Certifikát je veřejný klíč plus podpis toho veřejného klíče vytvořený certifikační autoritou. Takže na certifikátu není co zneužívat. Navíc certifikační autorita (která si zaslouží takové označení) nikdy nebude mít k dispozici váš soukromý klíč. Takže jediné, co může certifikační udělat (jako svůj největší průšvih) je to, že podepíše s vašimi osobními údaji veřejný klíč někoho jiného. Tím se sice stane ona CA nedůvěryhodnou, ale nestane se nedůvěryhodným váš původní pár soukromého a veřejného klíče – až se takový podvod provalí, je možné u kteréhokoli použití certifikátu s vašimi údaji kdykoli zpětně zjistit, zda byl použit váš pravý pár klíčů, nebo zda byl použit ten falešný. Prakticky: když budete mít vystaven certifikát na jméno Pepa Novák, pak někdo ukradne CA její privátní klíč a vystaví si také certifikát na jméno Pepa Novák, pořád to budou dva různé certifikáty a různou dvojicí klíčů, a až se tenhle problém provalí, bude možné rozlišit, co jste podepsal vy svým klíčem a co podepsal ten útočník.
Celý princip certifikačních autorit je postaven na tom, že certifikační autority jsou (i zpětně) kontrolovatelné. To u OpenID neplatí, tam jste opravdu vydáni na milost a nemilost OpenID providera a pokud ten začne zlobit (nebo jej někdo zkompromituje), nemáte žádný způsob, jak prokázat, co bylo vytvořeno vaší pravou identitou a co nějakou falešnou.
Názor k článku
OpenID míří na české weby
