Microsoft udělal čistku v certifikátech, hrozila i českému PostSignum

28. 12. 2015
Doba čtení: 2 minuty

Sdílet

V lednu přestane platit řada kořenových certifikátů a weby budou uživatele varovat před jejich neplatností. Těšte se na chaos.

Microsoft se rozhodl odstranit z Windows až dvě desítky certifikačních autorit (CA). Z důvěryhodného světa zmizí tím, že budou odstraněny jejich kořenové (root) certifikáty a cokoliv na ně vázané tedy nebude považováno za důvěryhodné. Pokud od ledna 2016 vstoupíte na weby závisející v https komunikaci na certifikátech od těchto autorit, setkáte se s varováním.

Odstranění z Windows ovlivní všechny prohlížeče, které používají systémové certifikáty. Vedle prohlížečů se to ale dotkne i e-mailových klientů a dalších aplikací; všech, které používají SSL//TLS zabezpečenou komunikaci. Vše se dotkne i případného kódu podepsaného certifikáty závislými na těchto kořenových autoritách.

Z Microsoft Trusted Root Certificate Program (MTRCP) měla vypadnout i certifikační autorita používaná Českou poštou a řadou další státních služeb, institucí a organizací. Microsoft přitom dvě desítky certifikačních autorit odstraňuje buď proto, že o to samy zažádaly, nebo proto, že nevyhověly přísnějším požadavkům zavedeným v červenci 2015.

Na odstranění české PostSignum autority je paradoxní to, že tvrdí, že o plánovaném odstranění z MTRCP vůbec nevěděli a dozvěděli se to prý prakticky až z veřejného oznámení Microsoftu. Navíc uvádějí, že audit od Microsoftu mají až do prosince 2016.

Těsně před Vánoci PostSignum na svém webu v novinkách uvedl, že PostSignum mezi kořenovými autoritami ve Windows zůstane. Česká pošta splnila podmínky požadované Microsoftem a uzavřela opět smlouvu. Paradoxní je, že je tam uvedeno, že o nových požadavcích nebyla Česká pošta informována v dostatečném předstihu. V předchozí novince zařazení mezi vyřazované autority označuje jako „problém vniklý v procesních záležitostech“ (viz celé vyjádření níže).

Dne 17. 12. 2015 se objevila certifikační autorita České pošty s názvem PostSignum na seznamu autorit, které by měly být v lednu 2016 vyřazeny z programu Microsoft Trusted Root Certificate Program, tedy ze seznamu důvěryhodných autorit v operačních systémech Windows. Společnost Microsoft Českou poštu o této skutečnosti předem neinformovala. Nejedná o technologický problém. Česká pošta i nadále splňuje všechny náležitosti pro to, aby byla důvěryhodnou certifikační autoritou. Problém vznikl v procesních záležitostech. Česká pošta se společností Microsoft o tomto problému intenzivně komunikuje a věříme, že problém bude brzy vyřešen. V současné době již máme dohodnuty procesní kroky k zachování členství v tomto programu. O výsledku jednání budeme veřejnost informovat.

Z původního přehledu vyřazovaných autorit vedle PostSignum nakonec zmizelo ještě minimálně sedm dalších společností. Kde k problému mezi Microsoftem a Českou poštou došlo, asi nezjistíme, pod pojmem „procesní záležitosti“ se může skrývat leccos. A mimochodem – v jiných operačních systémech například PostSignum nenajdete vůbec.

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).