Administrace komentářů

Oproti tomu GnuPG a SSH používají svoje klíče o kterých víš ty i ten druhý, co jsou zač a odkud se vzaly.

To je trochu nefér srovnání. U X.509 taky vidíš, jaká CA ten certifikát podepsala, navíc je tam spousta zajímavých metadat (třeba lze omezit domény, pro které ta CA může vydávat certifikáty).

U GPG můžeš mít taky mezi „kamarády“ v klíčence všelijaké pochybné osoby nebo roboty a pak se ti budou jako důvěryhodné jevit i nedůvěryhodné podpisy, uvidíš „zelenou ikonku“ a bez hlubšího zkoumání nic nepoznáš. Oboje to jsou prostě dobré a spolehlivé technologie, které pracují, jak mají – co ale může selhat, je lidský faktor – když si máš mezi důvěryhodnými nedůvěryhodné, tak tě žádná technologie nezachrání.

Rozdíl je v tom, že v X.509 máš vždy jednu autoritu, která podepsala daný certifikát, kdežto u GPG těch autorit můžeš mít současně víc.

Což je věc, která by se hodila i na webu (resp. obecně u klient-server aplikací). Např. bys mohl mít server nějakého českého úřadu a ten by měl certifikát podepsaný nějakou mezinárodní soukromou CA (takže by z toho cizinci nebyli zmatení a mohli by to celkem normálně používat) a zároveň by byl podepsaný nějakou českou státní CA, která by byla nainstalovaná mezi důvěryhodnými na počítačích úředníků (kde by zase třeba nebyla ta soukromá cizí, které stát nemusí tolik věřit). Nebo jiný příklad: server nějakého sdružení nebo klubu, který si nechce platit drahé certifikáty – pořídí si bezplatný certifikát od CAcertu, takže to pro ostatní bude „středně důvěryhodn铹 – lepší než nic – a vedle toho by byl certifikát podepsaný jejich vlastní CA, jejíž certifikát si členové bezpečně distribuují mezi sebou a můžou mu věřit daleko víc než CAcertu. A do třetice: při platbě za doménu bys mohl přiložit CSR a dostal bys hned od registrátora nějaký základní certifikát, pak bys mohl postupně sbírat podpisy/certifikáty od různých dalších subjektů a zvyšovat důvěryhodnost svého serveru (např. úřad by ti vydal potvrzení, že jsi podnikatel s určitým IČ/DIČ, pojišťovna by potvrdila, že jsi u nich pojištěný nebo auditorská firma by ti v rámci auditu přidala svůj podpis/certifikát)

_{[1] resp. mělo by být – došlo k ověření e-mailu patřícího k dané doméně, ale žádné doklady nebo další věci nikdo nekontroloval}