Import kořenového certifikátu ZČU
Osvětlení problematiky digitálních certifikátů a jejich použítí ve výpočením prostředí ZČU.
Úvod
Pro zabezpečování elektronické komunikace na internetu se využívá různých metod šifrování informací. Šifrování jako takové, ale samo o sobě nezaručuje bezpečnost (pokud si nezkontroluji oprávnění revizora v MHD může se mi stát, že zaplatím pokutu podvodníkovi = šifrovat bezpečně mohu i komunikaci s podvodníkem). Proto bychom při používání šifrovaných přenosů měli vždy dbát na ověření identity protistrany, se kterou komunikujete nebo požadujete nějaké služby. Pro ověřování protistrany se v dnešní době používají digitální certifikáty (podobně jako obtížně falšovatelné občanské průkazy nebo odznaky revizorů v MHD).
Digitální certifikáty a jejich použití
Digitální certifikát je elektronická identifikace nějakého subjektu a obsahuje položky určující jeho platnost (jméno, datum, jméno vydavatele, ...). Narozdíl od občanského průkazu lze certifikátem také potvrdit platnost jiného certifikátu (zřetězení certifikátů - certificate chaining). Této vlastnosti se využívá při vydávání, ale hlavně ověřování certifikátů - viz níže.
Před začátkem šifrované komunikace je tedy potřeba ověřit identitu komunikujícího protějšku, respektive ověřit pravost a platnost jím předloženého certifikátu (průkazu). Proto je potřeba pozorně číst a přemýšlet o výstražných hlášeních prohlížeče, která v souvislosti s navazováním spojení uživateli vyskakují v prohlížeči. V praxi je potřeba zkontrolovat základní podmínky:
- soulad jména certifikátu se jménem serveru na který se prohlížeč/uživatel snaží připojit
Každý certifikát má své jméno (common name). Toto jméno musí souhlasit se jménem serveru, který jej předkládá tj. jméno v certifikátu musí souhlasit se jménem serveru v URL prohlížeče - datum platnosti certifikátu
Certifikáty mají časově omezenou platnost (validity) tj. certifikát nesmí být prošlý - důvěryhodnost certifikátu případně certifikační autority, která jej vydala
Aby uživatel nemusel ověřovat a potvrzovat důvěryhodnost každého jednotlivého certifikátu ke každému serveru a při každém navazování spojení, používá se s výhodou zřetězení certifikátů. Každý certifikát, stejně jako průkaz, je vydáván nějakou autoritou (issuer), která zaručuje správnost zapsaných informací. V digitálním světě se takové autoritě říká certifikační autorita (CA), ta stvrzuje správnost informací ve vydávaném certifikátu jeho zřetězením/podpisem svým vlastním certifikátem - kořenovým certifikátem certifikační autority.
Pro uživatele to znamená, mít v přohlížeči nainstalovány (importovány) kořenové certifikáty certifikačních autorit a k těmto mít přiřazenu důvěryhodnost. Některé světové certifikační autority již mají své kořenové certifikáty nainstalovány a nastaveny důvěryhodnost automaticky od výrobců prohlížečů. Prohlížeč přitom tato nastavení zohledňuje při vyhodnocování třetí podmínky platnosti certifikátu. Pokud je podepsaný CA, kterou uživatel označil za důvěryhodnou, je i předložený certifikát považován za důvěryhodný. Pokud prohlížeč nedokáže rozhodnout automaticky, dotáže se uživatele.
V ideálním případě musí být tedy splněny všechny tři podmínky: certifikát by měl být časově platný, podepsaný důvěryhodnou certifikační autoritou a jméno v certifikátu by mělo odpovídat subjektu který jej předkládá. O ověření těchto parametrů se stará prohlížeč za uživatele automaticky. Pokud není splněna některá z výše uvedených podmínek, zobrazí uživateli varovné hlášení. Ve chvíli zobrazení varování, se musí uživatel sám rozhodnout jestli jsou parametry pro zabezpečení spojení dostatečné či nikoliv a zda bude pokračovat v komunikaci se vzdálenou stranou či nikoliv.
Certifikáty ve výpočetním prostředí ZČU
V případě oficiálních serverů ZČU se zabezpečeným přístupem (https), mívají servery vlastní certifikát podepsaný Certifikační autoritou Západočeské univerzity v Plzni - ZCU root CA. Proto by si každý uživatel ZČU měl nainstalovat/importovat kořenový certifikát CA ZČU. Pouze s jeho pomocí dokáže Váš prohlížeč automaticky zabezpečit bezpečnou komunikaci mezi uživatelem a většinou serverů ZČU.
Po úspěšné instalaci by se měl minimalizovat počet výstrah, která prohlížeč při přístupu na servery ZČU předloží uživateli k posouzení. Bohužel svět není ideální, ani svět digitálních certifikátů není jednotný, a některé prohlížeče mohou mít probém s automatickým vyhodnocením předkládaných certifikátů.
V takových případech je potřeba uživatelova duchapřítomnost a zamyšlení. V případě přístupu k finančním či majetkovým agendám nebo k serverům pro jednotné přihlašování (WebAuth) by nikdy nemělo docházet k těmto varováním.
Nainstalovat/importovat certifikát ZCU root CA můžete z adresy http://ca.zcu.cz/crl/ZCUrootCA.der a při jeho přijímání musíte zkontrolovat miniaturu/otisk certifikátu, abyste si mohli být jisti, že importujete pravý certifikát. Miniatura/otisk jsou k dispozici na adrese: http://ca.zcu.cz/crl/fingeprint.
Příklady pro snazší orientaci v problematice
Uveďme několik možných situací pro zvídavého čtenáře, který statečně dočetl až sem. Při zabezpečování komunikace se může uživatel dostat do několika různých stavů a je potřeba správně rozhodnout o každé dané situaci zvlášť:
- certifikát má správné jméno, je podepsán správnou autoritou, ale jeho platnost skončila před dvěma dny
s velkou pravděpodobností se jedná o přehlédnutí správce serveru, následující komunikace by měla být bezpečná. Bylo by vhodné, abyste na tuto skutečnost upozornili HelpDesk ZČU - certifikát je platný, na správné jméno, ale není podepsán ZČU CA
a) pokud se jedná o oficiální server (např. portal.zcu.cz nebo webauth.zcu.cz) tak je pravděpodobně neco špatně a v komunikaci byste neměli pokračovat
b) pokud se jedná o lokální katedrální server je možné, že si jeho správce nenechal vystavit certifikát u ZČU CA. Situaci byste měli konzultovat se správcem daného serveru. - při přístupu k serveru xyz.zcu.cz byl prohlížeči předložen k posouzení platný certifikát znějící na jméno zly.hacker.cz a je podepsán neznámou CA
je velmi pravděpodobné, že se v tomto případě jedná o bezpečností incident a neměli byste pokračovat v komunikaci - po reinstalaci prohlížeče nebo operačního systému se začali opět objevovat varovná hlášení
pravděpodobně jste zapoměli nainstalovat kořenový certifikát CA ZČU.
Instalace certifikátu do webového prohlížeče
Instalace certifikátu do prohlížeče Internet Explorer 6 a 7 (Windows XP)
- otevřete nové okno prohlížeče s otiskem certifikátu: http://ca.zcu.cz/crl/fingeprint
- otevřete nové okno se stránkou certifikační autority ZČU (http://ca.zcu.cz/) a klikněte na odkaz DER nebo zadejte přímo adresu k certifikátu http://ca.zcu.cz/crl/ZCUrootCA.der. Zobrazí se dialog pro otevření souboru s certifikátem:
- tlačítkem Otevřít zobrazte informace o certifikátu a tlačítkem Nainstalovat certifikát naimportujte certifikát do úložiště operačního systému :
- v posledním kroku instalačního průvodce je potřeba zkontrolovat zda souhlasí miniatura instalovaného certifikátu s miniaturou uvedenou na stránce http://ca.zcu.cz/crl/fingeprint (okno s touto stránkou máte mít připravené z prvního kroku)
- po úspěšném importování kořenového certifikátu certifikační autority ZČU byste již nikdy, při komunikaci se servery ZČU, neměli dostat výstrahu o nedůvěryhodném certifikátu.
Instalace certifikátu do prohlížeče Mozilla Firefox
- otevřete nové okno prohlížeče s otiskem certifikátu: http://ca.zcu.cz/crl/fingerprint
- otevřete nové okno se stránkou certifikační autority ZČU (http://ca.zcu.cz/) a klikněte na odkaz DER nebo zadejte přímo adresu k certifikátu http://ca.zcu.cz/crl/ZCUrootCA.der. Zobrazí se dialog pro instalaci certifikátu. Pokračujte tlačítkem Zobrazit.
- zde je potřeba zkontrolovat zda souhlasí miniatura instalovaného certifikátu s miniaturou uvedenou na stránce http://ca.zcu.cz/crl/fingeprint (okno s touto stránkou máte mít připravené z prvního kroku)
- Pokud miniatura/otisk souhlasí, zavřete okno s podrobnostmi certifikátu, zvolte Uznat tuto CA pro identifikaci serverů a dokončete import tlačítkem OK.
- po úspěšném importování kořenového certifikátu certifikační autority ZČU byste již nikdy, při komunikaci se servery ZČU, neměli dostat výstrahu o nedůvěryhodném certifikátu.
Instalace certifikátu do prohlížeče Internet Explorer 7 (Windows Vista)
- otevřete nové okno prohlížeče s otiskem certifikátu: http://ca.zcu.cz/crl/fingeprint
- otevřete nové okno se stránkou certifikační autority ZČU (http://ca.zcu.cz/) a klikněte na odkaz DER nebo zadejte přímo adresu k certifikátu http://ca.zcu.cz/crl/ZCUrootCA.der. Zobrazí se dialog pro otevření souboru s certifikátem:
- tlačítkem Otevřít zobrazte informace o certifikátu a tlačítkem Nainstalovat certifikát naimportujte certifikát do úložiště operačního systému :
- v instalačním průvodci zvolte úložiště do kterého se bude certifikát instalovat. Zvolte Důvěryhodné kořenové certifikační úřady.
- v posledním kroku instalačního průvodce je potřeba zkontrolovat zda souhlasí miniatura instalovaného certifikátu s miniaturou uvedenou na stránce http://ca.zcu.cz/crl/fingeprint (okno s touto stránkou máte mít připravené z prvního kroku)
- po úspěšném importování kořenového certifikátu certifikační autority ZČU byste již nikdy, při komunikaci se servery ZČU, neměli dostat výstrahu o nedůvěryhodném certifikátu.
Instalace certifikátu do poštovních klientů
Tyto postupy jsou popsány na samostatných stránkách
- Import certifikátu v Mozilla Thunderbird
- Import certifikátu v MS Outlook
- Import certifikátu v Ostatních klientech
Varování o nedůvěryhodném certifikátu
Internet Explorer 6
Mozilla Firefox 2.0
Internet Explorer 7