#language cs ## 20191201 AK ---- '''česky''' | [[Roots/Contents|english]] ---- = Obsah kořenových certifikátů = . Porovnání obsahu kořenových certifikátů vygenerovaných roku 2003, 2008 a 2014 (tbd - bude doplňováno). . Odkazy: rozvíjející se debata o všech otázkách: [[Roots/ContentsDiscussion|Debata o obsahu]]; hierarchie všech kořenových certifikátů: [[Roots/Structure/CZ|Struktura]]. == Rozložení == === Technické rozložení === ||''Pole''||''2003'' ||''2008'' ||''tbd'' ||''komentář'' || ||Verze ||||||verze 3 ||Požadováno, bez problémů || ||'''serialNumber''' ||0,1 ||2,3,4 (,5,6) || ||V prostoru DN [internetové domény] musí být jedinečné (poněkud nedefinované, pravděpodobně CN) jako sKID [subjectKeyIDentifier] || ||'''subjectKeyIdentifier''' ||||||"hash" == ''sha1 (vlastní veřejný klíč)'' ||Nekritické rozšíření, povinné. Formát a obsah viz [[http://www.apps.ietf.org/rfc/rfc5280.html#sec-4.2.1.2|RFC 5280]]. || ||'''authorityKeyIdentifier''' ||||||"hash" == ''sha1 ('''podpisový''' veřejný klíč), nebo sKID [subjectKeyIDentifier] podpisového klíče.'' ||Nekritické rozšíření, povinné. Formát a obsah viz [[http://www.apps.ietf.org/rfc/rfc5280.html#sec-4.2.1.2|RFC 5280]]. || ||Platnost || 2033 || 2038 || 2034 || Redukovaná platnost z 30 na 20 let k zajištění kryptografického "zdraví" || ||||||||''Kryptografické algoritmy'' || || ||Typ PK ||MD5 s šifrováním RSA (1.2.840.113549.1.1.4) ||SHA-1 s šifrováním RSA (1.2.840.113549.1.1.5) ||SHA-512 s šifrováním RSA (1.2.840.113549.1.1.13) ||Nyní vydávané kořenové certifikáty, které vyprší roku 2040, používají SHA-1 + RSA. Podpora SHA-2 ve Windows: přehled [[http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx|zde]] || ||Velikost ||4096 bitů ||4096 bitů ||4096 bitů ||vydrží 30 let, viz [[http://www.keylength.com/en/|BlueKrypt]] || ||Formát ||||||PKCS1 ||standardní || ||Haš ||MD5 ||SHA1 ||SHA-512|||| ||'''basicConstraints'''||||||Kritické ||'''Kritické''' rozšíření Basic Constraints. || ||'''cA'''||||||true ||Toto je certifikační autorita || ||'''pathLen'''|||| ||3 ||Max. délka řetězu mezi kořenem a listem (nepovinné pole) || ||'''keyUsage''' ||||||Pouze ''keyCertSign'' a ''cRLSign'' ||'''Kritické''' rozšíření povinné pro kořenové cert. Nastavit bity 5, 6 na 1. EV-G-AppB konkurs. || . [[https://www.cacert.org/policy/CertificationPracticeStatement.php#p6.3.2|CPS6.3.2]] určuje 30 let pro kořenové certifikáty (ten z roku 2008 chybou Y2038 měl 29.5 roku) a 10 let pro zprostředkující (sub-root) certifikáty. . [[https://cabforum.org/baseline-requirements-certificate-contents/|CAB Baseline Requirements for Certificates]] (základní požadavky na certifikáty) === Pracovní rozložení === ||''Pole'' ||''Název'' ||''2003'' ||''2008'' ||''tbd'' ||''komentáře'' || ||'''O''' ||Organizace ||Root CA ||||CAcert.org - Community Certification Authority ||''standardní rozložení, viz níže'' || ||'''OU''' ||Organizační jednotka (Organisational Unit) ||http://www.cacert.org/ ||Povolení [[USE/CZ|POUŽÍT]] || cacert.org || || ||'''CN''' ||Běžný název (Common Name) ||CA Cert Signing Authority ||CAcert.org || CAcert Root || || ||||''Rozšíření'' ||||||(označte, co je kritické) || || ||||Zásady certifikátu||http://www.cacert.org/index.php?id=10 ||Povolení [[USE/CZ|POUŽÍT]] || ||"preferované" pole pro zásady; "použití" dokumentu je první a nejdůležitější. Není kritické. || ||||Předmět: serialNumber [pořadové číslo] (OID [identifikátor objektu, Object ID]: 2.5.4.5) || žádné || žádné || žádné || (Registrační číslo sdružení) INC9880170 pro uzly pod kořeny. Není kritické. || === Pořadová čísla === Pořadová čísla certifikátů vydaných pod kořenovým certifikátem třídy 1 z roku 2003 začínají 10 (hex). Pořadová čísla v rozsahu 0 - F lze považovat za "reservovaná" a byla jim přidělena čísla: || 0 || Kořenový certifikát třídy 1 s podpisem MD5 || || 1 || Kořenový certifikát třídy 3 (zprostředkující) s podpisem MD5 (starý) || || E || Class 3 Root with SHA256 signature with hash-only Authority Key Identifier (tbd) || || F || Class 1 Root with SHA256 signature with hash-only Authority Key Identifier (tbd) || Existující kořenový certifikát třídy 3 (zprostředkující) s podpisem SHA256 (znovu podepsaný roku 2011) má pořadové číslo ve vyšším (nereservovaném) rozsahu (0A:41:8A). Pořadová čísla certifikátů vydaných pod kořenovým certifikátem třídy 3 z roku 2003 začínají 02 (hex). Pořadová čísla 0 a 1 lze považovat za "reservovaná" a nemají žádné zvláštní přidělení. ---- .[[CategoryNRE]] .CategoryAudit .CategoryNewRootsTaskForce