Microsoft aktualizuje seznam Root certifikátů

12. 12. 2012 | Jindřich Zechmeister

Microsoft aktualizací KB931125 rozšiřuje seznam Root certifikátů, které přidává do Windows a mobilního systému Windows Phone 8. V tomto seznamu krom jiných najdete i dvě české autority PostSignum a 1. CA a také několik nově přidaných. Podívejte se, kterým autoritám důvěřuje váš systém Windows a smartphone s Windows Phone.

Co je to Root certifikát a k čemu se používá?

Root certifikát zajišťuje v daném systému důvěryhodnost celé certifikační autority a všech certifikátu, které vystavila. Všechny certifikáty vystavené certifikační autoritou se vážou na tento "hlavní" certifikát a proto je důležité, aby byl tento certifikát rozšířen v co nejvíce zařízeních.

Pokud si zařídíte certifikát od jedné ze známých zahraničních certifikačních autorit, například Symantec, GeoTrust či Thawte, máte jistotu, že dostanete důvěryhodný certifikát, který nebude zobrazovat žádné varování o nedůvěryhodnosti svého vystavitele.

Důvěryhodný certifikát je prostřednictvím takzvaných Intermediate certifikátů vydán a navázán na "hlavní" Root certifikát dané autority. Je důvěryhodný pro všechny uživatele, kteří ve svém systému důvěřují hlavnímu certifikátu autority, nebo používají systém, který pro ně tuto důvěru zajistí.

V současnosti jsou hlavní certifikační autority důvěryhodné nejen pro systémy Windows, ale i pro ostatní systémy a mobilní zařízení; na 99,9 % se tedy nesetkáte s problémem nedůvěryhodnosti certifikátu od těchto autorit.

České důvěryhodné autority

V takzvaném Microsoft Root programu a tedy i v systémech Windows, jsou přítomny dvě české certifikační autority. Jedná se o autority PostSignum QCA České pošty a 1. CA (První certifikační autorita). Z pohledu české legislativy se jedná o autority vydávající certifikáty "kvalifikované", které musí české úřady uznávat.

Tyto certifikační autority se využívají zejména pro vystavení osobních a serverových kvalifikovaných certifikátů pro elektronický podpis a elektronické značky (el. podpis organizace). Elektronický podpis s certifikátem těchto autorit je zákonem označován jako Uznávaný elektronický podpis na základě kvalifikovaného certifikátu a můžete s ním dle platné legislativy komunikovat s úřady a použít ho například pro podání daňového přiznání. Úřady ho musí uznávat, avšak v zahraničních programech, jako je například Adobe Reader, stále není automaticky důvěryhodný (je nutné provést ruční nastavení).

Pro účely zabezpečení SSL komunikace se serverem doporučujeme využít prestižní zahraniční certifikační autority, protože jejich kompatibilita je výrazně lepší a nemusíte mít obavy z varování o nedůvěryhodnosti, které donedávna české certifikační autority způsobovaly.

Stávající a nově přidané autority

V seznamu Root certifikátů dodávaného do systému Windows jsou především prestižní a známé světové certifikační autority. Nikoho tedy nepřekvapí, že má v systému Root certifikát autority Verisign (nyní Symantec, ale certifikáty zůstávají zatím Verisign), Thawte, GeoTrust, GoDaddy nebo Comodo. V seznamu jsou přítomny i méně známé autority včetně již zmiňovaných českých.

Pokud jste pokročilý uživatel a nechcete automaticky důvěřovat všem nabízeným autoritám, například čínské China Internet Network Information Center (CNNIC), můžete tuto autoritu v úložišti certifikátů zakázat (konzole MMC - modul certifikáty - kořenové CA).

Tabulka obsahuje čerstvě přidané certifikační autority: 

Zdroj: Microsoft Technet. Windows and Windows Phone 8 SSL Root Certificate Program (December 2012)