#language cs ## 20210601 AK ## (doplněn 20150520 AK, 20200130 AK a 20210601 AK) ---- '''česky''' | [[FAQ/Class3Resign|english]] ---- . '''[[Roots|New Roots & Escrow Project]]''' - '''[[Roots/Class3ResignProcedure|Class3 Re-sign Procedure]]''' . '''[[Roots/Class3ResignProcedure/FingerprintSources|Class3 Subroot Fingerprint - Sources]]''' - '''[[Roots/Class3ResignProcedure/PR-DistributionList|PR Distribution list for Class3 Re-sign Project rollout]]''' = Nový kořenový certifikát třídy 1 a nový zprostředkující certifikát třídy 3 - časté otázky = {{{#!Wiki note ||<#FF0000> Konec platnosti zprostředkujícího certifikátu třídy 3 pořadového čísla #00000E nastal dne 20210520. || ||<#00FF00> Certifikát byl obnoven dne 20210419 s novým pořadovým číslem #14E228. [[#Zpráva blogu CAcert z dubna 2021|Zpráva blogu CAcert z dubna 2021]], [[FAQ/NewRoots|nové certifikáty, chain, bundle, verze pro Android]], [[HowTo/ReplaceCAcertRootCertificate|postup náhrady]]|| }}} == Zprostředkující certifikáty třídy 3 - časté otázky členů a uživatelů == CAcert se pustil do prozatímního projektu znovupodepsání (re-sign) kořenového certifikátu třídy 3. Projekt je inspirován prohlášením Mozilly: [[https://wiki.mozilla.org/CA:MD5and1024|Termíny pro postupné ukončení signatur dle MD5 a 1024-bitových modulo]]. Členové komunity z projektových týmů Software-Assessment a Critical System Administrators dostáli výzvě k přípravě, testu a implementaci procedury pro znovupodepsání zprostředkujícího certifikátu třídy 3. Záměrem je podepsat certifikát třídy 3 novým SHA256 a zveřejnit jej. Klíče vydaného zprostředkujícího certifikátu třídy 3 jsou stále platné, protože soukromý klíč zmíněného certifikátu je stále nedotčen. Ve svém průběhu a účinku se to podobá obnově certifikátu. Všichni uživatelé, používající starší zprostředkující kořenový certifikát třídy 3, ho musí vyměnit za nový zprostředkující certifikát jak ve svém prohlížeči, tak e-emailovém klientu, případně v serveru (pouze jednou). * Navrhovaná procedura: [[Roots/Class3ResignProcedure/CZ|Procedura znovupodepsání zprostředkujícího certifikátu třídy 3]] {{attachment:CZ-Class3-subroot-public-key-renewal2-600x321.jpg}} ## {{FAQ/Class3Resign/CZ/CZ-Class3-subroot-public-key-renewal2-600x321.jpg}} == Termínová linie projektu == || || [[Brain/CAcertInc/Committee/MeetingAgendasAndMinutes/20110515|Schůze výboru 15.05.2011]] presentace, schválení|| {g} || || || Kroky [[https://community.cacert.org/board/motions.php?motion=m20110515.2|m20110515.2]], kterými aktualizujeme zprostředkující certifikát třídy 3... || {g} || || || [[https://community.cacert.org/board/motions.php?motion=m20110515.3|m20110515.3]], kterým žádáme komunitu o přípravu tiskového prohlášení... || {g} || || 23.05.2011 || Zprostředkující certifikát třídy 3 je podepsán podle procedury týmem Critical Sysadmins Team''' || {g} || || 23.05.2011 || [[https://lists.cacert.org/wws/arc/cacert-board/2011-05/msg00096.html|Hlášení o provedení]] od týmu Critical Team || {g} || || 25.05.2011 || číslo chyby pro změny zdrojového kódu: [[https://bugs.cacert.org/view.php?id=946|chyba #946]] || {g} || || květen 2011 || Příprava zprávy pro tisk, příspěvek do blogu, upozornění členů předána výboru || {g} || || květen 2011 || příprava FAQ podpory, presentace pro Inženýry podpory (SE) a pro seznam adresátů podpory || {g} || || 05.06.2011 || schválení tiskové zprávy, příspěvku pro blog, upozornění členům: [[https://community.cacert.org/board/motions.php?motion=m20110605.2|m20110605.2]] || {g} || || 15.06.2011 - 20.06.2011 || navrhované datum pro uvolnění nového zprostředkujícího certifikátu třídy 3, uveřejnění tiskové zprávy, příspěvku pro blog || {g} || || '''10.06.2011''' || Den uvolnění nového zprostředkujícího certifikátu třídy 3 || {g} || || konec+několik dnů || Podle našich zkušeností s tímto projektem: sestavení [[Roots/RolloutProcedure|procedury pro zveřejnění (rollout)]] spolu s přípravou na [[Roots/NewRootsTaskForce|Velké Zveřejnění (Big New Roots Rollout)]] || {0} || == Tisková zpráva == <> == Zpráva blogu CAcert z dubna 2021 == {{{#!Wiki note Jak jsme zde již uvedli v lednu (2021), náš zprostředkující certifikát třídy 3 je znovu podepisován. Bylo to provedeno před několika týdny v našem datovém centru v Nizozemsku a následně rozsáhle testováno našimi dobrovolníky. Již nyní lze zprostředkující certifikát třídy 3 stáhnout [[https://www.cacert.org/class3.crt|zde]]. V několika dnech aktualizujeme otisky prstů (fingerprints) a publikujeme další formáty [[https://www.cacert.org/index.php?id=3|zde]]. Doporučujeme, aby všichni uživatelé používali nový zprostředkující certifikát třídy 3 okamžitě, protože starý certifikát se blíží svému datu expirace a po 20. květnu již nebude platný. Stáhněte si nový certifikát dnes a nainstalujte jej do svého prohlížeče, e-mailového programu nebo certifikátového serveru - podle potřeby. Všechnu tuto vzrušující práci (plánování, nový podpis, testování, komunikaci) provedli dobrovolníci z komunity CAcert. V průběhu času získali spoustu odborných znalostí a pracovali tak pro komunitu. CAcert i nadále nabízí takové příležitosti zájemcům a činorodým lidem. }}} == Dotaz: Ovlivní mě to? == . Otázka mnoha uživatelů - ovlivní mě znovupodepsání zprostředkujícího certifikátu třídy 3? . Odpověď: Ovlivní to většinu uživatelů a členů, kteří vytvořili klientské nebo serverové certifikáty třídy 3, certifikáty pro podpis kódu nebo dokumentů. Nepodporujete-li žádné certifikáty třídy 3, pravděpodobně nebudete ovlivněni. == Dotaz: Co teď musím udělat? == . Odpověď: Stáhnout si nový zprostředkující certifikát třídy 3 z hlavního webu CAcertu. Podle toho, jaký formát používá Vaše aplikace, zvolte typ [[http://www.cacert.org/certs/class3.crt|PEM]] nebo [[http://www.cacert.org/certs/class3.der|DER]]. == Dotaz: Musím znovu vytvořit své certifikáty třídy 3? == . Odpověď: Ne. Musíte si pouze stáhnout a znovu instalovat zprostředkující certifikát třídy 3 od CAcertu. Váš osobní certifikát třídy 3 bude stále funkční. == Dotaz: Můj e-mailový partner dostává upozornění, že můj certifikát třídy 3 způsobuje chybu == . Odpověď: Prosím informujte také všechny své e-mailové partnery, že si musí stáhnout obnovený zprostředkující certifikát třídy 3 a nainstalovat ho do svých e-mailových klientů. == Dotaz: Dostanou moji e-mailoví partneři také upozornění, když mám certifikát vydaný s třídou 1? == . Odpověď: Mají-li Vaši e-mailoví partneři instalován veřejný kořenový certifikát CAcert (třídy 1), nebudou ovlivněni. == Dotaz: Mám serverový certifikát vydaný kořenovým certifikátem CAcert třídy 1. Ovlivní mne to? == . Odpověď: Nebudete ovlivněn přímo, protože kořenový certifikát zůstává nedotčen. Avšak měl byste si také stáhnout a instalovat obnovený zprostředkující certifikát třídy 3. Když dostanete od jiného uživatele certifikát vydaný ve třídě 3, budete potřebovat zprostředkující certifikát třídy 3 pro ověření a k udržení nepoškozeného bezpečnostního řetězu certifikátů. == Dotaz: Mám instalovaný pouze serverový certifikát vydaný pod třídou 3. Ovlivní mne to? == . Odpověď: Ano. Vy a Vaši uživatelé, navštěvující Váš web, budou ovlivněni. Vy sám (sama) budete potřebovat nový zprostředkující certoifikát třídy 3, abyste udržel(a) bezpečnostní řetěz certifikátů nepoškozený. Vaši uživatelé budou potřebovat schopnost ověřit Váš serverový certifikát, vydaný ve třídě 3. == Dotaz: Provozuji web s jedním z těch certifikátů třídy 3. Jak mohu pomoci svým uživatelům s přechodem? == . Odpověď: Jedna možnost je dát na web nějaká tlačítka pro stažení certifikátu pro Vaše uživatele. Příklad najdete na [[http://www.cacert.org/index.php?id=3|CAcert - ke stažení]]. ''Pravděpodobně v tom můžeme udělat více... příklad kódu? Příklad HTML? Příklad zveřejnění?'' == Dotaz: Proč neaktualizujete při jednom i kořenový certifikát třídy 1, také podepsaný MD5? == . Odpověď: Však to je jedna z příštích velkých aktualizací na cestě k auditu CAcert. . Záměna kořenového certifikátu je velký krok, který závisí na fungující metodě bezpečného uložení (Escrow). (V tomto kroku se obřadný audit kořenových certifikátů z roku 2008 stane neplatným). . Proto musíme vyvinout a nasadit metodu bezpečného uložení (escrow) certifikátů, která bude pro CAcert funkční. . Tento projekt byl diskutován na seznamu adresátů cacert-roots@lists.cacert.org, ale nepodstoupil ještě test řízení rizik zároveň s testy řízení rizik alternativních metod bezpečného uložení/úložiště (escrow). . Na oznámení Mozilly, že po 30. červnu 2011 už nebude podporovat zprostředkující certifikáty podepsané MD5, musel CAcert rychle reagovat. . Také jsme si mysleli, že prosadíme nové kořenové certifikáty a plán 'escrow', ale jak výše řečeno, tento plán nebyl včas dokončen, takže jsme museli nasadit aspoň obnovu zprostředkujícího certifikátu třídy 3. Proces jeho uvolnění lze sledovat jako závěrečnou zkoušku projektu "Nové kořeny & Escrow". . Mimochodem: Kořenové certifikáty podepsané MD5 nejsou zatím ovlivněny oznámením Mozilly s termínem do konce června 2011. Jsou ovlivněny pouze zprostředkující certifikáty podepsané MD5. . Proto jsme se tedy rozhodli provést nejdříve obnovu zprostředkujících certifikátů a dokončit ji před uvedeným termínem. == Dotaz: Nový zprostředkující certifikát třídy 3 nefunguje, ale starý zprostředkující certifikát třídy 3 ano? == . Odpověď: Možná máte v provozu nějaký exotický software, který nepodporuje SHA-256? . Zkontrolujte seznam [[HashInterop/CZ|Kompatibilita algoritmu haš]] (Hash algorithm interoperability). == Dotaz: Proč může být kořenový certifikát CAcert třídy 1 stále podepsán algoritmem MD5? == Odstoupení od MD5 a jeho náhrada SHA256 má reálný vliv od kořenového zprostředkujícího certifikátu třídy 3 níže (na všechny certifikáty tímto zprostředkujícím podepsané s použitím algoritmu SHA). Vynikající vysvětlení podává Benny Baumann - BenBE: . U kořenového certifikátu (někdy zvaného "Kotva důvěry" [Trust Anchor]) nespočívá důvěra v tom, že je podepsán sám sebou (zde u CAcert algoritmem MD5), ale důvěřujete přímo klíči, jeho hodnotě uvedené v části certifikátu "veřejný klíč". Proto nezáleží na tom, zda je kořenový certifikát (třídy 1) podepsán s použitím algoritmu CRC32, MD5, SHA256 nebo Keccak: nemáte-li správný veřejný klíč CA, nebudete chráněni ani certifikátem podepsaným pomocí SHA512 nebo lepším. . Máte-li jistotu, že je veřejný klíč v kořenovém certifikátu správný, pak jste chráněni. [Správnost lze zjistit porovnáním publikovaného kryptografického otisku ("otisku prstu") s otiskem uvedeným v podrobnostech certifikátu.] . S ohledem na bezpečnost musíte rozlišovat mezi kořenovým (třídy 1) a zprostředkujícím (třídy 3) certifikátem: u kořenového certifikátu nezáleží na tom, jakým algoritmem je podepsán; síla hašovacího algoritmu se stává důležitou až u zprostředkujících certifikátů. Použití algoritmu MD5 není u zprostředkujících certifikátů bezpečné. == Dotaz: Všiml jsem si, že CAcert od 20190409 uveřejnil nové kořenové certifikáty třídy 1 a 3, podepsané SHA256, s pořadovými čísly 00000F (tř.1) a 00000E (tř. 3). Jak se to projeví při používání mých certifikátů vydaných dříve? == Nejjistější způsob, jak se vyhnout potížím, je náhrada starých kořenových certifikátů novými, tj.: 1. instalace obou nových kořenových certifikátů ([[HowTo/ReplaceCAcertRootCertificate/CZ|popis zde]]), 1. výmaz starých kořenových certifikátů a 1. generování nových vlastních certifikátů nebo obnova stávajících (zde je potřebné mít privátní klíče resp. zálohy certifikátů ve tvaru .p12 nebo .pfx); [[HowTo/CZ|odkazy na postupy najdete na této stránce]]. == Dotaz: Platnost zprostředkujícího certifikátu třídy 3 skončila 20. května 2021. Co musím udělat? == Neprodleně nahraďte prošlý zprostředkující certifikát s pořadovým číslem 00000E obnoveným certifikátem s platností na dalších 10 let a pořadovým číslem 14E228. Certifikát a odvozené balíčky najdete zde: [[FAQ/NewRoots|nové certifikáty, chain, bundle, verze pro Android]]. Postupujte podle návodu: [[HowTo/ReplaceCAcertRootCertificate|postup náhrady]]. == Přidejte svůj dotaz... == * Svůj dotaz přidejte sem ---- . CategoryAudit . CategoryNewRootsTaskForce