Vlákno názorů k článku Stalo se: Česká pošta neradila správně od Pavel (R) - V případě úřadů či velkých firem bych považoval...

Jak chcete dostat certifikát od PostSignum nějakou "důvěryhodnou" cestou? Ano, správce ví co dělá, ba právě proto ví, že nemá jiné možnosti než ten láma. Snad opravdu jen může lépe rozeznat "podvržený" web. Nic víc (anebo jít někam žebrat ty "hashe").

Nějaký správce certifikáty do systému docpe? No tak pak všichni budou věřit správci, který je našel (třeba na tom internetu) a ani on neví kde (přece na té podvržené www stránce).

Prostě jen tak nedocpe. Má k tomu opět jen ty možnosti co každý uživatel, akorát řešení může (ne)zodpovědně vnutit všem.

Ale já jako docpavač si myslím, že reálné řešení skutečně je stáhnout certifikát z www stránky, koukat při tom, kde vlastně jsem (kam a jak klikám) a sledovat dění, zda někdo nějaký podvrh nezkusil - asi by to, pokud by se dělo ve velkém to nezůstalo bez mediální odezvy. Nebo budou tisíce úředníků chodit s orazítkovanou objednávkou na MV či jeho pobočky (dnes třeba pošta) pro oficiální CD/DVD?

Také zvažte charakter zneužití podvrženého certifikátu v e-bankovnictví (kde nevratná škoda nastane řádově v minutách), v e-podepisování na úřadě a k falšování zpráv v datových schránkách, kde by nejspíše mohlo dojít k úniku nějakých privátních či osobních dat. Ale vzhledem k tomu, že lze od 1.7. i listinnou zásilku určenou do vlastních rukou po určité době vhodit jen tak do schránky, tak ani tam nebude zneužití tak horké. Zpráva zůstává ve schránce dalších 90 dní, bez možnosti smazání uživatelem, tedy i tím falešným, co získal mé údaje.

Princip certifikační autority spočívá v tom, že certifikovaný subjekt ověří a u těch autorit, které máte mezi trustued root CA si můžete být dost jistý, že to tak skutečně dělají.

Takže někdo, kdo se jmenuje BlaBlaBla nikdy nedostane certifikát s identifikací PostSignum....

Kdyby na české poště nebyli diletanti, tak jako serverový certifikát použijí certifikát od Versignu (tak jak to dělá většina slušných firem) a bylo by po problému.

tak nejak. Ono radeji si budu stahovat certifikat z webu - sice to neni idelani a muze mi to nekdo podstrcit, ale seznam trusted root CA v prohlizecis je pekne dlouhy - hodne techto autorit rozdava certifikaty pouze na kreditku, nektere maji i FREE 3 mesice a podobne....

Proste to ze je to HTTPS a ze to nehlasi chybu neznamena ze nejste na strance www.CrackedISDS.ru a ze si nekoupili za 50 dolaru nejaky vlastni nejlevnejsi certifikat za par centu :-)

Za mnohem horsi povazuji verit certifikatum, ktere mi nekdo nainstaloval do prohlizece.

Tak to pozor, takhle nekoho verejne narknout z toho, ze ma kradene Windows ... to muze byt na zalobu!

Obavam se ze nasim zakonum jsou vase Windows ukradene...

Nicméně já na úřadě vašemu certifikátu a "zaručenému" podpisu věřit nebudu (ač bych ze zákona měl), protože múj operační systém Windows vaši certifikační autoritu, resp. její kořenový certifikát nepovažuje za důvěryhodný. Nezná ho. Mohu si ho sice stáhnout z www stránek PostSignum (případně u dalších certifikátů z www I.CA, či eIdentity), ale co když mi tyto stránky kdosi podvrhl a já si stáhl falešný certifikát?

Proč podvržené certifikáty v e-úřadování řešíte zrovna až teď?