Certifikáty a certifikační autority

Jak fungují certifikáty?

Klíčovou součástí protokolů SSL/TLS pro zabezpečenou komunikaci je mechanizmus, v rámci kterého se server prezentuje certifikátem, který prokazuje jeho identitu. Tento certifikát zaručuje, že komunikujete s pravým serverem na určité adrese, a nikoliv s někým, kdo se za něj jen vydává.

V případě 1CLICKu se zabezpečená SSL/TLS komunikace používá zejména při komunikaci s poštovními servery IMAP a SMTP.

Aby to celé fungovalo, musí být certifikát opatřen podpisem "certifikační autority", které důvěřujete.

Bez podpisu takové autority je certifikát tzv. "nedůvěryhodný", protože si ho mohl vystavit kdokoliv, klidně i útočník.

Proč jsou nedůvěryhodné certifikáty nebezpečné?

S nedůvěryhodným certifikátem bohužel prakticky zaniká i zabezpečení spojení.

Útočník totiž může snadno vydávat svůj podvržený falešný server za server reálný. Pokud to udělá, budete sice komunikovat šifrovaně, ale přímo s útočníkem!! A útočník veškerou vaší komunikaci obratem předá reálnému serveru, takže z vašeho pohledu bude vypadat vše normálně. Jen komunikace bude procházet skrz server útočníka, který jí může číst či dokonce pozměňovat.

Jakým certifikačním autoritám 1CLICK standardně důvěřuje?

1CLICK při SSL/TTS komunikaci automaticky důvěřuje certifikátům vydaným a podepsaným obecně známými certifikačními autoritami jako Verisign, Thawte, Symantec, Comodo, GlobalSign, GeoTrust atd.

Dá se říct, že pokud jste si od někoho pořídili komerční SSL certifikát, 1CLICK ho bude akceptovat a bude ho považovat za důvěryhodný.

Jak zařídit, aby 1CLICK důvěřoval i jiné certifikační autoritě?

Nezřídka se používají i vlastní certifikační autority. Místo toho, aby jste certifikáty kupovali od obecně uznávaných komerčních autorit, uděláte si autoritu vlastní a začnete si vydávat vlastní certifikáty. Pokud to uděláte správně (zejména uchráníte-li privátní klíče této své autority), tento postup je zcela v pořádku. Jen je potřeba všechny komunikující strany (v našem případě 1CLICK) o této certifikační autoritě informovat, aby jí důvěřovaly a byly schopné ověřovat její podpisy.

Technicky se to provádí nahráním certifikátu této certifikační autority na nějaké speciální místo.

V případě 1CLICKu jde o adresář data/ssl_certs v adresáři s daty 1CLICKu (1CLICK tento adresář sám založí při prvním startu). Máte-li vlastní certifikační autoritu, jednoduše vezměte její certifikát, nahrajte ho do tohoto adresáře a restartujte 1CLICK. Certifikát musí být uložen v souboru s příponou .pem.crt nebo .cer a musí být ve formátu X.509 s kódováním DER nebo Base64.