Vlákno názorů k článku České poště nefungovaly weby, online služby byly nedostupné od Seti - Ne? Vážně to nikoho neomezuje? A to mají...
-
fd (neregistrovaný)
Kdyz uz nam ten stat vnucuje tu elektronickou komunikaci, tak chce napriklad overit, ze ten obdrzeny dokument je platne podepsan, aby na zaklade toho mohl podniknout nejakou akci, kterou podnikat nemuze, pokud nema podepsany dokument.
A dovedu si dokonce predstavit situace, kdy presne takto mohou vniknout i miliardove skody.
-
Miliardové škody? Pokud by někde šlo o takové prachy, tak snad mají implementováno ověřování podpisů správně. Takže měli stažené CRL z 11.6. cca 13:00 a pro ověření novějších podpisů čekali na CRL s plánovaným vydáním 12.6. cca 13:00. Mezi tím mohli zkoušet, zda není dostupné novější CRL. Ale nemožnost CRL stáhnout má v takovém případě případě na celý proces ověřování úplně stejný dopad, jako stažení původního CRL – tedy žádný, pořád se musí čekat až do vydání dalšího platného CRL. Problém by byl, pokud by ten CRL PostSIgnum nestihla publikovat do těch 24 hodin, protože to už by bylo porušení certifikační politiky.
-
fd (neregistrovaný)
Fascinuj mne, jak muze nekdo takto doslova zvanit o vecech, o kterych nema ani poneti.
Mr Jirsak, vrele doporucuji navstivit trebas http://www.postsignum.cz/seznamy_zneplatnenych_certifikatu_crl.html. Ku ctene pozornosti doporucuji predevsim (po klipnuti na tlacitko odeslat, nic jineho netreba) data a casy. Ona zcela bezne CA s revokaci ceka 24 hodin, to aby pomoci revokovaneho certifikatu mohl nekdo vyrobit nejake falzum ... a CA pak hradila pripadne skody.
Vystavitel cn=PostSignum Qualified CA 2,o=Česká pošta\, s.p. [IČ 47114983],c=CZ
Sériové číslo 41494
Platný od 15.6.2015 7:59:56Divne, jak by mohl nekdo revokovat neco v 7:59? Nemozne.
-
Dobře, když tomu nerozumíte, já vám to klidně vysvětlím. Certifikační politika QCA PostSignum určuje, že CRL musí být vydán nejpozději 24 hodin po předchozím CRL (a datum, kdy nejpozději bude vydána příští aktualizace, je uvedeno v každém CRL), zároveň říká, že odvolaný certifikát se musí na CRL objevit do 24 hodin od nahlášení, a zároveň, že nový CRL je vydán vzápětí po zpracování žádosti o zneplatnění. Jenže "vzápětí" se těžko algoritmizuje (je "vzápětí" 5 minut? nebo hodina?), navíc na to, že už by tam novější CRL asi byl, vám nikdo štempl nedá, vy potřebujete CRL podepsané CA. Takže stejně musíte čekat až na další CRL, a podle certifikační politiky musíte počítat s tím, že může být vydáno až 24 hodin po předchozím. Tedy s těmi 24 hodinami čekání musíte každopádně počítat a nic s tím neuděláte (leda byste popohnal CA tím, že si necháte zneplatnit vlastní certifikát). V praxi u CA s tak velkým počtem vydaných certifikátů obvykle budete čekat kratší dobu, ale spoléhat na to nemůžete.
Tomu, aby někdo s pomocí revokovaného certifikátu vyrobil falzum, brání právě ověřování CRL. Právě proto musíte s ověřením certifikátu počkat až na dobu, kdy máte v ruce CRL, které potvrzuje, že certifikát nebyl před okamžikem podpisu revokován - tedy na CRL vůbec není, nebo je tam uveden s datem a časem pozdějším, než je datum a čas podpisu.
Offline ověřování certifikátů s CRL je záměrně postaveno takhle, aby to nebyl závod o čas s útočníkem - platí se za to tím, že se na ověření certifikátu musí čekat. Existují i online metody ověřování, které jsou ale náročnější na prostředky a PostSignum takovou službu veřejně neposkytuje.
ČLÁNKY DO MAILU