Certifikát podepsaný sám sebou
Certifikát podepsaný sám sebou (anglicky Self-signed certificate) je v kryptografii specifická forma digitálního certifikátu (resp. elektronického podpisu), který podepsal sám jeho tvůrce, který se tak zároveň stal certifikační autoritou. Používá se pro testování nebo pro potřeby uzavřených okruhů uživatelů (škola, firma či jiná komunita). Ověření takového certifikátu se děje jiným způsobem (typicky kontrolou jeho otisku).
Popis
V asymetrické kryptografii je používán privátní a veřejný klíč, přičemž oba jsou generovány společně, mají na sebe těsnou vazbu (vždy patří k sobě jen tyto dva klíče) a zároveň je velmi obtížné až nemožné odvodit z jednoho z nich ten druhý (na čemž je asymetrická kryptografie postavena). Pokud je nějaký text zašifrován veřejným klíčem, lze ho privátním klíčem dešifrovat.
Při šifrování textu pomocí veřejného klíče je nutné ztotožnit veřejný klíč s nějakou osobou. U certifikátů se za pravdivost údajů uvedených ve veřejném klíči zaručuje certifikační autorita, která k tomu využívá elektronický podpis (digitální certifikát je elektronicky podepsaný veřejný šifrovací klíč) a důvěryhodné úložiště v počítači uživatele (obsahuje důvěryhodný veřejný klíč certifikační autority).
Nepříjemným rysem certifikačních autorit je poplatek, který vybírají za svoji záruku, kterou digitálnímu certifikátu dodávají - jedinou výjimkou je v tomto ohledu Let's Encrypt, certifikační autorita založená organizací ISRG, jež má za cíl udělat ze zabezpečení HTTPS na internetu běžnou věc.[1][2]
Webový prohlížeč z důvodu jednodušší implementace podporuje pouze použití certifikátů, nikoli samostatných veřejných klíčů. Proto je nutné, aby každý veřejný klíč používaný k ověřování identity protistrany byl elektronicky podepsán.
Vytvoření
Certifikát podepsaný sám sebou se vytváří tak, že se vygeneruje klíčový pár pro asymetrickou šifru (privátní a veřejný) a vzápětí je veřejný klíč elektronicky privátním klíčem podepsán. Tvůrce certifikátu tak sám sobě podepisuje veřejný klíč (odtud označení certifikát podepsaný sám sebou).
Certifikát podepsaný sám sebou se používá buď pro testování (protistraně důvěřujeme, nepotřebujeme ověřovat její identitu) nebo pro vytvoření vlastní certifikační autority (resp. kořenového klíče vlastní certifikační autority).
Alternativy
Certifikáty mohou být organizovány hierarchicky. V takovém případě existuje kořenová certifikační autorita, která se zaručuje za podřízené certifikační autority. Druhou možností jsou sítě důvěry, ve kterých je místo přísně hierarchické struktury vytvořena volně organizovaná síť vztahů důvěry. V obou případech může být využíván přenos důvěry a mohou být používány certifikáty podepsané sám sebou, které je však nutné ověřit jiným způsobem (například pomocí otisku).
Reference
V tomto článku byl použit překlad textu z článku Self-signed certificate na anglické Wikipedii.
- Let's Encrypt Issued A Billion Free SSL Certificates in the Last 4 Years. The Hacker News [online]. [cit. 2020-03-29]. Dostupné online. (anglicky)
- About Internet Security Research Group - Internet Security Research Group. www.abetterinternet.org [online]. [cit. 2020-03-29]. Dostupné online.