Psal mi ráno na ICQ bývalý kolega, že to vypadá, že bude muset začít dle nějakého nařízení EU začít používat výhradně certifikáty od autorit z EU a přestat používat Thawte. WTF? Schválně jsem si zkoušel vyhledat nějaké informace. Nejdříve jsem našel tento článek na blogu CZ.NICu. Takže jde o nařízení, které k 1. 6. 2016 zruší směrnici 1999/93/ES. Nové nařízení je již platné, nicméně data účinnosti jsou stanovené na pozdější data v letech 2015 až 2018. Plné znění v češtině je dostupné zde. Velmi jsem se podivil nad termínem “elektronická pečeť”. V oddílu 8 Autentizace internetových stránek jsem pak našel, co jsem hledal. Oddíl obsahuje pouze jeden článek a to článek 45 – Požadavky na kvalifikované certifikáty pro autentizaci internetových stránek.
Ať to čtu, jak to čtu, pořád mi vychází, že když nepotřebuji kvalifikovaný certifikát, použiji komerční a nic se neděje. A na tom, dle mého názoru, nic nemění ani článek 14, nad kterým se zamýšlí autor článku na blogu CZ.NICu. Když serverový certifikát nepotřebuji nasadit jako kvalifikovaný, ale chci jej použít jako “nekvalifikovaný” = komerční, tak mne vůbec nezajímá, jestli má Geotrust, Thawte atd. uzavřenou nějakou smlouvu s EU či nikoliv.
Mimochodem, odstavec 1 článku 14 je opravdu výborný. Četl jsem ho snad 3x a pokaždé jsem se “ztratil”. A to to čtu v rodném jazyce
1. Služby vytvářející důvěru poskytované poskytovateli služeb vytvářejících důvěru usazenými ve třetí zemi se uznávají jako právně rovnocenné kvalifikovaným službám vytvářejícím důvěru poskytovaným kvalifikovanými poskytovateli služeb vytvářejících důvěru usazenými v Unii, pokud jsou služby vytvářející důvěru pocházející ze třetí země uznány na základě dohody uzavřené mezi Unií a dotyčnou třetí zemí nebo mezinárodní organizací v souladu s článkem 218 Smlouvy o fungování EU.
Takže si myslím, že kolegu bezpečáci mystifikovali – jde o pravý opak – o možnost, aby ne-evropské certifikační autority mohly začít vydávat certifikáty ekvivalentní kvalifikovaným. Do čehož se, myslím, nepoženou vzhledem k cenám, které, minimálně na českém trhu, konkurence stanovila.
Nakonec jsem si pročetl ještě jedno z posledních čísel sešitu Crypto-World, který připravoval další bývalý kolega. Článek bohužel předchází finálnímu schválení nařízení a důvěryhodnost webových stránek je tam zmíněna pouze okrajově. No uvidíme, jak si to kdo přelouská a jakých úprav se v našem zákoně o elektronickém podpisu 227/2000 Sb. a dalších (ISDS třeba) dočkáme.