česky | english
Pro CAcert.org - Vzdělávání a školení - Pro CAcert.org - Vzdělávání a školení - Přehled
Pro Zásady zaručování - Pro Příručku zaručování
Některé další informace o CAcert
Jste "tváří pro klienta" CAcertu. Proto byste měli být schopni poskytnout aspoň některé základní údaje o CAcert.
Co je to CAcert?
CAcert je neziskové sdružení, korporace sídlící v Austrálii. Je podporováno rostoucí komunitou zaručovatelů (jako jste Vy), kteří jsou uživateli "webu důvěry (Web-of-Trust)" pro ověřování totožnosti.
Co je cílem CAcert?
CAcert je komunita podobně uvažujících lidí pracujících na zlepšení naší bezpečnosti, zpravidla soustředěné kolem technologie PKI založené na "certifikátech" X.509 a webu důvěry PGP.
CAcert nemá oficiální nebo schválené poslání či cíl. Mohou platit některé z těchto občas diskutovaných cílů:
- Učinit zabezpečení cenově dostupným a dosažitelným pro každého.
- Zabezpečit Internet a zvýšit důvěryhodnost.
- Ochránit soukromí pomocí šifrování.
- Poskytnout zabezpečení pomocí identifikace.
Více informací - viz Principy Komunity.
Jaký je rozdíl oproti jiným CA?
- CAcert odděluje zaručení (potvrzení totožnosti) od vydávání certifikátů. Tak stačí potvrdit totožnost pouze jednou, aby bylo možno vytvořit tolik certifikátů, kolik je třeba a kdy je třeba.
- CAcert je "nezisková" komunita dobrovolníků. Není závislá na komerčních certifikačních autoritách (CA).
- Některé CA vydávají certifikáty zdarma, některé používají weby důvěry (WoT), ale ty mají sklon vydávat pouze klientské certifikáty nízké úrovně, ne už serverové certifikáty ani silně ověřené certifikáty. Takové bezplatné certifikáty Vás mají přilákat k jejich CA, aby Vám pak mohli prodat produkty vyšší hodnoty. Na tom není nic špatného (nakonec Váš supermarket dělá totéž), ale nemusí to být úměrné Vašim potřebám.
Arbitráž
Arbitráž je hlavním kanálem CAcertu pro řešení jakýchkoli nečekaných nebo neobvyklých záležitostí, které by mohly uškodit. To zahrnuje stížnosti na nesprávný průběh zaručení, neplatné nebo neodpovídající údaje v jakémkoli účtu Člena, nebo nemístné použití certifikátů, ale také nejasné zásady či praktiky. Skutečně lze mít spor o čemkoli, a dokumenty zásad často odkazují obtížné záležitosti pouhou instrukcí založte/zahajte spor. Takto pracují dokumenty zásad ruku v ruce s arbitráží: Zásady řeší věci očekávané a snadné; arbitráž řeší věci nečekané a obtížné, a obě spolu tvoří základnu veškeré práce CAcert.
Jako část přijetí Dohody komunity CAcert (CCA), přijímá každý Člen arbitráž podle Zásad řešení sporů (DRP) (Dispute Resolution Policy). Kdokoli, kdo má stížnost na cokoli ohledně CAcertu, může založit/zahájit spor odesláním e-mailu na mailto:support@cacert.org. Upozornění na jakýkoli spor, který se Vás týká, dostanete na svou primární e-mailovou adresu, proto ji (podle CCA) musíte udržovat funkční.
Jak arbitráž pracuje?
Jakmile je založen a oznámen spor, vybere CAcert arbitra mezi svými staršími a zkušenými zaručovateli. Arbitři jsou velmi dobře obeznámeni se zásadami, pravidly, principy, zvyky a zvláštnostmi CAcert. Jako zaručovatel byste měl být aspoň trochu seznámen s pravidly a přinejmenším vědět, kde je najít, abyste mohli odpovědět členům na základní otázky.
Proces arbitráže je (v kostce):
arbitr se podívá na situaci z hlediska důkazů,
- aplikuje zásady a pravidla, a pokud je třeba, i zákony (státu Nový Jižní Wales - NSW, Austrálie), a
- vydá nález / nařízení.
Nařízení je závazné pro Vás, pro všechny Členy a pro samotný CAcert. Obyčejně je publikováno, takže ho celá Komunita může sledovat a změnit systém, a my můžeme časem zlepšit své zásady a praktiky.
Protože používáme arbitráž pro všechny druhy neobvyklých a obtížných dotazů, není samo o sobě špatné být jmenován do arbitráže; podílet se je skutečně známkou zkušenosti. Jednou můžete být požádán(a) zaujmout místo arbitra a to bude pravděpodobně vyžadovat, abyste již byl(a) jmenován(a) arbitrem. Více podrobností a množství odkazů najdete v našem fóru arbitráže.
Základ pro alternativní řešení sporů
CAcert zavedl arbitráž na ochranu svých členů.
Normálně, vyvíjí-li se něco úplně špatně, můžete být pohnán před civilní soud a budete tam čelit soudnímu procesu. Je zvláště pravděpodobné, že soudní proces bude probíhat v nějaké vzdálené zemi, protože CAcert poskytuje certifikáty vytvářením prohlášení o lidech celého světa. Ve vaší zemi může mít soudnictví pověst, že se o Vás stará, ale to neplatí všude. přinejmenším jsou vzdálené soudní systémy pro Vás nákladné, obtížně pochopitelné a neprůchodné, i když jsou třeba spravedlivé. Právě tak jsou nákladní advokáti a Vy můžete být zasažen tvrdým rozsudkem, který plně neoceňuje, co to certifikáty jsou a co jsme my jako Komunita. I když soud rozhodne ve Váš prospěch, může to být Pyrrhovo vítězství, kterého jste si nepřál dosáhnout.
Proto, namísto použití soudů, souhlasíme zabývat se všemi svými spory interně. Máme k tomu oprávnění podle Zákona o rozhodčím (smírčím, arbitrážním) řízení (Arbitration Act) každé země a také v klausuli uvedené v Dohodě komunity CAcert (CCA):
3.2 Arbitráž jako fórum řešení sporů Souhlasíte s CAcertem a celou Komunitou, že všechny spory vzniklé v souvislosti s naším použitím služeb CAcert, i mimo tuto souvislost, mají být nahlášeny a s konečnou platností rozřešeny Arbitráží podle pravidel uvedených v „Pravidlech řešení sporů v CACert (Dispute Resolution Policy of CAcert)“ (DRP => COD7). Pravidla volí jediného Arbitra vybraného CAcertem ze starších Členů Komunity. Arbitrovo rozhodnutí je konečné a závazné jak pro Členy, tak také pro CAcert.
Tuto klausuli byste měli znát a a dokázat ji vysvětlit novým a perspektivním Členům.
Většina zemí má arbitráže zařazené do zákonů (například německý arbitrážní zákon), které povolují a dokonce nabádají k interním arbitrážím, jako jsou naše. To má smysl tam. kde může mít místní nebo specializovaná komunita lepší pochopení svých vlastních zvyklostí a pravidel, kde mezinárodní aféry činí volbu neutrálního nebo rentabilního soudu nepraktickou a kde skutečná povaha sporů neopravňuje k výdajům na soudy (a zvláště na advokáty).
Tato hlediska jsou přirozenou doménou CAcert, protože jsme ve složitém mezinárodním prostředí zaručování, Internetu a certifikátů. Arbitrážní zákon nám poskytuje způsob, jak se vypořádat s jakýmikoli spory interně a nechodit s nimi k soudu, který by se pravděpodobně konal ve vzdálených zemích, vyžadoval by nákladné advokáty a měl by jen málo znalostí o zpracování certifikátů. Takto dosahujeme vyváženého a rentabilního právního přístupu v celé komunitě, což platí pro Vás, každého jiného Člena, i pro samotný CAcert.
V případě, že je proti Vám veden nějaký proces ve vztahu k Vašim aktivitám spojeným s CAcert, měl(a) byste požádat soud, aby předal případ zpět arbitráži, podle výše uvedené klausule a zákona. Není zde sice záruka, že s případem bude naloženo takto, a kriminální případy se také nepředávají, ale ve věcech veřejné politiky budou soudy rutinně vracet případy arbitráži tam, kde existuje taková dohoda.
Naším úmyslem je ochránit Vás a všechny ostatní Členy. To znamená, že za účelem ochrany ostatních členů může arbitrářní případ vyústit do určité pokuty Vám vyměřené, zjistí-li arbitr, že jste jednal(a) proti zásadám, pravidlům a/nebo principům! Viz sekce 3.6. Zásad řešení sporů (DRP) o opravných opatřeních (Remedies), kde najdete více podrobností.
Jak je chráněno soukromí?
- Vyplněné formuláře zůstávají u zaručovatele a odesílají se do CAcert jen za zvláštních okolností.
- Zvenku není zřejmé, kdo koho zaručil, on-line systém ukládá tuto informaci jako soukromou.
- CAcert neposkytuje třetím osobám nebo třetím stranám žádné údaje kromě případů, kdy to nařídí arbitr během řešení sporu.
Podrobněji v zásadách ochrany soukromí a také v poslední sekci Zásad zaručování (Assurance Policy) 7. Ochrana soukromí.
Je CAcert standardně zařazen do prohlížečů?
Sledujte Stav zařazení
Kolik lidí využívá CAcert?
- Abyste viděli aktuální údaj, jděte na náš web a klikněte vpravo v menu na "O CAcert.org" a pak na položku Statistika CAcert. Udělejte to ručně, odkaz není publikován, protože sběr statistik je živý a toto hodně zpomaluje server.
Některé technické aspekty
Když zaručujete, mohou se Vás lidé zeptat na některou věc technické povahy. Abychom Vám pomohli vystupovat jako opravdový znalec, dáme Vám zde základní údaje.
Co jsou to privátní a veřejné klíče?
"Kryptografie veřejných klíčů" pracuje s páry klíčů: jeden pár obsahuje veřejný a privátní klíč. Každý z obou klíčů páru lze použít k zašifrování dat, která pak mohou být dešifrována pouze tím, kdo má ten druhý klíč páru. Podle konvence je jeden klíč páru označen "veřejný klíč" a druhý je "privátní klíč".
Privátní klíč je držen v tajnosti a je chráněn. Nikdy není sdílen. [Nemá se ani přenášet po síti.]
Veřejný klíč je naopak dostupný a rozšířen co nejvíce, protože to je ten, jehož lze použít k zašifrování dat, která pak může dešifrovat pouze vlastník privátního klíče. Umožňuje také dešifrovat data, která byla zašifrována privátním klíčem.
Takže - chcete-li někomu poslat zašifrovanou zprávu, potřebujete mít jeho veřejný klíč. A ztratíte-li svůj privátní klíč, nebudete už moci dešifrovat zprávy určené Vám.
Zašifrováním haše dokumentu svým privátním klíčem vytvoříte digitální podpis, který může každý ověřit pomocí Vašeho veřejného klíče. [Haš (hash) je číselná hodnota vytvořená ze souboru (dokumentu) speciálním algoritmem, pro nějž je důležité:
- z výsledné haše nelze rekonstruovat soubor, jeho název ani jinou část;
- i velmi malá změna souboru znamená velkou změnu haše.]
Veřejnou část páru klíčů [tedy veřejný klíč] nelze vytvořit z části privátní [privátního klíče] a veřejná část nikomu neumožňuje uhodnout odpovídající privátní klíč. Lépe řečeno, je opravdu velmi, velmi těžké uhodnout privátní klíč z veřejného, je-li privátní klíč "dostatečně velký".
Co je to digitální podpis?
Digitální podpis je druh "pečeti" připojené k dokumentu, zaručující, že podepsaný dokument nebyl od vytvoření podpisu změněn, což také zaručuje, že byl vytvořen někým, kdo má přístup k odpovídajícímu privátnímu klíči.
Technicky řečeno: je to hodnota haše dokumentu, zašifrovaná privátním klíčem signatáře. Je mnoho různých způsobů, jak to lze implementovat.
Co je to certifikát?
Certifikát je v tomto kontextu "dokument" obsahující veřejný klíč, určité údaje o majiteli toho klíče a podpis certifikační autority ("CA").
Certifikáty podle standardu (normy) X509 (včetně těch vydaných CAcert) obsahují datum vydání a datum konce platnosti, haše (čili kryptografické otisky - "otisky prstů") používané k ověření certifikátů a jedinečné pořadové číslo. Certifikáty dále obvykle obsahují některé údaje o uživateli [držiteli certifikátu], jako jméno nebo e-mailovou adresu.
Co mohu s certifikátem dělat?
Typický certifikát představuje "názor" certifikační autority na "předmět" certifikátu, například na jednotlivce nebo organizaci. Certifikační autorita definuje přesný význam certifikátu v jeho dokumentaci. Například: kdo ho může získat, jaké kontroly jsou provedeny, co můžete dělat s touto informací. Abyste věděli, co dělat s certifikátem, pečlivě prostudujte dokumentaci:
"Přehled postupu certifikace" (Certificate Practice Statement, CPS) obvykle stanoví význam certifikátu a uvádí, jaké kontroly se provádějí k podpoře tohoto významu. Teoreticky byste měl(a) prozkoumat CPS certifikační autority velmi důkladně, než se rozhodnete, co podniknout s certifikáty určité CA. V případě CAcert se podívejte na prohlášení spoléhající strany a pak na Zásady zaručování (Assurance Policy), abyste viděli zdroj těchto informací.
"Dohoda spoléhající strany" (Relying Party Agreement, RPA) obsahuje právní informace a zejména údaj, zda máte právo to udělat [asi: s certifikáty pracovat]. U CAcert je to Dohoda komunity CAcert (CAcert Community Agreement).
e-e-e... certifikát certifikuje (zaručuje) něco, a to "předmět" certifikátu. Zpravidla je to e-mailová adresa majitele a jeho jméno, má-li dostatek bodů zaručení, nebo adresa webu/domény webového serveru. Poslední věta předchozího odstavce [asi jde o odstavec před odrážkami] sugeruje, že jak e-mailová adresa, tak jméno jsou v klientském certifikátu nepovinné, ale ve skutečnosti by měl být uveden aspoň jeden z těch údajů, co by jinak certifikát certifikoval?
[iang]... předpoklad, že certifikát něco "certifikuje", by měl být brán s reservou. Co to znamená, a kdo se na to může spolehnout? Zkusil jsem to rozluštit z obsahu certifikátu výše. Jiná otázka je, zda je to k užitku "nulový certifikát" nebo certifikát bez jména nebo e-mailové adresy... pak je snazší s ním pracovat. V případě CAcert je to trochu nepodstatné, což by byla dobrá otázka do testovacího systému pro zaručovatele (CATS)
Co mohu udělat s certifikátem vydaným CAcert
Bezpečné webové servery
Můžete vygenerovat certifikáty pro servery HTTPS [secure HTTP, bezpečný protokol webu]. Ačkoli v současnosti není kořenový certifikát CAcert obsažen ve standardní Mozille a Internet Exploreru, je již obsažen v několika Unixu podobných distribucích.
A je snadné instalovat kořenové certifikáty CAcert manuálně.
Klientské certifikáty X509
Tyto certifikáty lze použít k zašifrování a/nebo digitálnímu podepsání e-mailů. Viz Klientské certifikáty, náš rostoucí seznam možností, jak můžete použít své klientské certifikáty. Mohou být také použity pro identifikaci na webových serverech, jako je přihlášení (login) certifikátem k webu CAcert nebo k VPN serverům. [VPN = Virtual Private Network, virtuální privátní síť.]
Podepisování kódu a certifikáty IDN
Jste-li zaručovatel, můžete získat certifikáty podepsané/vydané CAcert pro podepisování kódu a IDN (International Domain Names, mezinárodních doménových jmen).
Kvůli rostoucím možnostem zneužití mají tyto certifikáty přídavné požadavky. CPS (Certification Practise Statement, přehled postupů certifikace) stanoví, aby se vyžadovala úroveň zaručovatele, s kterou se můžete setkat, čtete-li tuto příručku. Avšak upozorňujeme, že od 06.11.2009 je tendence redukovat tyto požadavky. Sledujte toto místo.
Podpisy OpenPGP
Získejte své klíče PGP podepsané klíčem CAcertu. To by mělo výrazně zvýšit důvěru k Vašemu PGP klíči, protože mnoho lidí věří podpisu CAcert.
Používá CAcert OCSP?
CAcert nabízí certifikační ověření on-line pomocí On-line protokol stavu certifikátu (Online Certification Status Protocol, OCSP). Zda ho Vaše aplikace skutečně používá, je už jiná otázka.
Kde mohu získat další pomoc s technickými problémy
Nejlepší místa pro technickou pomoc jsou wiki a IRC, viz následující příloha níže.
Příloha
Pomoc a podpora
Abyste mohl(a) poradit uživatelům s možnostmi, musíte o nich vědět:
- seznam adresátů cacert-support(zavináč)lists.cacert.org
- support(zavináč)cacert.org .
dokumentace na CAcert wiki: http://wiki.cacert.org/
- Rozhovor (chat)/IRC fórum: irc.cacert.org
- #cacert - anglický kanál
- #cacert.ger - německý kanál
SSL verze (upřednostněná): https://irc.cacert.org/, ne-SSL verze: http://irc.cacert.org/
- Nevíte-li, jak použít klient IRC, můžete také zkusit CAcert web IRC nebo Webchaton
Podpora je udržována Týmem podpory, jak stanoví Zásady bezpečnosti (Security Policy), sekce 8.
Seznam kanálů podpory: Příručka bezpečnosti (Security Manual).
- Jako zaručovatel byste měl uvážit, zda se přidáte k seznamu adresátů podpory a budete pomáhat. Nebo se můžete ochomýtat kolem chatovací místnosti IRC.