Úvod

Tato stránka popisuje novou strukturu a hierarchii sady nových kořenových certifikátů. Je částí skupiny stránek Komando pro kořenové certifikáty, viz tam pro získání přehledu. Podrobné informace o každém kořenovém certifikátu najdete v obsahu kořenových certifikátů.

Jestliže se tak rozhodneme, bude proces přenesen do Přehledu postupu certifikace (CPS) (KONCEPT) a Příručky zabezpečení (KONCEPT).

Struktura kořenových certifikátů

Struktura

Struktura nových kořenových certifikátů je hierarchický model:

Přídavné uzly pro zvláštní účely (například podepisování kódu) mohou být připojeny později, pokud budou odpovídat auditovaným zásadám a praktikám.

Typy uzlů pod kořenovými certifikáty

Tyto uzly jsou pojmenovány:

Možnosti do budoucna

Distribuce

Podle koncepce můžeme zvolit jednu ze dvou strategií:

#

co přijde do kořenového seznamu

co musí dodat podílník například do Apache

1

kořenové a pod-kořenové uzly

certifikát serveru

2

pouze kořenové

certifikát serveru plus pod-kořenový (zprostředkující)

Mozilla a Microsoft obecně volí druhou koncepci; oba budou v budoucnu distribuovat pouze nejvyšší úroveň kořenových certifikátů (budoucí zásada).

Pro a proti

"Pro" ve variantě 1 ("proti" ve variantě 2):

"Pro" ve variantě 2 ("proti" ve variantě 1):

Otázka vícenásobných kořenů: Proč není pro CAcert snazší být zařazen výrobci prohlížečů, když lze zaručit, aby skutečné zásady tvorby certifikátů byly stabilní. Mluvíte o budoucích nových certifikátech pod jedním společným kořenem. Na jedné straně je to dobré, protože můžeme později přidat služby, ale na druhé straně je to špatné, neboť nám výrobce může těžko důvěřovat. Pomohlo by používat více kořenů. Má to také jiné výhody: uživatelé zvolí třídu 1 a/nebo třídu 3 a nemusí importovat pod-kořenové (zprostředkující) certifikáty. Odvolání certifikátu neovlivní celé řetězce. -- BerndEckenfels

Otázka podepisování CRL: Dá se vyhnout použití kořenového certifikátu pro podpis CRL? Privátní klíč kořenového certifikátu by neměl být použit v každodenní práci. (Je vhodné přidat schopnost vydat odvolání, ale není dobré ho použít pro běžné znovupodepsání.) Myslím si, že je možné určit nepřímého vydavatele CRL, ale také si myslím, že by nebyl dobře podpořen hlavními/velkými implementacemi? -- BerndEckenfels

Terminologie

Používají se tyto termíny:

Používání různých termínů je velmi zavádějící a termíny nejsou dosud fixovány. Poznámky:

Termíny Mozilly viz Glosář CA Mozilly.