česky | english
Pro CAcert.org Education & Training - Pro Organisation Assurer - Pro Organisation Assurance Overview
Příručka zaručovatele organizací
- v0.1 stav "První koncept"
Contents
Úvod: Proč zaručovat organizace
- Mnoho organizací si přeje využívat infrastrukturu PKI, buď pro zabezpečení svých vnitřních procesů, nebo k prezentaci bezpečných webových stránek pro své klienty.
- V současnosti takové organizace obvykle získávají certifikáty pro své weby od komerčních certifikačních autorit, které za přemrštěné ceny poskytují sporné zabezpečení.
- Jinou možností, jak levněji zabezpečit vnitřní sítě společnosti, je vytvoření vnitřní certifikační autoritu organizace, avšak to klade na správce značné nároky - technické, administrativní i logistické.
- Protože se CAcert stává stále známějším, začali mnozí správci IT vytvářet certifikáty pro weby, které udržují, za použití svých osobních účtů CACert. To má ovšem některé významné nedostatky:
Co se stane, když správce odejde?
- Když správce odejde, pak certifikáty, které vytvořil, stále platí. Problém nastane, až když jejich platnost vyprší, což může nastat až dva roky poté, co bývalý správce dal výpověď a odešel, takže nyní už může být zcela nedosažitelný.
- Správce přidal doménu společnosti na svůj osobní účet, takže není-li nyní dostupný nebo úmyslně odmítá spolupráci, musí dát organizace doménu do sporu.
- Proto musí nový správce podstoupit zdlouhavý proces vydání nových certifikátů, přičemž i on použije svůj osobní účet.
Název organizace nemůže být do certifikátu vložen
- Protože správce používá svůj osobní účet u CAcert, není schopen přidat název organizace do certifikátu. Většina lidí tento rozdíl sice nezaznamená, ale osoby obeznámené se zabezpečováním webů brzy zjistí, že správce vydal osobní certifikát a nemůže dokázat, že web skutečně patří příslušné organizaci.
- Je sporné, zda je takový způsob zabezpečení webu důvěryhodný.
Organizace jsou také lidské osoby
- Ve většině jurisdikcí jsou organizace právnickými osobami, tak jako kterákoli jednotlivá osoba. Nemají sice všechna práva ani povinnosti lidských osob, ale obvykle může organizace jednat jako lidská bytost. Organizace jsou také tím, co řídí naše [lidské] společnosti. I CAcert se rozhodla stát se organizací, aby uspokojila potřeby skupiny angažovaných osob, zamýšlejících stát se svobodnou a otevřenou certifikační autoritou.
- Organizace jako takové by tedy měly být schopny dát se zaručit, tak jako jakákoli jiná osoba.
Použití certifikátů v e-mailové komunikaci vyžaduje, aby byli všichni zaměstnanci organizace zaručeni standardním postupem CAcert
- U malých organizací s nízkým pohybem zaměstnanců to lze zvládnout, ale je-li zaměstnanců trochu více, je to velmi obtížné.
Jaké možnosti organizace získá po svém zaručení od CAcert?
- Může vydávat libovolný počet serverových certifikátů, klientských certifikátů a certifikátů pro podpis kódu, a to pro všechny domény organizací registrované.
- Může do certifikátů vkládat název společnosti/organizace, sídlo (město a zemi) a údaj o oddělení (části organizace).
- Lidé spoléhající na certifikát si mohou být jisti, že certifikát je oprávněním organizace identifikované v něm svým názvem a sídlem.
- K účtu organizace lze přiřadit několik správců, kteří mohou sdílet svou práci. Správce již není "jediným místem selhání", ohledně vydávání certifikátů organizace.
- Organizace může správce přidávat a odvolávat zasíláním zpráv CAcert. Není třeba zakládat spor nebo procházet jiným složitým či zdlouhavým procesem.
Serverové certifikáty vydané organizací pro její domény obsahují název organizace
- Uživatelé - jednotlivci se svými účty jednotlivce mohou mít v certifikátu pouze své osobní jméno. Organizace může navíc k certifikátu připojit svůj název, své sídlo a volitelně i oddělení ("Organizační jednotku").
- Při kontrole certifikátu se lze spolehnout, že CAcert ověřil fakt, že certifikát opravňuje skutečnou organizaci, protože CAcert zkontroloval, že organizace existuje jako právnická osoba a oprávnila své(ho) správce.
- Proto lze certifikát CAcert použít k ujištění identity webů organizace a jejích intranetových prostředků.
Klientské certifikáty pro zaměstnance obsahují název zaměstnávající organizace
- Standardní uživatelé CAcert musí být zaručeni alespoň 50 body, aby mohli mít ve svých klientských certifikátech uloženo své jméno, a nikdy tam nemohou uložit název organizace. Organizace však může vydávat klientské certifikáty pro kohokoli ve své doméně, kdy v certifikátu bude uloženo jméno osoby a název organizace, případně i název oddělení, kde zaměstnanec pracuje.
- Tím se osobní certifikáty liší od certifikátů vydaných organizací pro zaměstnance. Těm se nevydávají jejich vlastní body důvěryhodnosti, dokonce ani nemají své vlastní účty u CAcert. Přesto je v jejich certifikátech osobní jméno, protože je zaručeno správcem organizace.
Podepisování e-mailových zpráv
- Odesilatele nepodepsané e-mailové zprávy lze snadno zfalšovat uvedením jiného jména jako odesilatele v poštovním programu. Dokonalým příkladem zfalšování je hromada spamu, který dostávám a který se tváří, že jsem ho poslal sám sobě.
- Pro soukromého uživatele tohle není zase takový problém. Ověření identity odesilatele může ovšem být velmi důležité pro organizaci, které mohou třetí osoby posílat e-maily, které pohnou příjemce k určitým akcím, které jsou údajně schválené nadřízeným.
- Příklad ze skutečné praxe: Do organizace, kam jsem měl přístup, poslal (pravděpodobně) konkurent e-mail hlavnímu účetnímu, jménem jeho nadřízeného, požadující nabídkový dokument pro velkou nabídku. Záhlaví Reply-To (odpovědět komu) odkazovalo na anonymní účet na hotmailu. Hlavní účetní stiskl ve svém Outlooku tlačítko "odpovědět", domnívaje se, že odpovídá nadřízenému. Naštěstí nepřipojil požadovaný dokument jako přílohu, uvedl jen odkaz na interní server přístupný pouze z kanceláře (intranet). Později se zeptal nadřízeného, zda ten mail dostal. A jen slepé štěstí tak zabránilo velké katastrofě.
- Digitální podpis sice není úplně "fool-proof" (blbovzdorný), ale může významně pomoci v situacích jako tato, protože poskytuje důkaz identity odesilatele za předpokladu, že odesilatel dodrží základní bezpečnostní postupy.
Použití šifrovaných e-mailů pro důvěrnou komunikaci
- Schopnost zašifrovat komunikaci mezi osobami pracujícími na opačných stranách světa, která probíhá nezabezpečenými "rourami Internetu", je obrovským přínosem pro lidské společnosti a přispívá k zabezpečení jejich organizací.
Použití bezpečného přihlašování jediným heslem (single sign-on)
- Hesla, zvláště ta napsaná na samolepce nalepené na okraj obrazovky, jsou jednou z hlavních závad zabezpečení IT. Přimějeme-li zaměstnance používat žetony s digitálními certifikáty, "smart" karty a podobná zařízení, všeobecně zlepšuje bezpečnost IT významným omezením faktoru lidského selhání.
- Použití klientských certifikátů v bezpečnostním modulu prohlížeče (nepoužívajícího smart karty jako paměť) může zjednodušit přihlašovací proceduru a zvýšit zabezpečení, neboť se po síti neposílá žádné heslo, dokonce ani zašifrované.
Vydané certifikáty pro podepisování kódu obsahují název organizace
- Pro bezpečnou distribuci software vyžaduje mnoho infrastruktur, aby byl kód digitálně podepsán. K tomu je třeba mít certifikát pro podpis kódu. Tyto druhy certifikátů jsou dnes drahé a to znemožňuje mnoha malým organizacím je získat. Ty pak podepisují svůj kód certifikáty podepsanými samy sebou (self-signed).
- Což sice na technické úrovni funguje, ale zcela se míjí s koncepcí podepisování kódu výrobou takového certifikátu - původ kódu je pak neověřitelný.
Zvýšení spolehlivosti software
- Je-li možné ověřit, že kód skutečně pochází ze zdroje, odkud by měl, je to významný krok ve víře, že organizace postupuje také při vývoji svého kódu odpovědně.
- Podpis kódu sice nezaručuje jeho kvalitu, ale potvrzuje, že kód pochází od majitele certifikátu. Redukuje též pravděpodobnost nedetekované virové infekce během distribuce kódu, protože jakákoli modifikace kódu zneplatní jeho podpis.
- Společnost, která používá ověřené certifikáty k podpisu svého kódu, se podobá obchodníkovi jdoucímu do banky v obleku a připravenému odpovídat na otázky. To sice nic nevypovídá o charakteru toho člověka, ale vypovídá už něco o tom, že bere problém vážně.
- Vylepšení bezpečnosti sice není gigantické, ale je významné pro emocionální důvěru lidí k takové organizaci.
Zlepšení bezpečnosti vnitřního systému
- Jedním z klíčových přínosů podepisování kódu v mnoha organizacích je lepší bezpečnost jejich vnitřních systémů. Je možné omezit instalovatelný software a jeho opravy na ty podepsané určitými certifikáty. To brání organizaci instalovat neověřený software do svých systémů.
- Podepisování kódu tedy poskytuje prostředky k mnohem lepšímu řízení bezpečnosti vnitřního systému.
Více správců
- Protože k jednomu účtu organizace lze přiřadit více správců, je možn rozdělit jim práci. Není už problémem, když klient zavolá, že mu právě vypršela platnost certifikátu, a jeden správce je nemocný nebo na dovolené. Jeho zástupce zapracuje stejně dobře, pokud je také registrován jako správce téže organizace.
- Jestliže správce opustí organizaci nebo se přestěhuje, stačí poslat prostý e-mail zaručovatelům organizací u CAcert, aby připojili nového správce. Ten může pracovat se všemi certifikáty organizace vytvořenými kterýmkoli jiným správcem organizace a okamžitě vydávat nové certifikáty pro domény organizace.
Co musí společnost vědět, používá-li certifikáty CAcert
- Certifikáty CAcert nelze používat pro finanční transakce vysokých částek. CAcert nenabízí pojištění proti zneužití svých certifikátů.
- CAcert nemůže zaručit dostupnost všech svých služeb. Protože servery obsluhují dobrovolníci, může se stát, že budou delší dobu vypnuté. To může být značně nepříjemné, jestliže například přihlášení založená na certifikátu vyžadují, aby pracoval CAcert OCSP server.
Kořenové certifikáty CAcert nejsou v současnosti vloženy do standardních prohlížečů (viz Stav vložení). To obvykle nevadí u známých obchodních partnerů, kterým lze oznámit, že organizace používá certifikáty CAcert. Avšak "typický běžný uživatel Internetu" se může vyděsit, když ho prohlížeč varuje například v případě, že navštíví zabezpečený web organizace.
- Organizace musí souhlasit s Dohodou komunity CAcert a proto podléhá systému arbitráže CAcert. Tak například, je-li certifikát organizace zneužit, pak organizace nese finanční odpovědnost 1000 EUR za poškození způsobená zneužitým certifikátem.
Úloha zaručovatele organizací
Zvláštní problémy při zaručování organizací
- Organizace nemají fotografickou identifikaci
- To se může na první pohled zdát podružným, ale ve skutečnosti je to jeden z největších problémů. Organizace, na rozdíl od fyzických osob - jednotlivců, nemají fotografickou identifikaci. Nemají nic, čím byste mohli ověřit, že "organizace je skutečně ta, za niž se prohlašuje".
- Aby to bylo ještě složitější, dokumenty organizací e široce různí - od jurisdikce k jurisdikci a od jednoho typu organizace k jinému. Průměrná lidská bytost, má-li identifikující fotografii, bude pravděpodobně vědět, jak tato fotografická identifikace vypadá. U organizací je nutná detailnější expertíza pro identifikaci a průkazné ověření rozmanité dokumentace, kterou může organizace poskytnout.
- Jako příklad: v Rakousku má společnost tzv. "Firmenbuchauszug" (výtah z knihy firem), zatímco sdružení má "Vereinsregisterauszug" (výtah z rejstříku/registru sdružení). V některých státech USA dostává společnost "Letter of good standing" (osvědčení dobré stability), zatímco v jiných nic takového nedostane. Některé dobročinné společnosti budou mít osvědčení, že mají jeden z 28 501(c) daňových stavů, kdežto všechny organizace podléhající zdanění (neosvobozené od daní) budou mít jinou, zcela odlišnou sadu dokumentů.
- Proto je nutné, aby organizace ověřoval někdo, kdo se vyzná v místních organizačních strukturách.
- Nemůžete mít osobní schůzku s organizací
- Nemůžete se sejít s organizací. Můžete se sejít pouze se zástupcem organizace. Zase to na první pohled vypadá jako nepodstatný rozdíl, který se však stane velmi podstatným, když dojde na to, aby organizace "podepsala" právní dohodu.
- V různých jurisdikcích jsou různá pravidla, kdo může podepisovat a je právně svázán s organizací.
- I když je obecně pravda, že CEO (výkonný ředitel) společnosti může podepisovat dokumenty jako její zástupce, nelze na to vždy spoléhat. Například rakouské právo dovoluje sdružením definovat svá vlastní podpisová práva ve svých vlastních předpisech. Proto může sdružení požadovat, aby byl právně závazný dokument podepsán aspoň dvěma osobami, nebo může povolit manželovi/manželce které(ho)koli členky/člena výboru vydat právně závazný podpis. Je to záležitostí předpisů sdružení. Na druhé straně existují velmi přísná pravidla, kdo může podepisovat za firmu. V podstatě každá taková osoba v Rakousku je uvedena ve "Firmenbuch" (knize firem). Nemusí to však být jen CEO, může to také být "Prokurist" (prokurista, oprávněný a zplnomocněný zástupce firmy). Jeho/její podpisová práva jsou výslovně zapsána a definována ve "Firmenbuch" (knize firem), tak jako samotný zákon. Takže určit, zda je ten, s kým se setkáte, skutečně právně spojen s organizací, není přinejmenším jednoduché.
Co je třeba při zaručení ověřit?
- První a nejdůležitější věcí pro zaručovatele organizací je vědět, co má ověřit. Pokud to neví, nemůže provést správné zaručení.
- Kdo podepisuje formulář COAP (CAcert.org Organisation Assurance Programme, program CAcert zaručování organizací)
- Ten, kdo podepisuje formulář COAP, váže organizaci s dohodami uživatelů CACert. Aby bylo toto spojení platné, musí být tato osoba ověřena.
- Podepisující je oprávněn jednat (podepsat) za organizaci
- Prvním krokem při zaručování organizace je ověřit, zda osoba požadující zaručení a podepisující formulář COAP je skutečně oprávněna podepisovat za organizaci. Obvykle je třeba porovnat jméno osoby, podepisující formulář COAP, s dokumentací, kterou organizace poskytne. V závislosti na jurisdikci, která u vás platí, mohou nastat různé případy.
- Příklad: Máte-li "Firmenbuchauszug" (výtah z knihy/rejstříku firem), pak ten stanoví, kdo je oprávněn za firmu podepisovat. CACert vyžaduje, aby zaručovatelé organizací znali zákon o organizacích; jedním z důvodů je, že takový zákon není vždy jasně srozumitelný. Zaručovatel organizací musí vědět, jaká osoba v jaké funkci pro jaké typy společností může za společnost podepisovat standardně a také, jaké další osoby v jakých funkcích mají toto oprávnění, a rovněž, kde lze najít tyto údaje.
- Podepisující osoba je skutečně tou, za kterou se prohlašuje
- Jakmile určíte, že podepisující osoba má právo hovořit za organizaci, musíte ověřit, že tato osoba je skutečně tou, za kterou se prohlašuje.
- Je to stejné, jako když veřejný notář v Rakousku nebo Německu svým podpisem potvrdí, že ověřil totožnost a osvědčuje, že ověřená osoba skutečně podepsala listiny nutné pro koupi nemovitosti. Jde-li o důležité záležitosti, zákon vyžaduje notářské stvrzení. CACert vyžaduje něco podobného u zaručování organizací.
- Zásady, co může přiměřeným způsobem dokazovat, jsou úmyslně vágní, neurčité. Je to tím, že různé jurisdikce poskytují různé možnosti. Proto mohou podzásady povolit nebo zakázat určité možnosti pro jurisdikce, které pokrývají. Proto také mají zaručovatelé organizací nesmírnou volnost rozhodování.
- Například v Rakousku může být velmi dobře přijatelné spoléhat na notářsky ověřený podpis, protože veřejný notář je právně odpovědný za ověření totožnosti podepisující osoby. I když to není zakotveno v zásadách ani podzásadách, je zcela věcí zaručovatele, zda přijme notářské ověření jako postačující důkaz.
- Zaručovaná organizace
- Nyní, když víme, kdo podepsal formulář COAP (CAcert.org Organisation Assurance Programme, program CAcert zaručování organizací), a že tato osoba je oprávněna podepisovat za organizaci, potřebujeme ověřit samotnou organizaci.
- Organizace po právní stránce existuje
- Jako první se ujistíme, že organizace skutečně existuje jako právnická osoba. Jako v mnoha případech to zcela závisí na ¨místní jurisdikci.
- Musíte se tedy ujistit, že organizace existuje jako právnická osoba. Můžete například nahlédnout do některých vládou vydaných dokumentů. Například v Rakousku Vám společnost poskytne, nebo Vám řekne, abyste si vyžádal od vládních autorit, "Firmenbuchauszug" (výtah z knihy firem), kterým Vám vláda říká, že daná firma je v současnosti existující právnickou osobou.
- Pozor - nevyžádáte-li si takový dokument osobně přímo od vlády, mohl by být upraven. Proto se musíte také ujistit, že dokument je skutečně aktuálně platný. V zásadách jsou určitá opatření: například, že dokument nesmí být starší než 4 týdny. Podzásady mohou některá opatření přidat, např. definovat náležitosti právního důkazu.
- Organizace je pojmenována určeným názvem
- Za druhé potřebujete u organizací zkontrolovat, zde organizace skutečně a oficiálně má ten název, který si přeje používat u CAcert. Je to obtížnější, neboť mnoho organizací má jiný název pro běžné použití a jiný (oficiální) zapsaný v rejstříku (registru firem).
- Musíte si uvědomit, co říkají zásady: "Alternativní názvy organizací lze přidat, pokud jsou nezávisle doloženy. ... To znamená, že anglická právní tradice neregistrovaných názvů '(organizace) činná jako (název)' není přípustná bez dalšího důkazu."
- Tedy například IBM nemůže vyžadovat název IBM, ale pouze "International Business Machines Corporation", pokud nedokáže nezávislým způsobem, že vlastní obchodní známku "IBM", nebo že je pro svou činnost registrována jako "IBM".
- Jaký přesně to má být důkaz, to závisí na specifických podzásadách, podle nichž pracujete, a také na Vaší vlastní úvaze. Musíte však vědět, že budete odpovídat za "svou vlastní úvahu" během arbitráže nebo právních řízení.
- Domény vyžadované k vložení
- Organizace podstupuje náročné zaručení, aby měla ke svému profilu připojené domény. Je velmi důležité ověřit, že doména skutečně patří organizaci.
- Organizace skutečně vlastní domény
- Nejjednodušší cesta, jak to ověřit, je nahlédnutí do databáze "whois". Často ovšem zjistíte, že organizace požadující zaručení neodpovídá záznamu ve "whois".
- Potřebujete vědět, že různé domény nejvyšší úrovně poslední část názvu, například "com") definují vlastnictví domény různě. Nejčastěji však zjistíte, že je v databázi definováno jako záznam Admin-C.
- Pokud údaj neodpovídá, budete si muset vyžádat buď jiný důkaz vlastnictví nebo důkaz, že doména je přenesena na organizaci (tj. záznam Admin-C je opraven). Co přesně je přípustné jako "jiný důkaz vlastnictví", je buď určeno podzásadami, nebo ponecháno Vaší úvaze. Opět si zde uvědomte, že budete odpovídat za "svou úvahu".
- Správce (správci) organizace
- Správci organizace jsou ti, kteří skutečně a denně pracují pro organizaci. To oni budou vydávat a odvolávat certifikáty.
- CAcert požaduje, aby správci organizace byli taručovatelé. Je totiž nutné zajistit, aby osoby vydávající certifikáty znaly důsledky těchto svých činů. Každý zaručovatel CACert musí složit on-line zkoušku a získat alespoň 100 bodů zaručení na svém účtu.
- Zjistíte-li, že osoby určené organizací jako správci nesplňují tyto požadavky, máte několik možností. Předně můžete odmítnout zaručit nyní organizaci. Je však praktičtější pomoci organizaci a jejím budoucím správcům tyto požadavky splnit. Můžete sami zaručit budoucí správce, nebo o to požádat jiné zaručovatele CACert. Je ovšem důležité, aby zaručení proběhlo podle standardních procedur.
- Ačkoli můžete také vyškolit budoucí správce a radit jim i organizaci, musíte si uvědomit, že máte-li z této činnosti osobní prospěch, vytváří to "konflikt zájmů", který je v rozporu se zásadami (bod 5.a) a určitě musí být deklarován při zaručení.
- Je lépe doporučit jiného zaručovatele organizací, který provede potřebná školení.
Za co odpovídáte, když zaručujete organizaci?
- Tak jako u jiných zaručení, která provádíte, odpovídáte za arbitráž a právní řízení kvůli jakýmkoli Vašim prohlášením.
- Všeobecně určujete během zaručení organizace toto:
- Organizace existovala ke dni zaručení jako právnická osoba.
- Osoba podepisující formulář COAP je oprávněna podepisovat za organizaci a je skutečně tou, za kterou se prohlašuje.
- Správci organizace jsou současně zaručovateli CACert.
- Domény vložené do účtu organizace skutečně náleží této organizaci.
- Organizace je ke dni zaručení oprávněna používat název, jejž požaduje.
Nepříjemné?
- Není-li Vám celý postup [ne]příjemný [sic! buď je nepříjemný, nebo není, a má být příjemný, nebo ne?], pak asi nechápete jeho význam. Znamená to, že budete potřebovat důkladnější znalost práva v oblasti vaší místní jurisdikce, abyste znali rozsah své zodpovědnosti, když vytváříte prohlášení o organizaci.
- Avšak proces zaručení organizace je také velmi prospěšný. Znamená, že více entit po celém světě bude používat CACert pro potřeby svého zabezpečení. Znamená to, že zabezpečení přejde z rukou často zkorumpovaných společností do rukou internetové komunity. Znamená to, že odvádíte svůj díl práce na zlepšení zkušenosti s moderními komunikacemi a počítači.
- A tak, pokud cítíte, že si stále přejete stát se zaručovatelem organizací, a jste přesvědčeni, že se můžete vypořádat se značnými obtížemi, pak Vás CACert zve na potřebná školení a testování, abyste odvedli dobrou práci.
Postup
(starší poznámky převzaté z ROZPRACOVANÉHO dokumentu CPS.)
- Všeobecný postup:
Zaručovatel organizací je vázán provádět zaručování podle vybraných přídavných zásad (Subsidiary Policy, "SubPol"). Protože je mnoho různých forem organizací, zaručování organizací se řídí místním uspořádáním podle přídavných zásad, které jsou ověřeny normálním postupem pro zásady. Jsou obecně (ne vždy) podchyceny vedením země (vládou) a spravovány týmy místních zaručovatelů organizací.
Organizace musí písemně jmenovat a oprávnit správce organizace ("OrgAdmin"), aby v komunitě jednal za organizaci. Správce organizace (OrgAdmin) je obecně osoba, která je zaměstnancem organizace; musí to být fyzická osoba (tedy jednotlivec a ne společnost) a zaručovatel.
Správce organizace (OrgAdmin) představuje pro zaručovatele organizací (dle dokumentace):
- důkaz existence příslušné organizace,
- správnou formu názvu,
oprávnění jednat jako OrgAdmin a
- souhlas organizace s Dohodou komunity CAcert (CCA).
Zaručovatel organizací ověří uvedené body a provede i další příslušné kontroly podle přídavných zásad (SubPol).
Zaručovatel organizací umožní, aby do účtu správce organizace (OrgAdmin) byla přidána jeho organizace. Účet správce organizace (OrgAdmin) je metodou identifikace pro žádosti o certifikát.
- Zaručovatel organizací manuálně ověří každou doménu.
Správce organizace (OrgAdmin) může nyní jednat za organizaci - řídit vytváření certifikátů. Může přímo změnit (zapsat)běžný název (Common Name, CN) a organizační jednotku [OJ] (Organisation Unit, OU) pro certifikát.
- Správce organizace odpovídá za organizaci a za ověření jmen vnitřních uživatelů.
Proces dokumentace (ROZPRACOVÁNO)
Německý zaručovatel organizací (German OA) se pokouší vytvořit dokumentaci zaručování organizací v OpenSource systému požadavkových lístků CAcert (Open source Ticket Request System, OTRS), aby udržoval historii všech zaručení německých organizací.
Požadované kroky: viz Příručka OTRS.
Procedury pro jednotlivé země
Měli byste znát zásady CAcert pro zaručování organizací. Hlavní zásady najdete zde.
Podzásady pro jednotlivé země nebo oblasti lze najít na http ://svn.cacert.org/CAcert/Policies/OrganisationAssurancePolicy/ v seznamu řízených dokumentů. V každých přídavných zásadách (SubPol) je uvedena obchodní kancelář/komora (trade office).
(Následuje kopie z hlavní stránky OA ! potřebuje další revizi...)
Pro Evropu je zde (KONCEPT) Přídavné zásady, který pokrývá země s oficiálním rejstříkem obchodní komory/kanceláře (Trade Office). Tyto začleněné země jsou uvedeny v příloze 1.
V některých zemích je stav pouze ROZPRACOVÁNO a seznam zaručovatelů organizací nelze v současnosti dokončit. Proces dokončení vyžaduje z důvodu bezpečnosti shodu dvou místních zaručovatelů se skupinou zásad ohledně těchto přídavných zásad (SubPol).
Přehled rejstříků obchodních kanceláří/komor v Evropě je buď schválen, je schvalován nebo se zvažuje, rovněž detaily hledání společností a výtahy z rejstříků lze nalézt v evropských obchodních kancelářích [EuropeanTradeOffices]. Ne, k vyhledání použijte příslušné přídavné zásady (SubPol), neboť jde o formální dokument Skupiny zásad, ne o stránku komunity.
Tam, kde chybí infrastruktura (podzásady, zaručovatelé organizací), nastupuje procedura zavedení ("bootstrap"), kde lze použít normální zaručovatele. Iang: znamená to, že by to mohli dělat zaručovatelé organizací (OA) z jiných zemí? Jak to lze dělat bez přídavných zásad (SubPol)?
Aktualizovaný seznam viz Seznam zaručovatelů organizací Totéž, použijte přídavné zásady!
Myslím, že lze tuto tabulku zrušit a odkázat na novější pracovní stránku?
Země
Podzásady
Zaručovatel(é) organizací (podle priority)
Vzorky formulářů (PDF)
Různé
Austrálie
Robert Cruikshank, Sam Johnston, Andrew Barnes
Belgie
N/A
Alexander Prinsier
Francie
Požaduje se
Irsko
Andrew Barnes, Sam Johnston
Německo
Mario Lipinski, Sebastian Küppers
Nizozemí
Maurice Kellenaers, Teus Hagen
Norsko
Pákistán
probíhá
co to znamená?: Odkaz na Server 4 Sale (server na prodej?)
Rakousko
Philipp Dunkel, Philipp Gühring
Spojené království
Švédsko
Švýcarsko
Andereas Bürki, Ernestine Schwob
USA
probíhá
Odkaz: Greg Stark, Lance Jauron
Hlavní vlastnosti on-line interface
(starší poznámky přenesené z Konceptu zásad/Zaručování organizací [PolicyDrafts/OrganisationAssurance]).
- Každé organizaci je přiřazen zvláštní Hlavní účet organizace (Organisation Master Account, OMA). Stímto účtem lze provádět tyto administrativní úlohy / úlohy správy:
- přidat doménu (s ověřením přes e-mail)
Musíme zdůraznit, že identifikace odesilatelů veškeré e-mailové komunikace musí být zajištěna šifrováním certifikátem CAcert nebo jiným přijatelným certifikátem. SH
- přidat organizační jednotku OJ (Organisation Unit, OU)
přidat normální účty CAcert pro účty poboček organizace (Organisation Branch Accounts, OBA)
- přiřazení OJ (OU) k účtům poboček (OBA)
- podepisování serverových certifikátů
- generování klientských certifikátů
- podepisování klíčů PGP
- přidat doménu (s ověřením přes e-mail)
- Účty poboček organizace (OBA) mohou provádět za použití údajů organizace, domén a přidělených organizačních jednotek tyto administrativní úkoly / úkoly správy:
- podepisování serverových certifikátů
- generování klientských certifikátů
- podepisování klíčů PGP
Otázky k vyřešení
(starší poznámky přenesené z Konceptu zásad/Zaručování organizací [PolicyDrafts/OrganisationAssurance]).
Důsledky změn v životě organizace, která byla zaručena
Nastanou-li změny v oprávnění k činnosti (existence nebo právní forma organizace?), je nové oprávnění k činnosti (organizace?) důvodem požadovat (nařídit?) alokaci (přenos?) organizace do jiné OMA [Organisation Mxx Assurance?] nebo zrušit organizaci v systémech CAcert a pak odvolat všechny certifikáty vydané pro tu organizaci.
Co znamená Přestane-li zaručená organizace existovat, může CAcert dle svého uvážení přidat ihned všechny certifikáty, vydané pro tuto organizaci, ke svému Seznamu odvolaných certifikátů (Certificate Revocation List, CRL). Přenos totožnosti zaručené organizace na jiného jednotlivce nebo organizaci bude proveden podle uvážení CAcert pouze po obdržení důkazu právního zákonného nároku na zaručenou totožnost. V podstatě se snažím říci, že sloučení (fúze?) a převzetí jsou přijatelná, kdežto svévolné změny nejsou. Avšak je také třeba říci, kdo rozhodne - otázka, kterou jsem nepoložil, protože nejsem účastníkem diskuse. SH
Snadná odpověď: V případě jakékoli změny v povaze entity (například změna názvu nebo M&A [mergers and acquisitions, sloučení a akvizice/ zakoupení/ převzetí]), musí být zaručení opakováno nebo aktualizováno podle uvážení zaručovatele organizací. Není-li zaručení aktualizováno nebo opakováno, jako je tomu vždy v případě řešení sporu, může být vynuceno nařízením. iang
Příspěvky a úvahy
Příspěvky a úvahy pro ověření podpisu žadatele na formuláři COAP
20091206-PhilippGuehring / DieterHennig, e-mail
Aktivace podepisování kódu pro organizace > Po aktivaci možnosti podepisování kódu si musíte ihned vystavit nový certifikát a při jeho vystavení ještě zkontrolovat, zda bylo v certifikátu aktivováno podepisování kódu. Věřím, že podepisování kódu (Code-Signing) je u prohlížečů s Javascriptem v současnosti uvedeno v "Pokročilých možnostech / Upřesnění". > Pěkné pozdravy, > Philipp Gühring Vypršení platnosti. 1.) Já jako správce organizace si musím dát vystavit osobní certifikát *s* vlastností/účelem podepisování kódu. 2.) Potom mohu tuto vlastnost zapnout *také* u klientských certifikátů organizace. To jsem udělal a mám ve dvou (nových) certifikátech potřebné informace. Přesněji: 1.) Je skutečně třeba požádat o právo podepisovat jako jednotlivec. 2.) Pak je musíte, znovu jako jednotlivec, aspoň jednou použít v žádosti o (svůj) klientský certifikát. 3.) Potom máte jako správce organizace možnost zapnout podepisování v dialogu pro klientské certifikáty organizace. Díky za podporu a s přátelskými pozdravy Dieter Hennig
- YYYYMMDD-Vaše_jméno
Text / Vaše zprávy, úvahy a výňatky z e-mailů, prosím