StartSSL Web-of-Trust
Během dvou týdnů se stane síť Thawte WOT minulostí, o čem jsem již psal zde. Jako řada jiných jsem se poohlížel po jiné alternativě bezplatných e-mailových certifikátů a k mému překvapení jsem našel více než adekvátní náhradu – certifikační autoritu StartSSL a její produkty. Původně jsem chtěl podrobně popsat, co a jak, jenže času je málo a tak za mne tuto nevděčnou práci provedli jiní. V tomto příspěvku bych tak chtěl shrnout jednotlivé zdroje, případně upozornit na skutečnosti, které nejsou na první pohled patrné.
StartSSL má oproti Thawte ve svých programech zdarma řadu výhod:
- je implicitně důvěryhodná v řadě operačních systémů (Windows)
- nabízí zdarma nejen e-mailové certifikáty, ale též SSL/TLS certifikáty
- v rámci StartSSL Web-of-Trust nabízí vydávání certifikátu znějícím na jméno žadatele jak u e-mailových, tak SSL/TLS certifikátů
Nyní podrobněji k jednotlivým bodům. U Thawte bylo nutné na počítač, na němž nebylo zažádáno o vydání e-mailového certifikátu, naimportovat Thawte Root CA do příslušného úložiště certifikátů. Oproti tomu se StartSSL dostalo do výběru implicitně důvěryhodných certifikátů, kterým Microsoft systémy automaticky věří. Velmi dobrý popis jsem nalezl na Lupě od Jiřího Peterky v jeho seriálu o datových schránkách, hledejte část MRCP.
Podrobný proces vytvoření uživatelského účtu u StartSSL, prvotního klientského certifikátu a prvního SSL certifikátu popsal na svém blogu Jiří Brejcha. Takovéto certifikáty jsou třídy Class 1, jsou k dispozici v podstatě ihned, ale obsahují ve svém názvu text “StartCom Free Certificate Member” (analogie s Thawte Freemail Member je čistě náhodná :)).
Naprostá paráda je, že i takovýto certifikát je v těch správných OS rovnou důvěryhodný.
Tím to však nekončí. Pokud toužíte (obdobně jako u Thawte WoT) mít vystavený certifikát na své jméno, je u StartSSL dostupný Web-of-Trust. Funguje na podobném principu jako Thawte WoT (tj. ověření minimálně dvěma notáři WoT), ale najdou se odlišnosti. Tou největší je fakt, že platnost ověření je pouze 1 rok (u Thawte bylo neomezené). Pro prodloužení je nutné znovuověření u notářů, což může někoho odradit.
Na druhou stranu je zde benefit v podobě SSL/TLS certifikátů použitelných třeba na web serverech, FTP serverch, Subversion, Mikrotiku, poštovních serverech a tak dále, což za trochu starostí určitě stojí.
Notářům se říká v terminologii StartSSL “pověřené osoby”. Pověřenou osobou může být ten, kdo splnil pravidla pro StartSSL Verified a prošel vstupním testem. V tuto chvíli je v České republice 5 pověřených osob, z toho 3 se nachází v jisté kanceláři na Olšanské :) Též pověřeným osobám expiruje platnost ověření po jednom roce, pokud chtějí být i nadále notáři, musí si buď obnovit program StartSSL Verified nebo se nechat ověřit jinou pověřenou osobou programu Web-of-Trust.
Zatímco u Thawte WoT se člověk mohl stát notářem “zdarma” s právem přidělit 10 bodů a jako pilná včelička mohl ověřovat další zájemce a postupně se vyšplhat až na 35 bodů pro jedno ověření, u StartSSL Web-of-Trust se na žádné body nehraje. Notář si musí minimálně na začátku vždy zaplatit prověření pro StartSSL Verified. Důvěryhodnost notářů je tak pro provozovatele systému bezpochyby vyšší, na druhou stranu těchto notářů není zatím moc.