No podle mne vam unika jeden podstatny detail a to ze Certifikacni autorita ICA jako takova neni schopna uzivatelum dokazat svoji autoritu(Identitu).
Jednak Root certifikat I.CA neni distribuovan zadnou solidni cestou je pouze stahnutelny z webu ICA.cz a PVT na svych strakach nenabizi zadnou metodu jakou by bylo mozne certifikat overit. V tom to pripade muze dojit k tomu ze kdokoliv kdo napadne DNS servery muze lidem podstrcit sve neplatne certifikaty.
Zvlaste nebezpecne je toto u bank napriklad CSOB/IPB( pouzivala tuto funny metodu pro ovreni sve identity tim ze prohlasovala to jsem ja a pokud si chcete byt skutecne jisti ze komunikujete se mnou tak si tady od sud stahnete muj funny certifikat) coz je silena lamerina.
Intituce jako banka by mnela pouzivat autoritu ktera je schopna klienta identifikovat nebo aspon zvolit takovy spusob overovani klientskych certifikatu aby klienti mneli zaruceno ze citlive informace skutecne posilaji do sve banky. nebo by mnela dat zakaznikum jednoduchy prostredek jak si muzou platnost takovehoto funny certifikatu overit.
Jinak je zajimavy spusob jakym NBU vydal akreditaci pro I-CA ocekaval bych ze klic CA urceny pro autentizaci obcanu bude podepsany certifikatem statniho organu.
Jen pro doplneni - CSOB/IPB tento zpusob "neoverovani" používá i nadále - stále je to stará dobrá I.CA, která zajišťuje certifikáty i pro ČSOB Homebanking 24.
Taky mě docela překvapilo, že akreditují CA, které používají neověřitelné certifikáty. Možná se státu jen nechtělo investovat do Root CA, ale to by nám mohl vysvětlit třeba pan Hobza, který je nejspíš z UOOU?
Mimochodem certifikát I.CA má poněkud zvláštní název (tedy pokud je to opravdu certifikát I.CA, což nelze ověřit)
No UOOU je fakt sranda instituce podle mne by se nad sebou mneli prehodnotit pristup k utakovanym skutecnostem. Nez zvraceny pristup typu vsechno je tajne a k informacim ma pristup jen par vyvolenych tak je lepsi informace bez jakekoliv selekce zverejnit. Prostez pocinani UOOU mam pocit ze jim nejde ani tak o ochranu osobnich udaju ale spis o to aby omezily pristup k informacim jako takovym.
Certifikát kořenové certifikační autority je nutně self-signed, už jaksi z principu, jinak by nebyla kořenová. Pokud si ho nenahrajete na disketu přímo u nich v kanceláři, pak nemáte příslušnou jistotu nikdy. Jakou jinou metodu distribuce nebo ověření byste si představoval?
Myslím, že tady není rozporu, autor se, podle mě zcela oprávněně pozastavuje nad tím, že Vás I.CA vyzývá, abyste si její certifikát nainstaloval zcela nezabezpečenou cestou, namísto toho, aby jej I.CA vůbec na www.ica.cz nevystavovala.
Mimochodem, oni Vám jej na RA nahrají na disketu automaticky....
Instalace nezabezpecenou cestou nevadi, pokud pote spolehlivym kanalem overite fingerprint. Nicmene, na to vas ale neupozornuji, coz je rozhodne (bezpecnostni) chyba ...
To mi vypravejte. Jednou jsem (uz pred cca dvema lety) zkousel fingerprint overit u instituce, ktera primo uvadela, ze to telefonicky udelat mam - tak jsem to zkusil. Trvalo to pres dvacet minut a nakonec (jak jsem pozdeji zjistil) ziskali fingerprint tak, ze se sami podivali na svuj WWW a primo z nej mi ho precetli - ovsem, vzhledem k tomu, ze jsme vlastne overovali, zda onen WWW neni "podvrzeni", bylo to dost usmevne ...
Mimochodem, samostatne hodnotnou informaci bylo, ze jsem po vice nez roce a pul provozovani one sluzby byl prvni klient ktery o takove overeni projevil zajem (a to neslo o zadny web, kde o nic nejde - slo o spravu uctu) ...
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
