Import kořenového certifikátu ZČU

Osvětlení problematiky digitálních certifikátů a jejich použítí ve výpočením prostředí ZČU.

Úvod

Pro zabezpečování elektronické komunikace na internetu se využívá různých metod šifrování informací. Šifrování jako takové, ale samo o sobě nezaručuje bezpečnost (pokud si nezkontroluji oprávnění revizora v MHD může se mi stát, že zaplatím pokutu podvodníkovi = šifrovat bezpečně mohu i komunikaci s podvodníkem). Proto bychom při používání šifrovaných přenosů měli vždy dbát na ověření identity protistrany, se kterou komunikujete nebo požadujete nějaké služby. Pro ověřování protistrany se v dnešní době používají digitální certifikáty (podobně jako obtížně falšovatelné občanské průkazy nebo odznaky revizorů v MHD).

Digitální certifikáty a jejich použití

Digitální certifikát je elektronická identifikace nějakého subjektu a obsahuje položky určující jeho platnost (jméno, datum, jméno vydavatele, ...). Narozdíl od občanského průkazu lze certifikátem také potvrdit platnost jiného certifikátu (zřetězení certifikátů - certificate chaining). Této vlastnosti se využívá při vydávání, ale hlavně ověřování certifikátů - viz níže.

Dotaz prohlížeče na akci pro předložený platný certifikát se správným jménem podepsaný neznámou certifikační autoritou

Před začátkem šifrované komunikace je tedy potřeba ověřit identitu komunikujícího protějšku, respektive ověřit pravost a platnost jím předloženého certifikátu (průkazu). Proto je potřeba pozorně číst a přemýšlet o výstražných hlášeních prohlížeče, která v souvislosti s navazováním spojení uživateli vyskakují v prohlížeči. V praxi je potřeba zkontrolovat základní podmínky:

1. soulad jména certifikátu se jménem serveru na který se prohlížeč/uživatel snaží připojit
   Každý certifikát má své jméno (common name). Toto jméno musí souhlasit se jménem serveru, který jej předkládá tj. jméno v certifikátu musí souhlasit se jménem serveru v URL prohlížeče
2. datum platnosti certifikátu
   Certifikáty mají časově omezenou platnost (validity) tj. certifikát nesmí být prošlý
3. důvěryhodnost certifikátu případně certifikační autority, která jej vydala
   Aby uživatel nemusel ověřovat a potvrzovat důvěryhodnost každého jednotlivého certifikátu ke každému serveru a při každém navazování spojení, používá se s výhodou zřetězení certifikátů. Každý certifikát, stejně jako průkaz, je vydáván nějakou autoritou (issuer), která zaručuje správnost zapsaných informací. V digitálním světě se takové autoritě říká certifikační autorita (CA), ta stvrzuje správnost informací ve vydávaném certifikátu jeho zřetězením/podpisem svým vlastním certifikátem - kořenovým certifikátem certifikační autority.
   Pro uživatele to znamená, mít v přohlížeči nainstalovány (importovány) kořenové certifikáty certifikačních autorit a k těmto mít přiřazenu důvěryhodnost. Některé světové certifikační autority již mají své kořenové certifikáty nainstalovány a nastaveny důvěryhodnost automaticky od výrobců prohlížečů. Prohlížeč přitom tato nastavení zohledňuje při vyhodnocování třetí podmínky platnosti certifikátu. Pokud je podepsaný CA, kterou uživatel označil za důvěryhodnou, je i předložený certifikát považován za důvěryhodný. Pokud prohlížeč nedokáže rozhodnout automaticky, dotáže se uživatele.

V ideálním případě musí být tedy splněny všechny tři podmínky: certifikát by měl být časově platný, podepsaný důvěryhodnou certifikační autoritou a jméno v certifikátu by mělo odpovídat subjektu který jej předkládá. O ověření těchto parametrů se stará prohlížeč za uživatele automaticky. Pokud není splněna některá z výše uvedených podmínek, zobrazí uživateli varovné hlášení. Ve chvíli zobrazení varování, se musí uživatel sám rozhodnout jestli jsou parametry pro zabezpečení spojení dostatečné či nikoliv a zda bude pokračovat v komunikaci se vzdálenou stranou či nikoliv.

Certifikáty ve výpočetním prostředí ZČU

V případě oficiálních serverů ZČU se zabezpečeným přístupem (https), mívají servery vlastní certifikát podepsaný Certifikační autoritou Západočeské univerzity v Plzni - ZCU root CA. Proto by si každý uživatel ZČU měl nainstalovat/importovat kořenový certifikát CA ZČU. Pouze s jeho pomocí dokáže Váš prohlížeč automaticky zabezpečit bezpečnou komunikaci mezi uživatelem a většinou serverů ZČU.

Po úspěšné instalaci by se měl minimalizovat počet výstrah, která prohlížeč při přístupu na servery ZČU předloží uživateli k posouzení. Bohužel svět není ideální, ani svět digitálních certifikátů není jednotný, a některé prohlížeče mohou mít probém s automatickým vyhodnocením předkládaných certifikátů.

V takových případech je potřeba uživatelova duchapřítomnost a zamyšlení. V případě přístupu k finančním či majetkovým agendám nebo k serverům pro jednotné přihlašování (WebAuth) by nikdy nemělo docházet k těmto varováním.

Nainstalovat/importovat certifikát ZCU root CA můžete z adresy http://ca.zcu.cz/crl/ZCUrootCA.der a při jeho přijímání musíte zkontrolovat miniaturu/otisk certifikátu, abyste si mohli být jisti, že importujete pravý certifikát. Miniatura/otisk jsou k dispozici na adrese: http://ca.zcu.cz/crl/fingeprint.

Příklady pro snazší orientaci v problematice

Uveďme několik možných situací pro zvídavého čtenáře, který statečně dočetl až sem. Při zabezpečování komunikace se může uživatel dostat do několika různých stavů a je potřeba správně rozhodnout o každé dané situaci zvlášť:

1. certifikát má správné jméno, je podepsán správnou autoritou, ale jeho platnost skončila před dvěma dny
   s velkou pravděpodobností se jedná o přehlédnutí správce serveru, následující komunikace by měla být bezpečná. Bylo by vhodné, abyste na tuto skutečnost upozornili HelpDesk ZČU
2. certifikát je platný, na správné jméno, ale není podepsán ZČU CA
   a) pokud se jedná o oficiální server (např. portal.zcu.cz nebo webauth.zcu.cz) tak je pravděpodobně neco špatně a v komunikaci byste neměli pokračovat
   b) pokud se jedná o lokální katedrální server je možné, že si jeho správce nenechal vystavit certifikát u ZČU CA. Situaci byste měli konzultovat se správcem daného serveru.
3. při přístupu k serveru xyz.zcu.cz byl prohlížeči předložen k posouzení platný certifikát znějící na jméno zly.hacker.cz a je podepsán neznámou CA
   je velmi pravděpodobné, že se v tomto případě jedná o bezpečností incident a neměli byste pokračovat v komunikaci
4. po reinstalaci prohlížeče nebo operačního systému se začali opět objevovat varovná hlášení
   pravděpodobně jste zapoměli nainstalovat kořenový certifikát CA ZČU.

Instalace certifikátu do webového prohlížeče

Instalace certifikátu do prohlížeče Internet Explorer 6 a 7 (Windows XP)

• otevřete nové okno prohlížeče s otiskem certifikátu: http://ca.zcu.cz/crl/fingeprint
• otevřete nové okno se stránkou certifikační autority ZČU (http://ca.zcu.cz/) a klikněte na odkaz DER nebo zadejte přímo adresu k certifikátu http://ca.zcu.cz/crl/ZCUrootCA.der. Zobrazí se dialog pro otevření souboru s certifikátem:

• tlačítkem Otevřít zobrazte informace o certifikátu a tlačítkem Nainstalovat certifikát naimportujte certifikát do úložiště operačního systému :

• v posledním kroku instalačního průvodce je potřeba zkontrolovat zda souhlasí miniatura instalovaného certifikátu s miniaturou uvedenou na stránce http://ca.zcu.cz/crl/fingeprint (okno s touto stránkou máte mít připravené z prvního kroku)

• po úspěšném importování kořenového certifikátu certifikační autority ZČU byste již nikdy, při komunikaci se servery ZČU, neměli dostat výstrahu o nedůvěryhodném certifikátu.

Instalace certifikátu do prohlížeče Mozilla Firefox

• otevřete nové okno prohlížeče s otiskem certifikátu: http://ca.zcu.cz/crl/fingerprint
• otevřete nové okno se stránkou certifikační autority ZČU (http://ca.zcu.cz/) a klikněte na odkaz DER nebo zadejte přímo adresu k certifikátu http://ca.zcu.cz/crl/ZCUrootCA.der. Zobrazí se dialog pro instalaci certifikátu. Pokračujte tlačítkem Zobrazit.

• zde je potřeba zkontrolovat zda souhlasí miniatura instalovaného certifikátu s miniaturou uvedenou na stránce http://ca.zcu.cz/crl/fingeprint (okno s touto stránkou máte mít připravené z prvního kroku)

• Pokud miniatura/otisk souhlasí, zavřete okno s podrobnostmi certifikátu, zvolte Uznat tuto CA pro identifikaci serverů a dokončete import tlačítkem OK.

• po úspěšném importování kořenového certifikátu certifikační autority ZČU byste již nikdy, při komunikaci se servery ZČU, neměli dostat výstrahu o nedůvěryhodném certifikátu.

Instalace certifikátu do prohlížeče Internet Explorer 7 (Windows Vista)

• otevřete nové okno prohlížeče s otiskem certifikátu: http://ca.zcu.cz/crl/fingeprint
• otevřete nové okno se stránkou certifikační autority ZČU (http://ca.zcu.cz/) a klikněte na odkaz DER nebo zadejte přímo adresu k certifikátu http://ca.zcu.cz/crl/ZCUrootCA.der. Zobrazí se dialog pro otevření souboru s certifikátem:

• tlačítkem Otevřít zobrazte informace o certifikátu a tlačítkem Nainstalovat certifikát naimportujte certifikát do úložiště operačního systému :

• v instalačním průvodci zvolte úložiště do kterého se bude certifikát instalovat. Zvolte Důvěryhodné kořenové certifikační úřady.

• v posledním kroku instalačního průvodce je potřeba zkontrolovat zda souhlasí miniatura instalovaného certifikátu s miniaturou uvedenou na stránce http://ca.zcu.cz/crl/fingeprint (okno s touto stránkou máte mít připravené z prvního kroku)

• po úspěšném importování kořenového certifikátu certifikační autority ZČU byste již nikdy, při komunikaci se servery ZČU, neměli dostat výstrahu o nedůvěryhodném certifikátu.

Instalace certifikátu do poštovních klientů

Tyto postupy jsou popsány na samostatných stránkách

• Import certifikátu v Mozilla Thunderbird
• Import certifikátu v MS Outlook
• Import certifikátu v Ostatních klientech

Varování o nedůvěryhodném certifikátu

Internet Explorer 6

Mozilla Firefox 2.0

Internet Explorer 7

Odkazy

• http://ca.zcu.cz
• Libor Dostálek:Tutorial PKI
• Internet X.509 Public Key Infrastructure:Certificate Policy and Certification Practices Framework
• http://helpdesk.zcu.cz/wiki/Odkazy_PKI
• http://helpdesk.zcu.cz/pki
• http://helpdesk.zcu.cz/bezpecnost
• Svět sítí > Tutorialy > SSL protokol a jeho akcelerace