česky | english
Glosář termínů souvisejících s ověřením (validation), odvozen z glosáře Mozilly
Ověření v souvislostech
Nástin souvislostí:
Třída (stará) |
|
Jednotlivec |
Organizace |
Kontrola |
III |
|
? |
EV |
"Rozšířená" |
II |
|
IV |
OV |
Základní totožnosti |
I |
|
AV |
DV |
Jednoduchá |
Účel |
|
S/Mime, přihlášení/oprávnění |
HTTPS, podepisování kódu |
|
Poznámky:
- Pravděpodobně není spolehlivé vyžadovat příliš zřejmou těsnost (závislost?) v jakémkoli vztahu popsaném výše.
- Horizontální vztah mezi třídami 1,2,3 a koncepcí DV/OV/EV není dokumentován, je pouze oznamovací.
Rozdělení odráží mnoho vlivů komerčních sil, historie a strukturálních přenastavení (srovnej: 5 sil) různých hráčů na dodavatelské straně.
- Nemusí tedy pro ně být žádoucí otevřená, svobodná komunitní certifikační autorita, jako je CAcert, který se soustřeďuje spíše na stranu požadavků.
Glosář
AV (address validation). Ověření adresy. Pouze ověření, že jednotlivec ovládá e-mailovou adresu e-mailového účtu. Určeno pro certifikáty vydávané jednotlivcům (předpoklad) pro použití v S/MIME e-mailech.
Například majitelka adresy "janamala@seznam.com" může obdržet AV certifikát pro tuto adresu, když dokáže CA, že vlastní nebo ovládá uvedenou e-mailovou adresu. Typicky toho dosáhne odpovědí na e-mailovou zprávu odeslanou na její adresu.
- Takové certifikáty mohou být charakterizovány jako adresně ověřené čili AV. Přitom "AV" není běžný průmyslový termín, ale je nově ražený Mozillou jako analogie k široce rozšířeným termínům "DV", "IV", atd. Někdo používá termín "DV" vágně tak, že pokrývá i tento případ, ale patrně si zaslouží vlastní termín.
Formálněji může Mozilla definovat: AV certifikáty jako certifikáty obsahující e-mailovou adresu jako atribut nebo rozšiřující alternativní název předmětu (Subject Alternative Name, SAN) s hodnotou (hodnotami) zjevně korespondujícími s e-mailovou adresou podle RFC 822, pro kterou CA prohlašuje (například v CPS), že má jistým způsobem ověřeno, že uvedená adresa patří a/nebo je oprávněně ovládána certifikátu, a pro kterou CA nedává žádná prohlášení co do platnosti totožnosti jakéhokoli jednotlivce uložené v atributu Běžný název (Common Name) certifikátu.
DV (domain validation). Ověření domény. Ověření, že vlastníte/ovládáte doménu. Určeno pro certifikáty pro weby s přístupem zabezpečeným SSL/TLS.
- Například vlastník domény "example.com" může obdržet certifikát DV SSL pro "www.example.com", když se prokáže u CA, že vlastní nebo ovládá tuto doménu, například tak, že odpoví z jedné z e-mailových adres, na které je mu poslána testovací zpráva. Je to například administrativní nebo technický kontakt uvedený v databázi WHOIS pro tuto doménu.
- Takové certifikáty jsou neformálně označovány jako doménově ověřené čili DV certifikáty.
Formálněji může Mozilla definovat: Certifikáty DV obsahují atribut Běžný název (Common Name, CN) nebo rozšíření Subject Alternative Name (SAN) s hodnotou (hodnotami) zjevně korespondujícími s jednou nebo více internetovými doménami, pro které CA prohlašuje (například v CPS), že určitým způsobem ověřil, že tyto domény vlastní a/nebo oprávněně ovládá držitel certifikátu, a pro které CA nevydává žádná prohlášení ohledně platnosti jakékoli organizační identity uložené v atributu Organizace v certifikátu.
EV (extended validation). Rozšířené ověření. Certifikáty EV jsou takové, které jsou ověřovány podle pravidel uložených v "EV SSL Certificate Guidelines" (Pravidla certifikátů EV SSL), publikovaných sdružením CA/Browser Forum.
- Certifikáty EV lze pokládat za zvláštní podmnožinu certifikátů OV; ale v praxi CA/Browser Forum odlišuje EV a OV tak, že OV implikuje ne-EV [OV nemůže být zároveň EV].
IV (individual validation or identity validation). Ověření jednotlivce, čili jeho totožnosti. určeno pro podporu vydávání e-mailu, identifikaci klienta SSL/TLS a jiná použití pro jednotlivce (ne pro organizace).
- Obecně se nazývají certifikáty IV. Někteří lidé však užívají "IV" jako synonymum pro "OV", když mluví o certifikátech vydávaných organizacím. Je ovšem vhodnější a jasnější používat "IV" jen pro certifikáty vydávané jednotlivcům.
Certifikát IV může také obsahovat e-mailovou adresu přidanou k údajům o totožnosti jednotlivce. Zásady Mozilly vyžadují, aby e-mailová adresa byla ověřena na stejné nebo vyšší úrovni jako AV certifikát. To vyvolává otázku, zda je mezi AV a IV skutečně rozdíl v normách, nebo se má jen kontrolovat něco jiného[při AV a něco jiného při IV].
Formálněji může Mozilla definovat: Certifikáty IV obsahují atribut Common Name (CN) s hodnotou zjevně korespondující se skutečným jménem jednotlivce, pro které CA prohlašuje (například v CPS), že má určitým způsobem ověřeno, že tato hodnota odpovídá totožnosti jednotlivce - držitele certifikátu.
OV (organization validation). Ověření organizace. Slouží k podpoře a poskytování informací pro certifikáty vydané organizacím (korporacím, vládním agenturám, nevládním organizacím, atd.) pro weby používající SSL/TLS, podepisování kódu a další použití.
-
- Takové certifikáty se neformálně nazývají OV certifikáty. CAcert aplikuje tento obecný proces i na certifikáty vydané jednotlivcům v organizacích, stejně jako v předchozím případě.
- Zásady Mozilly mohou vyžadovat jako normu ověření, aby žadatel musel dodat nějaký druh důkazu, že je oprávněn jednat za organizaci ve věci získání certifikátu.
Certifikáty OV mohou také obsahovat jeden nebo více doménových názvů. Zásady Mozilly vyžadují, aby byly tyto doménové názvy ověřeny na stejné (nebo vyšší) úrovni než je DV certifikát. Tytéž poznámky jako u normy výše.
- Certifikáty EV jsou zvláštní podmnožinou certifikátů OV, které CA ověřuje podle písemné normy podle směrnic "EV Guidelines". V praxi se však prohlížeče i CA/Browser Forum pokouší rozlišovat mezi certifikáty OV a EV, považovat je za odlišné a rozlišovat jejich typy. Pro ně "OV" implikuje "ne-EV" [OV nemůže být zároveň EV].
Formálněji může Mozilla definovat: Certifikáty OV obsahující atribut Organization (O) s hodnotou zjevně odpovídající skutečné entitě organizace (tj. v protikladu k hodnotě jako "Not validated" [neověřeno]), pro kterou CA prohlašuje (například v CPS), že má určitým způsobem ověřeno, že tato hodnota odpovídá totožnosti organizace, která je držitelem certifikátu.