Hlavní navigace

Microsoft udělal čistku v certifikátech, hrozila i českému PostSignum

Daniel Dočekal

V lednu přestane platit řada kořenových certifikátů a weby budou uživatele varovat před jejich neplatností. Těšte se na chaos.

Microsoft se rozhodl odstranit z Windows až dvě desítky certifikačních autorit (CA). Z důvěryhodného světa zmizí tím, že budou odstraněny jejich kořenové (root) certifikáty a cokoliv na ně vázané tedy nebude považováno za důvěryhodné. Pokud od ledna 2016 vstoupíte na weby závisející v https komunikaci na certifikátech od těchto autorit, setkáte se s varováním.

Odstranění z Windows ovlivní všechny prohlížeče, které používají systémové certifikáty. Vedle prohlížečů se to ale dotkne i e-mailových klientů a dalších aplikací; všech, které používají SSL//TLS zabezpečenou komunikaci. Vše se dotkne i případného kódu podepsaného certifikáty závislými na těchto kořenových autoritách.

Z Microsoft Trusted Root Certificate Program (MTRCP) měla vypadnout i certifikační autorita používaná Českou poštou a řadou další státních služeb, institucí a organizací. Microsoft přitom dvě desítky certifikačních autorit odstraňuje buď proto, že o to samy zažádaly, nebo proto, že nevyhověly přísnějším požadavkům zavedeným v červenci 2015.

Na odstranění české PostSignum autority je paradoxní to, že tvrdí, že o plánovaném odstranění z MTRCP vůbec nevěděli a dozvěděli se to prý prakticky až z veřejného oznámení Microsoftu. Navíc uvádějí, že audit od Microsoftu mají až do prosince 2016.

Těsně před Vánoci PostSignum na svém webu v novinkách uvedl, že PostSignum mezi kořenovými autoritami ve Windows zůstane. Česká pošta splnila podmínky požadované Microsoftem a uzavřela opět smlouvu. Paradoxní je, že je tam uvedeno, že o nových požadavcích nebyla Česká pošta informována v dostatečném předstihu. V předchozí novince zařazení mezi vyřazované autority označuje jako „problém vniklý v procesních záležitostech“ (viz celé vyjádření níže).

Dne 17. 12. 2015 se objevila certifikační autorita České pošty s názvem PostSignum na seznamu autorit, které by měly být v lednu 2016 vyřazeny z programu Microsoft Trusted Root Certificate Program, tedy ze seznamu důvěryhodných autorit v operačních systémech Windows. Společnost Microsoft Českou poštu o této skutečnosti předem neinformovala. Nejedná o technologický problém. Česká pošta i nadále splňuje všechny náležitosti pro to, aby byla důvěryhodnou certifikační autoritou. Problém vznikl v procesních záležitostech. Česká pošta se společností Microsoft o tomto problému intenzivně komunikuje a věříme, že problém bude brzy vyřešen. V současné době již máme dohodnuty procesní kroky k zachování členství v tomto programu. O výsledku jednání budeme veřejnost informovat.

Z původního přehledu vyřazovaných autorit vedle PostSignum nakonec zmizelo ještě minimálně sedm dalších společností. Kde k problému mezi Microsoftem a Českou poštou došlo, asi nezjistíme, pod pojmem „procesní záležitosti“ se může skrývat leccos. A mimochodem – v jiných operačních systémech například PostSignum nenajdete vůbec.

Našli jste v článku chybu?

28. 12. 2015 12:06

pcdrm! (neregistrovaný)

Ono by to asi bylo správné :)
Česká pošta je celkově nedůvěryhodná :)


29. 12. 2015 10:31

Tomáš2 (neregistrovaný)

částečně souhlas. Na všech firemních serverech máme ručně spravovaný seznam CA.

Administrativní zátěž je ale enormní. Let's encrypt ukazuje jak jsou CA už přežité a musí se přijít s lepším řešením.

Aplikace, routery, poskytovatelé internetu, firmy, stát a další si vnucují svůj CA a to považuji za daleko větší problém.

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D