Poniżej prezentujemy zbiór najróżniejszych informacji praktycznych związanych z korzystaniem z podpisu elektronicznego w Polsce i Europie - adresy URL serwerów LDAP, list CRL, certyfikatów "root" itd. Informacje pochodzą ze stron centrów certyfikacji i mają na celu wyłącznie skoncentrowanie ich w jednym miejscu dla wygody np. osób piszących aplikacje.
Katalogi LDAP
Katalogi LDAP pozwalają na pobieranie certyfikatów wystawionych przez dane centrum certyfikacji. W praktyce jest to użyteczne np. dla aplikacji umiejących pobierać informacje z LDAP - na przykład programów pocztowych. Większość centrów nie umożliwia prostego przeglądania katalogu np. tylko po nazwisku, by nie stały się one źródłem informacji dla spammerów.
| Centrum certyfikacji | Kwalifikowany LDAP | Inne LDAP |
| KIR |
? |
? |
| Sigillum |
ldap://193.178.164.4 |
ldap://193.178.164.16 |
| Certum |
ldap://ldap.certyfikat.pl |
|
Serwery znacznika czasu (TSA)
Wszystkie polskie centra kwalifikowane udostępniają usługę znakowania czasem (TS). Wraz z certyfikatem kwalifikowanym klient otrzymuje zwykle pulę 100 darmowych znaczników do wykorzystania w ciągu miesiąca. Serwery nie pozwalają na wykonywanie znacznika czasu od nieautoryzowanych klientów, co jest zazwyczaj realizowane przez żądanie przysłania TSR (TS Request) podpisanego certyfikatem danego centrum.
| Centrum certyfikacji | Kwalifikowane TSA | Inne TSA |
| KIR |
http://www.ts.kir.com.pl/HttpTspServer [CMS] |
|
| Sigillum |
http://193.178.164.5/ [CMS] |
|
| Certum |
http://qtime.certum.pl/tsserver/server [X] |
http://time.certum.pl [CMS]
http://www.cebit.unizeto.pl/tsaserver |
| Cencert
| http://tsp.cencert.pl.
|
</tr>
</tbody>
</table>
- [CMS] wymaga TSP enkapsulowanego w podpisanym CMS
- [X] nie wymaga TSP enkapsulowanego w podpisanym CMS, ale nie odpowiada na TSR od "nie swoich" klientów
Listy CRL
Nazwa danego centrum jest linkiem do strony repozytorium zawierającego oryginalne listy CRL. Standardowo listy CRL można znaleźć na stronach "Repozytorium" poszczególnych centrów ceryfikacji. W przypadku centrów kwalifikowanych publikowanie list CRL jest obowiązkowe.
| Centrum certyfikacji | Okres publikacji | Kwalifikowane CRL | Inne CRL |
| NCC |
7 dni |
http://www.nccert.pl/arl/nccert.crl |
|
| KIR |
1 h |
http://www.kir.com.pl/certyfikacja_kluczy/CRL_OZK22.crl |
http://www.kir.com.pl/certyfikacja_kluczy/rootozk.crl
http://www.kir.com.pl/certyfikacja_kluczy/ozk1.crl
http://www.kir.com.pl/certyfikacja_kluczy/ozk21.crl
|
| Sigillum |
12 h |
http://193.178.164.4/repozytorium/ca1.crl |
http://193.178.164.16/repozytorium/ca2.cr |
| Certum |
24 h |
http://crl.certum.pl/qca.crl
http://crl.certum.pl/cck-ca.crl (2003-2005)
|
http://crl.certum.pl/ca.crl
http://crl.certum.pl/class1.crl
http://crl.certum.pl/class2.crl
http://crl.certum.pl/class3.crl
http://crl.certum.pl/class4.crl
http://ocsp.certum.pl (OCSP)
|
| Cencert
| 30 minut
| http://cencert.pl/crl/ostatni_kwal.crl
| http://ocsp.cencert.pl
|
| Mobicert
|
| http://crl1.mobicert.pl/ca1.crl
http://crl2.mobicert.pl/ca1.crl
|
</tr>
</tbody>
</table>
Uwaga: linki podane na tej stronie powinny być traktowane wyłącznie jako testowe ponieważ integralność tej strony nie może być zagwarantowana. Autoryzowane adresy zaświadczeń i list CRL uzyskasz na stronach poszczególnych centrów - a przynajmniej na tych, które są uwierzytelnione przez SSL :)
Wiarygodność stron centrów
Strona centrum certyfikacji powinna być moim zdaniem dostępna przez SSL/TLS uwierzytelniony certyfikatem wiarygodnym dla popularnych systemów operacyjnych po to, by można było zaufać opublikowanym na nich zaświadczeniom i listom CRL nie mając ich wcześniej w "kotwicy zaufania". Jak to wygląda w Polsce?
- Certum/Unizeto (SSL) - jest podpisana certyfikatem Certum CA od kilku lat zaufanym przez Windows
- Sigillum/PWPW (SSL) - jest podpisana certyfikatem Sigillum/PWPW niezaufanym przez Windows - konieczne jest zaakceptowanie ostrzeżenie co niweczy zaufanie; błąd ten jest powielony np. na stronie E-Poltax ale już na przykład bramka e-Deklaracji jest podpisana przez zaufany certyfikat Thawte
- KIR - w ogóle nie da się wejść przez SSL/TLS
- Centrast/NCC - w ogóle nie da się wejść przez SSL/TLS
Nie należy robić z tego dramatu, bo root Centrastu dostaniemy i tak na CD dostarczanym wraz z certyfikatem kwalifikowanym co zapewnia pewien poziom bezpieczeństwa przy instalacji nowej kotwicy. Ale w certyfikatach SSL root Centrastu nie występuje!
Darmowe certyfikaty testowe
Kilka polskich centrów wydaje darmowe certyfikaty niekwalifikowane o różnym okresie ważności i różnym poziomie weryfikacji danych.
"Bezpieczne urządzenie"
W Polsce podpis kwalifikowany może być składany wyłącznie przy pomocy oprogramowania posiadającego "deklarację zgodności z ustawą". Takie oprogramowanie zainstalowane pod Windows nosi nazwę "bezpiecznego urządzenia", choć ani to bezpieczne ani urządzenie. W praktyce deklaracja zgodności daje przede wszystkim zgodnej z ustawą procedury składania i weryfikacji podpisu elektronicznego, nie zaś ogólnie rozumianego bezpieczeństwa.
W Polsce dostępne są następujące aplikacje posiadające deklarację zgodności:
- Certum - oferuje aplikację Certum Secure Sign (format CMS) podpisującą dane jako ciąg bitowy
- Sigillum - oferuje aplikacje Sigillum Sign (prywatny format SDOC) i Sigillum Sign Pro (S/MIME, PKCS#7, CMS, XAdES) podpisujące dane jako ciąg bitowy
- KIR - oferuje aplikację Szafir (format PKCS#7) podpisującą dane jako ciąg bitowy
- ebCommunicator - napisana w Javie wieloplatformowa aplikacja podpisująca formularze w prywatnym formacie EBF (opartym o XML i XAdES)
- Enigma - Centaur WER
- Unizeto - Elektroniczna Skrzynka Podawcza - przykładowe esp.mrr.gov.pl
Uwaga: ponieważ deklaracja zgodności jest dokumentem wystawianym przez samego producenta aplikacji i nie podlega centralnej weryfikacji czy rejestracji, powyższa lista nie musi być kompletna. Zawiera ona produkty, których producenci opublikowali deklarację zgodności a autor tej strony o tym się dowiedział. Równocześnie zapraszam do przysyłania aktualizacji i uzupełnień.
Inne ciekawe
| |