Pro podepisování a šifrování e-mailové komunikace je základním předpokladem existence SSL certifikátu, který je nainstalovaný v používaném poštovním programu. V případě nepříliš technicky zdatných uživatelů Internetu je pak velmi důležitý fakt, zdali je certifikát implicitně důvěryhodný pro počítač/program odesílatele i adresáta. Nehodlám zde rozebírat právní aspekty certifikačních autorit, jde mi o snadnost použití mezi běžnými uživateli. Mezi vhodné poskytovatele takových e-mailových certifikátu patří Thawte a Comodo.
Thawte nabízí e-mailové certifikáty s možností uvedení jména a příjmení žadatele v rámci svého programu Web of Trust (WOT). Bližší informace jsou k nalezení zde - http://www.thawte.com/secure-email/personal-email-certificates/index.html?click=main-nav-products-email.
Dnes jsem našel další certifikační autoritu, jejíž e-mailové certifikáty jsou free pro nekomerční využití a implicitní důvěryhodnost v operačních systémech a nejčastěji používaných poštovních programech údajně dosahuje 99,3 procenta pokrytí (ekvivalentní Verisign, Thawte) - jedná se o produkt společnosti Comodo - http://www.comodo.com/products/certificate_services/email_certificate.html.
Pojďme se stručně podívat na výhody a nevýhody obou nabízených řešení.
Výhody Comodo:
-
rychlé, snadné získání certifikátu
-
zcela kompatibilní s Windows Vista
Nevýhody Comodo:
-
pouze pro jednu e-mail adresu
-
žadatel není nikterak ověřen
-
nelze se spoléhat na jím vyplněné jméno a příjmení, protože ověřena je jenom jeho e-mailova adresa (a to ještě pouhým zasláním e-mailu)
-
nelze si stáhnout certifikát později
Výhody Thawte:
-
pokud jste jednou ověřeni v rámci WOT, můžete si vydávat certifikáty na libovolný počet e-mail adres
-
principem ověření je vskutku totožnost žadatele prostřednictvím WOT notářů (jméno, příjmení, fotka, datum narození, RČ na základě dvou dokladů totožnosti), z toho vyplývající větší důvěryhodnost takového certifikátu oproti Comodo produktu
Nevýhody Thawte:
-
pro možnost uvedení jména/příjmení v certifikátu je nutná fyzická návštěva u minimálně dvou WOT notářů, díky tomu je proces získání certifikátu delší
-
ke dni napsání tohoto článku je systém Thawte nekompatibilní s Windows Vista, procedura Fetch (import vyhotoveného certifikátu do úložiště v operačním systému) na Windows Vista prostě nefunguje - viz dřívější článek, zoufalý pokus Thawte podpory o rozchození na Vista
Společné výhody:
-
zdarma
-
vysoká implicitní důvěryhodnost (přítomno v předinstalovaných Trusted Root Authorities na drtivé většině současných používaných operačních systémů/programů), prosím nezaměňovat s důvěryhodností z pohledu českého právního řádu
Společné nevýhody:
-
platné pouze rok
-
po roce je nutné zažádat o nový certifikát s novým privátním klíčem, tj. nelze provést renew
-
při náhledu rok starých mailů se tak zobrazuje hlášení o propadlém certifikátu
-
při šifrovaném mailu je potřeba mít k dispozici certifikát odesílatele z doby, kdy e-mail posílal, tj. není vhodné starší certifikáty promazávat, protože ty aktuální nejsou schopné e-mail otevřít (viz předchozí poznámka o nemožnosti renew operace)
Přes uvedené nevýhody považuji oba produkty za chvályhodné, umožňují totiž řadovým uživatelům (těm, kteří tvoří mainstream) vyzkoušet, co to certifikát je, jak se podepisuje, šifruje a to bez matoucího a obtížného kroku, který pro ně představuje import příslušného kořenového certifikátu certifikační autority do příslušného úložiště Trusted Root Authorities.
Mně osobně "sedí" víc produkt Thawte (a teď to nepíšu jako WOT notář), neboť se mohu "víc" spolehnout, že e-mail posílá vskutku osoba, za kterou se vydává. Získat falešnou identitu prostřednictvím sítě WOT notářů je přeci jenom složitější, i když samozřejmě ne nemožné, i WOT notáři jsou jenom lidé a lidé dělají úžasné chyby.