Administrace komentářů

Josef to už napsal, vytvořit a poslat CSR. Tak jen doplnění, co je certifikát a proč se pořizuje. Protože se podvrhávat dá kde co, tak je nedůvěra, že veřejné šifrovací klíče jsou podvržené a patří jinému subjektu, než za které se vydávají. Řeší se to tak, že se důvěryhodnou institucí potvrdí vazba mezi veřejnými šifrovacími klíči, účelem použití a reálnou identitou. Lze to přirovnat v reálu tomu, že oficiální listinu potřebuješ mít s ověřeným podpisem, kdy se také oficiální autorita ověří a verifikuje vazbu mezi identitou, listinou a podpisem. V digitálním světě se to ověření a potvrzení provede digitálním podpisem balíku, který obsahuje to, co je třeba svázat a potvrdit. Takže není možné existující znásilnit, protože nevytvoříš data tak, aby odpovídaly již vydanému podpisu. A finálně prohlížeč má nějaký seznam důvěryhodných subjektů (autorit), kterým věří. Tvůj server, aby nespustil varování, musí být podepsaný jednou z uvedených autorit. Buď přímo nebo zprostředkovaně, což znamená, že ta důvěryhodná autorita deleguje svoji důvěryhodnost na další subjekt tím, že pro tento subjekt vydá certifikát s oprávněním podepisovat šifrovací klíče, a tak to může být i několik kroků. Se svým certifikátem pak klientovi zasíláš i tyto certifikáty, delegující pravomoci na další autority, aby klient byl schopen ověřit, že řetězec důvěry od důvěryhodné (kořenové) certifikační autority k tvému serveru je nepřerušen. Klient typicky ještě by měl zjistit jestli certifikát nebyl odvolán (ekvivalent blokace kreditky) pomocí OCSP protokolu nebo CRL.

Takže žádná šance to spytlíkovat. To že certifikát nefunguje může být leccos. Blbě vydaný, špatně zkonvertovaný, chybně importovaný. Kam to importujete? a jaký certifikát jste vytvořili? serverový? osobní? mailový? nebo pro autoritu?