» Poradna » Web a internet

Certifikat

 |   |  Microsoft Windows 10 Firefox 65.0

Ahoj, můžete mi někdo říct, jestli si může někdo vystavit certifikát na email, který už vlastní někdo jiný? Pro příklad:Jan Novák si zařídí certifikát a uvedene adresu jan.novak@seznam.cz , kterou ale nemá zřízenou (záměrně nebo náhodou). Cert.autorita mu certifikát vydá. Přitom jiný jan.novak@seznam si bude chtít certifikát zřídit později. Vydá mu ho cert.autorita, když už byl jednou certifikát na uvedený email vystaven? Je mi jasné, že mi od 1 Nováka email přijít nemůže, ale jen mě zajímá to vystavení dvou certifikátů na 2 stejné emaily.Díky

Odpovědi na otázku

avatar
 | Linux Firefox 60.0

Muzes si vystavit certifikat na jakoukoli adresu. Kvalifikovany certifikat nebo obecne podepsany certifikactni autoritou je jina zalezitost. Tam CA (certifikacni autorita) musi overit, ze zadatel je majitelem/provozovatelem dane adresy.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 65.0

Díky za odpověď. A jakým způsobem to CA ověří? Pošle na uvedenou adresu nějaký email?

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Chrome 71.0.3578.98

Tyto informace jsou vždy uvedeny ve FAQ. Stačí nastudovat

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | Microsoft Windows 10 Chrome 72.0.3626.71

Pokud bereš naše tuzemské certifikační autority, tak naklušeš s občankou fyzicky k autoritě a tam tě ověří.pokud tu e-mailovou adresu nemá, tak je mu certifikát k ničemu a zřejmě jej ani nebude mít, protože autorita mu jej pošle mailem k vyzvednutí na adresu, která neexistuje

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 71.0

To neni tak docela pravda. Kdyz si vygenerujes treba online zadost u PostSignum, tak vygenerovanej soubor das na flashku, zajdes na pobocku posty a tam ti certifikat muzou vygenerovat a ulozit na flash. Nic mailem posilat nemusi.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | Microsoft Windows 10 Chrome 72.0.3626.71

To nic nemění na tom, že platnost certifikátu je rok a pokud nemáš mail, který bys podepisoval, tak je ti ten certifikát k ničemu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 72.0.3626.76

Certifikát ale hlavně deklaruje/ověřuje identitu tedy uzivatele(např. Přístup do IS)Nebo neměnnost/ pravost dokumentů, zrovna to šifrování emailu se podle mého moc nepouziva

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Unknown AppleMAC-Safari 5.0

Ve velkych firmach se sifrovani mailu pomoco S/MIME pouziva celkem casto. To jen pro info.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 72.0.3626.76

Ano ale tam se vydává certifikát pro zaměstnance pro firemní domenu

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | Microsoft Windows 10 Chrome 72.0.3626.71

Nejde o šifrování mailu, ale o ověření, že mail odeslala konkrétní osoba a že se mezi odesláním a doručením nezměnil.Pro přihlašování se nepoužívají certifikáty typu "pečeť", ale komerční certifikáty. Dříve šel kvalifikovaný certifikát použít i jako certifikát pro přihlašování, ale pokud je certifikát na kvalifikovaném prostředku, už pro přihlašování použít nejde.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 72.0.3626.76

Eu nám to zatrhla,Každopádně jsem se zatím nedozvěděl jak u fyzických žadatelů ověřuje CA vztah žadatelů k emailu uvedeným v žádosti

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | Microsoft Windows 10 Chrome 72.0.3626.71

Vztah žadatele k e-mailu se neověřuje. Pokud e-mail nevlastníš, těžko jej potom použiješ na podepsání odeslaného mailu. CA ověřuje totožnost žadatele a ta je pak uvedena v podpisu.K čemu je ti email prezident@usa.org, když v certifikátu bude uvedeno Pepa Novák?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 IE 11.0

To ano, ale původní dotaz byl taky, jestli vydá certifikační autorita druhý certifikát na stejný email, když už jeden vystavila na jiného uživatele. Pokud vydá, tak je vše OK, ale pokud ne, tak by se lehce mohlo stát, že někdo jiný zablokuje vydání certifikátu někomu jinému.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Unknown AppleMAC-Safari 5.0

Platnmost certifikatu *byva* jeden rok. Nic nebrani tomu to nastavit jinak, obcas to mohou byt dva, tri, nebo pre let.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | Microsoft Windows 10 Chrome 72.0.3626.71

U našich certifikačních autorit?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

Certifikát se vydává na doménu, ne na email. Emaill můžete mít na dané doméně kolik chcete.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Linux Firefox 60.0

Promin, ale tohle je nesmysl.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Unknown Firefox 65.0

Nesmysl to neni, ale oba pisite o uplne jinych certifikatech

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 64.0

Tady je chytráků bez argumentů...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Unknown Firefox 65.0

Tak je ro chyba tazatele, ze to nespecifikoval. Certifikatu je cela rada a kazdy je na neco jineho a jinak se overuje a jinak se pouziva - SSL/TLS, podpisovy, codesigning, SSH, ...

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Linux Firefox 60.0

"můžete mi někdo říct, jestli si může někdo vystavit certifikát na email, který už vlastní někdo jiný?"

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Linux Chrome 69.0.3497.81

Ale ouha. Tady někdo neudělal domácí úkol a nepřečetl si ani základní informace, což vede k takovýmto komentářům ve stylu Dunning-Kruger. Certifikáty se můžou vázat k E-mailu nebo jiným osobním údajům, které podepisují. Jak by se asi jinak šifrovaly a podepisovaly maily, nebýt osobních certifikátů? Samozřejmě můžou certifikáty místo E-mailu obsahovat třeba MAC adresu, což se hodí v sítích s EAP-TLS a podobně. Nebo může taky certifikát obsahovat jako "osobní" údaj doménové jméno a sloužit pro autentifikaci serveru (třeba http, smtp, imap). Leč zrovna u toho mailu je samozřejmě certifikát serveru (pro TLS) a osobní certifikáty, kterými jednotliví uživatelé šifrují a podepisují své maily (S/MIME), zcela ortogonální záležitost, jakkoliv jsou základní principy podobné. Každý X509 certifikát má v sobě jako jeden z podepsaných údajů taky bitmapu, která určuje, k čemu se smí použít. Například zda může představovat server s doménovým jménem, zda se smí používat pro Jabber a jiné služby, zda může být použitý jako WiFi AP nebo WiFi klient (u EAP-TLS), zda se smí používat jako osobní certifikát uživatele, zda se jím smí podepisovat a šifrovat (kde poslední jmenovaný bit bývá u trapných českých "kvalifikovaných" autorit zakázaný) a tak dále a tak podobně.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 IE 11.0

Ještě možná bylo dobré doplnit, že se jedná o podpisový certifikát, ne serverový.B.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 8.1 IE 11.0

Tak tohle dotaz mě opravdu zaujal - řešil jsem pouze zamestnanecké certifikáty, kde se podepisuje formulař s podpisem opravněné osoby za firmu (jednatel - trestní odpovědnost případě podvodu apod).Ale protože u kvalifikovanyho certifikatu je moznosti, že se certifikat vydava pro fyzickou osobu(jan novak), tak položka emailu je nepovinna(volitelna/podvrhutelna), na druhou stranu veškera komunikace s CA probíhá prostřednictvím emailu uvedeného v certifikatu(aspoň u I.CA). Tak mi vychází, že nejaké falšování emailu nepřinese žádné benefity. Proč bych to dělal ?Nemluvim o SSL certifikátech pro domenu na ochranu služeb HTTPS tak skutecne dochazi k overovani vlastnika

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 64.0

Funguje to úplně stejně jako jakýkoli jiný certifikát. Zaručuje to autentizaci, u emailu tedy to, že ten, kdo zprávu poslal, je certifikační autoritou ověřený majitel emailové adresy.Můžete si ho vygenerovat sám i bez jakékoli autority (self-signed), kdy pak musí druhá strana najít jinou cestu, proč mu důvěřovat, např. to, že jí svou veřejnou část předáte jinou formou. Nebo se dají získat důvěryhodné emailové certifikáty zdarma, tam to funguje tak, že vám pošlou ověřovací email, a vy pak někam opíšete kód.U seriozních ověření se pak řeší skeny dokladů, fotky, nebo se rovnou můžete někam dostavit, kde si udělají otisk vašeho šulína a budou vás kontrolovat podle toho. Záleží na "kvalitě" certifikátu a požadavcích certifikační autority.

Souhlasím  |  Nesouhlasím  |  Odpovědět

Související témata: Certifikát, Cert, Vystavení




Určitě si přečtěte