu se dělá do jednotlivých programů (např. Firefox, Thunderbird, Mozilla, Opera) zvlášť, pouze programy firmy Microsoft (Internet Explorer, Outlook) používají společné uložiště certifikátů.

Instalace certifikátu do www prohlížeče: (Firefox, Internet Explorer)

• Ve www prohlížeči zobrazte stránku http://www.cesnet.cz/pki/crt.html.
• V prvé řádce pod nadpisem ...Root Certificate klikněte na odkaz "binary".
• Tím spustíte průvodce importem certifikátu.
• Měli byste dostat možnost zobrazit si informace o certifikátu. Využijte to a zkontrolujte, zda kontrolní otisky souhlasí s tím, co je uvedeno na stránce certifikační autority i s tím, co je uvedeno výše.
• Pokud kontrolní otisky nesouhlasí, certifikát (sami) neinstalujte a požádejte o pomoc správce sítě. Pokud otisky souhlasí, pokračujte v instalaci.
• Budete-li tázáni, pro jaké druhy použití chcete tomuto certifikátu věřit, zaškrtněte www a email.

Programy firmy Microsoft (Outlook, Office), ale např. i OpenOffice.org pod Windows, používají stejné úložiště certifikátů jako Internet Explorer. Stačí tedy certifikát instalovat "do Internet Exploreru".

Pro ostatní programy (např. Thunderbird,...) je nutno certifikát nejprve uložit do souboru někam na disk.

• V libovolném www prohlížeči zobrazte stránku http://www.cesnet.cz/pki/crt.html.
• V prvé řádce pod nadpisem ...Root Certificate najděte odkaz "binary".
• klikněte na něj pravým tlačítkem myši, zvolte "uložit cíl jako" a uložte certifikát někam na disk.
• Pak v programu, do kterého certifikát instalujete, vyhledejte v menu koutek s konfigurací (Tools / Options / Nástroje apod.), zde hledejte oddělení s certifikáty a zobrazte si certifikáty certifikačních autorit, kterým dotyčný program důvěřuje.
• Zároveň se seznamem certifikačních autorit by se mělo objevit tlačítko označené Import. Toto tlačítko aktivujte.
• Budete vyzváni, abyste určili soubor s certifikátem. Uveďte soubor, do kterého jste si certifikát uložili.
• Měli byste dostat možnost zobrazit si informace o certifikátu. (Tlačítko View / Zobrazit.) Využijte to a zkontrolujte, zda kontrolní otisky souhlasí s tím, co je uvedeno na stránce certifikační autority i s tím, co je uvedeno výše.
• Pokud kontrolní otisky nesouhlasí, certifikát (sami) neinstalujte a požádejte o pomoc správce sítě. Pokud otisky souhlasí, pokračujte v instalaci.
• Budete-li tázáni, pro jaké druhy použití chcete tomuto certifikátu věřit, zaškrtněte www a email.

Poznámky.

Výše zmíněnému varování o nedůvěryhodnosti lze zabránit také tím, že přijmete jako důvěryhodný přímo certifikát zaslaný serverem, ke kterému se připojujete. To je na první pohled jednodušší, ale i v tomto případě byste měli ověřit, zda certifikát, kterému se chystáte důvěřovat, patří opravdu k tomu správnému serveru, zda to není certifikát nějakého piráta. To lze ověřit také pomocí kontrolních otisků, ale musíte to dělat pro každý jednotlivý certifikát zvlášť a zpravidla to musíte dělat častěji, protože tyto jednotlivé certifikáty mívají dosti omezenou platnost.

Pokud přijmete nějakou certifikační autoritu jako důvěryhodnou, automaticky tím přijímáte jako důvěryhodné i všechny certifikáty, které tato autorita certifikovala (potvrdila, v podstatě je digitálně podepsala).

Samopodepsané certifikáty můžete také prohlásit za důvěryhodné, ale stupeň důvěry, že se připojujete ke správnému serveru, je zde ještě o něco nižší. Samopodepsané certifikáty tedy v podstatě poskytují pouze možnost spojení šifrovat.

K čemu jsou certifikáty (obecně):

• poskytují šifrovací klíč pro šifrované spojení.
• serverové certifikáty poskytují jistotu, že se připojujete ke správnému serveru a ne k serveru nějakého piráta, který chce podvodně získat vaše heslo nebo číslo kreditní karty.
• existují i tzv. klientské certifikáty, kterými můžete např. bankovnímu serveru prokázat svou totožnost, ale o těchto certifikátech zde není řeč.

Změny: