Vlákno názorů k článku Stalo se: Česká pošta neradila správně od Vojtěch Kment - Ono je to více otázek v jedné. 1) Distribuce...

Ono je to více otázek v jedné.

1) Distribuce musí vždy proběhnout. Otázkou je, zda je lepší, když je již součástí distribuce prohlížeče, nebo ji uživatel musí provést samostatně. Ve větších organizacích obě varianty stejně provádí technická podpora, takže musíte především věřit lidem z IT supportu. Více uživatelsky přívětivá je pochopitelně první možnost a u uživatelské báze jakou mají třeba e-shopy to pochopitelně hraje významnou roli.

Ad 1 - určité inflaci certifikačních autorit (šířených s prohlížeči) se snaží čelit rozdělení důvěryhodnosti. Např. pomocí "Extended Validation" certifikáty SSL - prohlížeče je indikují zeleně.

2) Vlastní bezpečnost certifikační autority. Pokud použijete certifikáty tuzemské akreditované certifikační autority, tak aspoň víte (právně a technicky) na čem zhruba jste. U zahraničních CA spíše hádáte, takže skutečně může být vhodnější použít tuzemskou certifikační autoritu (než zahraniční, byť by byla součástí distribuce prohlížeče).

Ad 2 bych výslovně varoval před kutilskými pokusy vytvořit si certifikační autoritu někde sám v organizaci. Ryze technickým dojmem to lze, bezpečnostně absolutně nikoliv, ledaže začnete utrácet podobné peníze jako akreditované certifikační autority, ovšem pak se to zase nevyplatí ekonomicky.

Certifikační autorita je jakási bezpečnostní kotva, pevný bod, na kterém je navěšeno všechno ostatní (asi jako když Archimédes chtěl hýbat světem pákou). Když selže tento bod, tak je zbytek PKI, veškeré IT organizace v naprosto prekérní situaci.