Microsoft aktualizuje seznam Root certifikátů

12.12.2012 | Jindřich Zechmeister

Microsoft aktualizací KB931125 rozšiřuje seznam Root certifikátů, které přidává do Windows a mobilního systému Windows Phone 8. V tomto seznamu krom jiných najdete i dvě české autority PostSignum a 1. CA a také několik nově přidaných. Podívejte se, kterým autoritám důvěřuje váš systém Windows a smartphone s Windows Phone.

Microsoft

Co je to Root certifikát a k čemu se používá?

Root certifikát zajišťuje v daném systému důvěryhodnost celé certifikační autority a všech certifikátu, které vystavila. Všechny certifikáty vystavené certifikační autoritou se vážou na tento "hlavní" certifikát a proto je důležité, aby byl tento certifikát rozšířen v co nejvíce zařízeních.

Pokud si zařídíte certifikát od jedné ze známých zahraničních certifikačních autorit, například Symantec, GeoTrust či Thawte, máte jistotu, že dostanete důvěryhodný certifikát, který nebude zobrazovat žádné varování o nedůvěryhodnosti svého vystavitele.

Nedůvěryhodný certifikát

Důvěryhodný certifikát je prostřednictvím takzvaných Intermediate certifikátů vydán a navázán na "hlavní" Root certifikát dané autority. Je důvěryhodný pro všechny uživatele, kteří ve svém systému důvěřují hlavnímu certifikátu autority, nebo používají systém, který pro ně tuto důvěru zajistí.

Chain důvěryhodného certifikátu

V současnosti jsou hlavní certifikační autority důvěryhodné nejen pro systémy Windows, ale i pro ostatní systémy a mobilní zařízení; na 99,9 % se tedy nesetkáte s problémem nedůvěryhodnosti certifikátu od těchto autorit.

České důvěryhodné autority

V takzvaném Microsoft Root programu a tedy i v systémech Windows, jsou přítomny dvě české certifikační autority. Jedná se o autority PostSignum QCA České pošty a 1. CA (První certifikační autorita). Z pohledu české legislativy se jedná o autority vydávající certifikáty "kvalifikované", které musí české úřady uznávat.

Tyto certifikační autority se využívají zejména pro vystavení osobních a serverových kvalifikovaných certifikátů pro elektronický podpis a elektronické značky (el. podpis organizace). Elektronický podpis s certifikátem těchto autorit je zákonem označován jako Uznávaný elektronický podpis na základě kvalifikovaného certifikátu a můžete s ním dle platné legislativy komunikovat s úřady a použít ho například pro podání daňového přiznání. Úřady ho musí uznávat, avšak v zahraničních programech, jako je například Adobe Reader, stále není automaticky důvěryhodný (je nutné provést ruční nastavení).

Pro účely zabezpečení SSL komunikace se serverem doporučujeme využít prestižní zahraniční certifikační autority, protože jejich kompatibilita je výrazně lepší a nemusíte mít obavy z varování o nedůvěryhodnosti, které donedávna české certifikační autority způsobovaly.

Stávající a nově přidané autority

V seznamu Root certifikátů dodávaného do systému Windows jsou především prestižní a známé světové certifikační autority. Nikoho tedy nepřekvapí, že má v systému Root certifikát autority Verisign (nyní Symantec, ale certifikáty zůstávají zatím Verisign), Thawte, GeoTrust, GoDaddy nebo Comodo. V seznamu jsou přítomny i méně známé autority včetně již zmiňovaných českých.

Pokud jste pokročilý uživatel a nechcete automaticky důvěřovat všem nabízeným autoritám, například čínské China Internet Network Information Center (CNNIC), můžete tuto autoritu v úložišti certifikátů zakázat (konzole MMC - modul certifikáty - kořenové CA).

Tabulka obsahuje čerstvě přidané certifikační autority: 

Název CA Země Názec CA Root certifikátu Hloubka  Hash  Expirace CA Root
China Financial Certification Authority (CFCA)  China CFCA GT CA 2048 SHA1 ‎Tuesday, ‎June ‎09, ‎2026 12:15:09 AM
Digidentity BV  The Netherlands Digidentity L3 Root CA - G2 4096 SHA256 ‎Monday, ‎November ‎10, ‎2031 2:44:19 AM
Government of Macao, Macao Post   Macao SAR

Macao Post eSignTrust Root

Certification Authority (G02)

4096 SHA1 ‎Sunday, ‎January ‎05, ‎2020 3:59:59 PM

Government of Sweden, Inera AB

(SITHS-Secure IT within Health care Service)  

Sweden SITHS Root CA v1 4096 SHA1 ‎Sunday, ‎March ‎28, ‎2032 11:54:49 PM
SG Trust Services  France SG TRUST SERVICES RACINE 4096 SHA256 Thursday, ‎September ‎05, ‎2030 4:53:42 AM

Zdroj: Microsoft Technet. Windows and Windows Phone 8 SSL Root Certificate Program (December 2012)

Doporučujeme nainstalovat novou aktualizaci systému KB931125 a vždy udržovat seznam kořenových certifikačních autorit aktuální.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz