#language cs
## 20191201 AK
----
 '''česky''' | [[Roots/Contents|english]]
----
= Obsah kořenových certifikátů =
 . Porovnání obsahu kořenových certifikátů vygenerovaných roku 2003, 2008 a 2014 (tbd - bude doplňováno).
 . Odkazy: rozvíjející se debata o všech otázkách: [[Roots/ContentsDiscussion|Debata o obsahu]]; hierarchie všech kořenových certifikátů: [[Roots/Structure/CZ|Struktura]].

== Rozložení ==
=== Technické rozložení ===
||<style="text-align: center;">''Pole''||''2003'' ||''2008'' ||''tbd'' ||''komentář'' ||
||<style="text-align: center;">Verze ||||||<style="text-align: center;">verze 3 ||Požadováno, bez problémů ||
||<style="text-align: center;">'''serialNumber''' ||0,1 ||2,3,4 (,5,6) || ||V prostoru DN [internetové domény] musí být jedinečné (poněkud nedefinované, pravděpodobně CN) jako sKID [subjectKeyIDentifier] ||
||<style="text-align: center;">'''subjectKeyIdentifier''' ||||||<style="text-align: center;">"hash" == ''sha1 (vlastní veřejný klíč)'' ||Nekritické rozšíření, povinné. Formát a obsah viz [[http://www.apps.ietf.org/rfc/rfc5280.html#sec-4.2.1.2|RFC 5280]]. ||
||<style="text-align: center;">'''authorityKeyIdentifier''' ||||||<style="text-align: center;">"hash" == ''sha1 ('''podpisový''' veřejný klíč), nebo sKID [subjectKeyIDentifier] podpisového klíče.'' ||Nekritické rozšíření, povinné. Formát a obsah viz [[http://www.apps.ietf.org/rfc/rfc5280.html#sec-4.2.1.2|RFC 5280]]. ||
||<style="text-align: center;">Platnost || 2033 || 2038 || 2034 || Redukovaná platnost z 30 na 20 let k zajištění kryptografického "zdraví" ||
||||||||<style="text-align: center;">''Kryptografické algoritmy'' || ||
||<style="text-align: center;">Typ PK ||MD5 s šifrováním RSA (1.2.840.113549.1.1.4) ||SHA-1 s šifrováním RSA (1.2.840.113549.1.1.5) ||SHA-512 s šifrováním RSA (1.2.840.113549.1.1.13) ||Nyní vydávané kořenové certifikáty, které vyprší roku 2040, používají SHA-1 + RSA. Podpora SHA-2 ve Windows: přehled [[http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx|zde]] ||
||<style="text-align: center;">Velikost ||4096 bitů ||4096 bitů ||4096 bitů ||vydrží 30 let, viz [[http://www.keylength.com/en/|BlueKrypt]] ||
||<style="text-align: center;">Formát ||||||<style="text-align: center;">PKCS1 ||standardní ||
||<style="text-align: center;">Haš ||MD5 ||SHA1 ||SHA-512||||
||<style="text-align: center;">'''basicConstraints'''||||||<style="text-align: center;">Kritické ||'''Kritické''' rozšíření Basic Constraints. ||
||<style="text-align: center;">'''cA'''||||||<style="text-align: center;">true ||Toto je certifikační autorita ||
||<style="text-align: center;">'''pathLen'''|||| ||<style="text-align: center;">3 ||Max. délka řetězu mezi kořenem a listem (nepovinné pole) ||
||<style="text-align: center;">'''keyUsage''' ||||||<style="text-align: center;">Pouze ''keyCertSign'' a ''cRLSign'' ||'''Kritické''' rozšíření povinné pro kořenové cert. Nastavit bity 5, 6 na 1. EV-G-AppB konkurs. ||

 . [[https://www.cacert.org/policy/CertificationPracticeStatement.php#p6.3.2|CPS6.3.2]] určuje 30 let pro kořenové certifikáty (ten z roku 2008 chybou Y2038 měl 29.5 roku) a 10 let pro zprostředkující (sub-root) certifikáty.
 . [[https://cabforum.org/baseline-requirements-certificate-contents/|CAB Baseline Requirements for Certificates]] (základní požadavky na certifikáty)

=== Pracovní rozložení ===
||''Pole'' ||''Název'' ||''2003'' ||''2008'' ||''tbd'' ||''komentáře'' ||
||'''O''' ||Organizace ||Root CA ||||<style="text-align: center;">CAcert.org - Community Certification Authority ||''standardní rozložení, viz níže'' ||
||'''OU''' ||Organizační jednotka (Organisational Unit) ||http://www.cacert.org/ ||Povolení [[USE/CZ|POUŽÍT]] || cacert.org || ||
||'''CN''' ||Běžný název (Common Name) ||CA Cert Signing Authority ||CAcert.org || CAcert Root || ||
||||<style="text-align: center;">''Rozšíření'' ||||||<style="text-align: center;">(označte, co je kritické) || ||
||||<style="text-align: center;">Zásady certifikátu||http://www.cacert.org/index.php?id=10 ||Povolení [[USE/CZ|POUŽÍT]] || ||"preferované" pole pro zásady; "použití" dokumentu je první a nejdůležitější. Není kritické. ||
||||<style="text-align: center;">Předmět: serialNumber [pořadové číslo] (OID [identifikátor objektu, Object ID]: 2.5.4.5) || žádné || žádné || žádné || (Registrační číslo sdružení) INC9880170 pro uzly pod kořeny. Není kritické. ||

=== Pořadová čísla ===
Pořadová čísla certifikátů vydaných pod kořenovým certifikátem třídy 1 z roku 2003 začínají 10 (hex). Pořadová čísla v rozsahu 0 - F lze považovat za "reservovaná" a byla jim přidělena čísla:
|| 0 || Kořenový certifikát třídy 1 s podpisem MD5 ||
|| 1 || Kořenový certifikát třídy 3 (zprostředkující) s podpisem MD5 (starý) ||
|| E || Class 3 Root with SHA256 signature with hash-only Authority Key Identifier (tbd) ||
|| F || Class 1 Root with SHA256 signature with hash-only Authority Key Identifier (tbd) ||
Existující kořenový certifikát třídy 3 (zprostředkující) s podpisem SHA256 (znovu podepsaný roku 2011) má pořadové číslo ve vyšším (nereservovaném) rozsahu (0A:41:8A).

Pořadová čísla certifikátů vydaných pod kořenovým certifikátem třídy 3 z roku 2003 začínají 02 (hex). Pořadová čísla 0 a 1 lze považovat za "reservovaná" a nemají žádné zvláštní přidělení.

----

 .[[CategoryNRE]]
 .CategoryAudit
 .CategoryNewRootsTaskForce