Čeká Evropu nejistota, které certifikáty jsou skutečně důvěryhodné?

Martin Noska | 04.09.2012 | Aktuality, Bezpečnost, Internet a služby | 1 komentář

Před prázdninami Evropská komise představila nový návrh legislativy, která je zaměřená na oblast elektronické identifikace, autentizace a na elektronické transakce. Jiří Průša na blogu sdružení CZ.NIC rozebral některé hlavní novinky, jež tento návrh přináší. Ty totiž mohou v důsledku způsobit chaos v důvěryhodnosti cerfifikátů pro některé webové stránky a služby.

I když je hlavním cílem návrhu snaha o sjednocení pravidel pro elektronický podpis a novelizace směrnice č. 1999/93/ES o zásadách pro elektronické podpisy, zdá se, že předkladatelé jdou mnohem dále. Postihují totiž nejen certifikáty pro elektronický podpis, ale také certifikáty, které jsou využívány pro zajištění důvěryhodnosti webových stránek a zabezpečení komunikace s nimi, například od VeriSignu.

Nová směrnice rovněž upravuje činnost certifikačních autorit. Ty rozděluje do dvou na první pohled podobných úrovní – poskytovatele důvěryhodných služeb a kvalifikované poskytovatele důvěryhodných služeb.

Rozdíl je však značný. Zatímco na ty první nejsou kladeny žádné požadavky, podobně jako dnes na vydavatele tzv. komerčních certifikátů, činnost těch druhých naopak lze připodobnit k současným akreditovaným poskytovatelům certifikačních služeb typu První certifikační autorita (ICA) či PostSignum. Činnost těchto poskytovatelů je však oproti současné praxi vymezena šířeji a nově rozšiřuje oblast regulace nejen na vytváření, ověřování, potvrzování, zpracovávání a uchovávání elektronických podpisů, elektronických značek, elektronických časových razítek, ale rovněž na elektronické dokumenty, elektronické doručování a ověřování webových stránek.

Evropská komise se tak snaží vstoupit do oblasti, kde působí například americký VeriSign. Po nápadu na zřízení evropské ratingové agentury je zde také snaha o zřízení evropských certifikačních autorit, které by vytvořily protiváhu americkým konkurentům. Jejich certifikáty by pak mohly být v rámci EU přijímány pouze v okamžiku uzavření mezinárodní dohod.

Návrh komise zároveň opomíjí současnou zavedenou praxi, kdy zajištění důvěryhodnosti dané webové stránky, respektive certifikátu, není otázkou legislativy, ale zejména otázkou, jak dostat svůj certifikát do prohlížeče tak, aby se daná stránka nezobrazovala jako nedůvěryhodná. V této souvislosti lze zmínit třeba americký certifikát GeoTrust, jenž nahradil certifikát PostSignum používaný informačním systémem datových schránek (ISDS).

Vzhledem k tomu, že návrh se akceptování certifikátů vůbec nevěnuje, nelze vyloučit, že bychom se mohli v budoucnu setkávat s tím, že zejména vládní servery by nám nabízely „důvěryhodné certifikáty“, které by se však v prohlížeči regulérně zobrazovaly jako nedůvěryhodné, zatímco ty důvěryhodné ze druhé břehu Atlantiku by zase neodpovídaly požadavkům evropské legislativy, uzavírá svůj komentář Jiří Průša.

1 komentář u článku “Čeká Evropu nejistota, které certifikáty jsou skutečně důvěryhodné?”

  1. dieta napsal:

    Stejně jako v případě směrnice 99/93/ES je právním základem pro tento legislativní návrh článek 114 Smlouvy o fungování Evropské unie týkajícího se vnitřního trhu, protože jeho cílem je odstranit stávající překážky pro fungování vnitřního trhu podporou vzájemného uznávání a přijetí elektronických průkazů totožnosti, autentizace, podpisů a pomocných důvěryhodných služeb v přeshraničních situacích, je-li to zapotřebí pro elektronické transakce.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


+ čtyři = pět

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz