Certyfikaty — informacje i decyzje

Ten rozdział objaśnia używanie różnych okien pokazywanych podczas korzystania z Menedżera certyfikatów. Dodatkowe informacje tu podane są dostępne po naciśnięciu przycisku Pomoc w odpowiednim oknie.

Podgląd certyfikatu

W oknie podglądu certyfikatu są pokazywane informacje o certyfikacie zaznaczonym na jednej z kart Menedżera certyfikatów. Karta Ogólne zawiera sumaryczne dane o stanie weryfikacji certyfikatu, jego właścicielu, wydawcy, datach: wystawienia i ważności oraz odciskach kluczy kryptograficznych powiązanych z certyfikatem. Karta Szczegóły zawiera kompletne i szczegółowe informacje o zawartości certyfikatu.

Jeżeli podgląd certyfikatu jeszcze nie jest widoczny, należy:

1. Z menu &brandShortName;Edycja wybrać Preferencje.
2. W kategorii Prywatność i zabezpieczenia wybrać Certyfikaty. (Jeśli podkategorie nie są widoczne, to aby rozwinąć listę, należy podwójnie kliknąć na Prywatność i zabezpieczenia.)
3. Nacisnąć przycisk Menedżer certyfikatów
4. Wybrać kartę odpowiedniego typu certyfikatów.
5. Zaznaczyć certyfikat do podglądu.
6. Nacisnąć przycisk Wyświetl.

Karta Ogólne

Po otwarciu okna podglądu certyfikatu, domyślnie pokazana jest karta Ogólne. Zawiera ona kilka rodzajów informacji o certyfikacie:

• Niniejszy certyfikat został zweryfikowany do wykorzystania przez: Informacje, w jaki sposób Menedżer certyfikatów dokonuje ich sprawdzenia są dostępne w rozdziale Weryfikacja certyfikatów. Cele użytkowania certyfikatu mogą być dowolne z niżej podanych:
  • Certyfikat SSL klienta: Certyfikat używany do identyfikacji użytkownika na stronach WWW.
  • Certyfikat SSL serwera: Certyfikat używany do identyfikacji przez przeglądarki serwera WWW.
  • Certyfikat osoby podpisującej wiadomość: Certyfikat używany do identyfikacji użytkownika w celach cyfrowego podpisywania wiadomości poczty elektronicznej.
  • Certyfikat adresata wiadomości: Certyfikat używany do identyfikacji osoby trzeciej. Przykładowo, aby mieć możliwość wysyłania do niej zaszyfrowanych wiadomości poczty elektronicznej.
  • Certyfikat serwera potwierdzającego: Certyfikat używany do identyfikacji serwera potwierdzającego stan certyfikatów, używającego protokołu OCSP. Dodatkowe informacje o protokole OCSP można znaleźć w rozdziale Ustawienia weryfikacji.
  • Organ certyfikacji SSL: Certyfikat używany do identyfikacji organu certyfikacji — organizacji wydającej certyfikaty używane do identyfikacji użytkowników w sieciach komputerowych.
• Wystawiony dla: Sumaryczne informacje o certyfikacie:
  • Nazwa certyfikatu: Nazwa użytkownika, którego identyfikuje certyfikat.
  • Organizacja: Nazwa organizacji, do której należy właściciel certyfikatu (np. nazwa firmy, której jest użytkownik pracownikiem).
  • Jednostka organizacyjna: Nazwa jednostki organizacyjnej, do której należy właściciel certyfikatu (np. Dział Informatyki).
  • Numer seryjny: Numer seryjny certyfikatu.
• Wystawiony przez: Sumaryczne informacje (podobne do tych podanych w sekcji "Wystawiony dla" powyżej) o organie certyfikacji, który wydał dany certyfikat.
• Ważność: Określa przedział czasu, podczas którego certyfikat jest ważny.
• Odciski: Pokazuje odciski certyfikatu. Odcisk jest unikalnym ciągiem cyfr tworzonym przez zastosowanie pewnej funkcji matematycznej do zawartości certyfikatu. Odcisk certyfikatu może być użyteczny przy sprawdzaniu, czy certyfikat nie został sfałszowany.

Karta Szczegóły

Po wybraniu karty Szczegóły w oknie podglądu certyfikatu, pokażą się szczegółowe informacje o certyfikacie. Aby sprawdzić informacje dotyczące dowolnego certyfikatu w hierarchii, należy zaznaczyć jego nazwę, następnie interesującą pozycję w oknie Pola certyfikatu i odczytać jej zawartość w oknie Wartość pola:

• Hierarchia certyfikatu: W tej części okna podglądu certyfikatu pokazany jest łańcuch certyfikatów z zaznaczonym certyfikatem umieszczonym na samym dole. Łańcuch certyfikatów jest hierarchicznym przedstawieniem certyfikatów podpisanych przez kolejne organy certyfikacji (ang. certificate authorities (CA)). Certyfikat organu certyfikacji identyfikuje organ certyfikacji i jest używany do podpisywania certyfikatów wydanych przez ten organ. Certyfikat organu wydającego bezpośrednio certyfikat użytkownika może być podpisany przez certyfikat organu nadrzędnego (ten z kolei może być podpisany przez certyfikat organu będącego w hierarchii nad nim, aż do certyfikatu głównego organu certyfikacji.
• Pola certyfikatu: Ta część okna pokazuje pola składające się na zawartość certyfikatu.
• Wartość pola: Ta część okna pokazuje zawartość zaznaczonego pola certyfikatu.

Okno podglądu certyfikatu (tam, gdzie jest to możliwe) pokazuje informacje o certyfikacie w formacie przyjaznym do odczytania przez użytkownika (w postaci znaków ANSI). Zawartość pól, które nie mogą zostać jednoznacznie zinterpretowane, jest pokazywana w takiej postaci, w jakiej jest zawarta w certyfikacie.

Wybór urządzenia zabezpieczającego

Urządzenie zabezpieczające (zwane czasami tokenem) jest to sprzętowy lub programowy przyrząd, posiadający wbudowane procedury i usługi kryptograficzne, oraz przechowujący certyfikaty i klucze kryptograficzne użytkownika. Okno wyboru urządzenia zabezpieczającego pojawia się na ekranie w momencie, kiedy Menedżer certyfikatów musi wybrać, które z obecnych w systemie urządzeń ma zostać użyte przy wykonywaniu operacji związanych z obsługą certyfikatów, lub inną czynnością kryptograficzną (jak generacja kluczy nowego certyfikatu). To okno umożliwia użytkownikowi zaznaczenie jednego z dwóch lub więcej urządzeń zabezpieczających obecnych w systemie i pracę z wybranym urządzeniem.

Jednym z przykładów urządzenia zabezpieczającego jest karta inteligentna. Przykładowo, gdy czytnik kart podłączony do komputera posiada włożoną kartę inteligentną, jej nazwa będzie pokazywana na rozwijanej liście urządzeń zabezpieczających. Aby skorzystać z karty, użytkownik musi wybrać z listy dostępnych urządzeń jej nazwę.

Menedżer certyfikatów posiada swoje własne (wbudowane) urządzenie zabezpieczające, które może być używane zawsze, niezależnie od dostępności dodatkowych urządzeń instalowanych przez użytkownika.

Kopia klucza szyfrującego

Te organy certyfikacji (CA), które wydają oddzielne certyfikaty do podpisywania i szyfrowania poczty elektronicznej, zwykle tworzą kopie zapasowe prywatnych kluczy szyfrujących użytkownika podczas procesu wystawiania certyfikatu.

Okno dialogowe tworzenia kopii klucza szyfrującego umożliwia zatwierdzenie chęci utworzenia takiej kopii, lub anulowanie żądania wydania certyfikatu. Organ certyfikacji, który posiada kopię klucza prywatnego użytkownika, posiada również potencjalną możliwość odszyfrowywania zaszyfrowanej przy pomocy tego klucza korespondencji skierowanej do właściciela certyfikatu.

Z okna dialogowego tworzenia kopii klucza prywatnego istnieje możliwość podjęcia następujących czynności:

• Podgląd certyfikatu: Ten przycisk należy nacisnąć, aby uzyskać podgląd certyfikatu identyfikującego organ certyfikacji, który żąda wykonania kopii klucza prywatnego.
• OK: Jeżeli organ certyfikacji, który został zidentyfikowany przy pomocy jego certyfikatu, jest dla użytkownika zaufany, należy nacisnąć przycisk OK. Po naciśnięciu przycisku rozpocznie się proces tworzenia kopii klucza prywatnego.

  Przy niepewności co do zaufania organowi certyfikacji, który żąda utworzenia kopii klucza, należy zwrócić się o pomoc do administratora systemu.

• Anuluj: Jeżeli organ certyfikacji żądający wykonania kopii klucza prywatnego nie jest wystarczająco zaufany, nie należy żądać wydania przezeń certyfikatu. Naciśnięcie przycisku Anuluj spowoduje przerwanie zarówno procesu wykonywania kopii klucza prywatnego, jak i procesu tworzenia certyfikatu.

Po utworzeniu kopii klucza prywatnego przez organ certyfikacji, użytkownik będzie w stanie używać tego klucza do odczytu własnej zaszyfrowanej korespondencji nawet w przypadku zapomnienia hasła do klucza lub utraty własnej kopii klucza. Jeżeli nie będzie istnieć żadna kopia klucza prywatnego, a użytkownik zapomni hasło lub utraci swój klucz, nie będzie miał możliwości czytania korespondencji, która została zaszyfrowana przy użyciu takiego klucza.

Kopia zapasowa certyfikatu

Po uzyskaniu certyfikatu należy wykonać kopię zapasową samego certyfikatu, jak i powiązanego z nim klucza prywatnego. Kopię tę należy przechowywać w bezpiecznym miejscu. Przykładowo, można ją umieścić na dyskietce, która następnie będzie przechowywana w bezpiecznym i zamkniętym miejscu. Tym sposobem, nawet w przypadku utraty certyfikatu z powodu problemów z dyskiem twardym komputera lub plikiem certyfikatu, będzie można bez problemów odzyskać certyfikat.

Utrata certyfikatu może stanowić dużą uciążliwość dla jego właściciela, a w niektórych wypadkach może okazać się czynnością katastrofalną w skutkach (w zależności od celów używania certyfikatu). Przykładowo:

• Po utracie certyfikatu identyfikującego użytkownika na ważnych stronach WWW, nie będzie on posiadał prawa dostępu do tych stron do momentu uzyskania nowego certyfikatu.
• Po utracie certyfikatu używanego do szyfrowania elektronicznej korespondencji, nie będzie istniała możliwość odczytu tej korespondencji — zarówno wysłanej, jak i odebranej. W tym przypadku, jeśli użytkownik nie odzyska certyfikatu i powiązanego z nim klucza prywatnego z kopii zapasowej, nie będzie w stanie nigdy odczytać żadnej korespondencji zaszyfrowanej przy użyciu tego klucza.

Jak wszelkie inne cenne dane, również certyfikat powinien mieć utworzoną kopię bezpieczeństwa. Nie należy o tym zapominać.

Żądanie identyfikacji użytkownika

Certyfikat jest bardzo wiarygodną metodą identyfikacji. Z tego też powodu niektóre witryny internetowe żądają przy identyfikacji użytkownika jego certyfikatu zamiast standardowej pary użytkownik i hasło. Taka metoda identyfikacji jest czasami zwana autoryzacją klienta.

Jak wiadomo, jeden użytkownik może posiadać w Menedżerze certyfikatów więcej niż jeden certyfikat służący jego identyfikacji w Internecie. W takim przypadku, Menedżer certyfikatów wyświetli okno dialogowe Żądanie identyfikacji użytkownika, zawierające dwa rodzaje informacji:

Witryna zażądała identyfikacji użytkownika za pomocą certyfikatu: Ta część okna dialogowego pokazuje następujące informacje:

• Nazwa hosta (serwera): Nazwa serwera żądającego identyfikacji użytkownika, pokazywana jako część jego adresu URL. Przykładowo, nazwą hosta witryny firmy Netscape jest home.netscape.com.
• Organizacja: Nazwa organizacji, która zarządza witryną WWW.
• Wydany przez: Nazwa organu certyfikacji (CA), który wydał certyfikat.

Wybierz certyfikat do użycia: Certyfikaty posiadane przez użytkownika przeznaczone do jego identyfikacji na stronach WWW, są umieszczone w tej części okna dialogowego na rozwijanej liście wyboru. Z niej należy wybrać ten certyfikat, który wydaje się najbardziej pasującym do odwiedzanej witryny.

Aby pomóc w wyborze właściwego certyfikatu, wyświetlane są poniższe szczegóły dotyczące zaznaczonego certyfikatu:

• Wystawiony dla: Pokazuje informacje o osobie, którą certyfikat identyfikuje (przykładowo nazwisko i adres poczty elektronicznej tej osoby), a także numer seryjny certyfikatu i daty jego ważności.
• Wystawiony przez: Pokazuje skrócone informacje o organie certyfikacji, który wydał certyfikat (nazwa organu, jego lokalizacja geograficzna).

Nowy organ certyfikacji

Certyfikat, który jest w posiadaniu Menedżera certyfikatów w postaci pliku (niezależnie od miejsca jego przechowywania — dysk twardy komputera, lub zewnętrzne urządzenie zabezpieczające), zawiera certyfikaty identyfikujące organy certyfikacji (CA). Aby móc rozpoznawać wszystkie certyfikaty ze swojej bazy, Menedżer certyfikatów musi posiadać certyfikaty organów certyfikacji, które wydały lub autoryzowały wydanie tych certyfikatów.

Gdy użytkownik zadecyduje o zakwalifikowaniu danego organu certyfikacji do organów zaufanych, Menedżer certyfikatów pobiera certyfikat takiego organu i od tej pory jest w stanie poprawnie rozpoznawać te rodzaje certyfikatów, które zostały wybrane w momencie ustawiania stopnia zaufania organu.

Przed pobraniem nowego certyfikatu organu certyfikacji, Menedżer certyfikatów umożliwia określenie rodzajów certyfikatów wydawanych przez organ, które należy uznać za zaufane. Istnieje możliwość wyboru każdej opcji z poniższej listy:

• Zaufaj temu CA przy identyfikacji witryn internetowych: Certyfikaty niektórych witryn WWW (na przykład prowadzących działalność finansową) mogą mieć szczególne znaczenie z punktu widzenia bezpieczeństwa transakcji i każda niepoprawna lub fałszywa identyfikacja witryny może mieć poważne negatywne konsekwencje dla użytkownika.
• Zaufaj temu CA przy identyfikacji użytkowników poczty: Jeżeli użytkownik zamierza wysyłać poufne wiadomości przy pomocy poczty elektronicznej lub, gdy z jakiś powodów jest dla niego istotna dokładność identyfikacji swych korespondentów, powinien przed zaznaczeniem tej opcji szczegółowo zapoznać się z procedurami organów certyfikacji dotyczącymi identyfikacji przyszłych posiadaczy certyfikatów i zdecydować, czy są one dla niego odpowiednie).
• Zaufaj temu CA przy identyfikacji twórców oprogramowania: Zaznaczenie tej opcji oznacza, że użytkownik zakłada odpowiedni poziom zaufania dla organu certyfikacji, który może wydawać certyfikaty identyfikujące pochodzenie apletów języka Java i skryptów języka JavaScript żądających wyjątkowego dostępu do jego komputera (jak np. możliwość zmiany plików). Ponieważ taki tryb dostępu do danych może być używany w celach niepożądanych (przykładowo może doprowadzić do skasowania danych znajdujących się na dysku twardym), należy podjąć decyzję o zaznaczeniu tej opcji z zachowaniem szczególnej uwagi.

Zanim zostanie podjęta decyzja o zaufaniu nowemu organowi certyfikacji, należy upewnić się, kto jest właścicielem i operatorem organu. Należy upewnić się, czy polityka i procedury organu są odpowiednie dla tych rodzajów certyfikatów, które organ wydaje. Przykładowo, jeżeli organ wydaje certyfikaty identyfikujące witryny WWW używane do transakcji finansowych, należy upewnić się, że poziom bezpieczeństwa zapewniany przez organ jest dla użytkownika wystarczający.

• Wyświetl: Naciśnięcie tego przycisku wywołuje okno z podglądem certyfikatu dodawanego środka certyfikacji. Jeżeli zdecydowano o niepobieraniu certyfikatu, należy nacisnąć przycisk Anuluj.

Certyfikaty witryn WWW

Jedno z okien opisanych poniżej może się pojawić przy próbie dostępu do witryny WWW obsługującej protokół SSL dla celów autoryzacji użytkownika i szyfrowania przesyłu danych.

Nie udało się nawiązać bezpiecznego połączenia

W przypadku, gdy wyłączono protokół SSL (np. poprzez Ustawienia SSL) lub wczytywana strona używa starszej, niezabezpieczonej wersji protokołu SSL, wyświetli się strona zatytułowana "Nie udało się nawiązać bezpiecznego połączenia". Strona ta zawiera podstawowe informacje (włączając Kod błędu, który identyfikuje rodzaj problemu wykrytego przez program &brandShortName; w związku z otwieraną stroną) oraz przycisk Spróbuj ponownie służący do ponownego wczytania strony.

Niezaufane połączenie

Jeśli włączono protokół SSL, wyświetlona strona błędu będzie nosiła tytuł "To połączenie nie jest zaufane". Istnieje wiele różnych powodów, dla których połączenie może wyglądać na niezaufane. Poniżej prezentujemy te najczęściej spotykane:

• certyfikat witryny stracił ważność (wygasł)
• certyfikat witryny nie jest jeszcze ważny
• certyfikat danej witryny jest ważny tylko dla innej strony (niezgodność nazw domen)
• certyfikat witryny nie pochodzi z zaufanego źródła (przez co nie można zweryfikować tożsamości strony).
• wydawca certyfikatu nie jest zaufany (program &brandShortName; nie może zweryfikować tożsamości witryny, ponieważ nie jest w stanie rozpoznać urzędu certyfikacji (CA), który wydał certyfikat)

Strona wyświetlona w powyższych przypadkach ma na celu wyjaśnić, dlaczego program &brandShortName; nie mógł ustanowić bezpiecznego połączenia z żądaną stroną internetową. Na początku podaje informację, że nie można zweryfikować tożsamości strony, a następnie proponuje opuszczenie strony poprzez kliknięcie przycisku To brzmi nieciekawie. Zabierz mnie stąd!. W przypadku wątpliwości, zaleca się skorzystanie z tej porady.

Więcej informacji na temat zaistniałego problemu można uzyskać, klikając strzałki znajdujące się naprzeciw nagłówka Szczegóły techniczne. Sekcja ta zawiera również Kod błędu, który identyfikuje rodzaj problemu wykrytego przez program &brandShortName; w związku z żądaną stroną.

Dodawanie wyjątku bezpieczeństwa

Sekcja Rozumiem ryzyko strony informującej o niezaufanym połączeniu umożliwia wydanie polecenia programowi &brandShortName;, aby zupełnie ignorował kontrole bezpieczeństwa, dodając wyjątek. Po rozwinięciu sekcji poprzez kliknięcie znajdujących się naprzeciw niej strzałek pojawi się przycisk Dodaj wyjątek, po kliknięciu którego wyświetli się okno dialogowe pozwalające na uzyskanie i przeglądanie certyfikatu witryny oraz, opcjonalnie, na dodanie dla niej Wyjątku bezpieczeństwa (na stałe albo tylko dla bieżącej sesji). Można zarządzać tymi wyjątkami, wchodząc do karty Serwery w Menedżerze certyfikatów.

Okno dialogowe: Nie udało się nawiązać bezpiecznego połączenia

W przypadku, gdy program &brandShortName; nie może określić rzeczywistego powodu problemu, oprócz strony Niezaufane połączenie wyświetli się okno dialogowe zatytułowane "Nie udało się nawiązać bezpiecznego połączenia". Okno to zawiera przycisk Wyświetl certyfikat, który pozwala na dokładniejsze przeanalizowanie certyfikatu witryny.

Wygasły certyfikat

Podobnie jak karta kredytowa i wiele innych form identyfikacji, również certyfikat jest ważny przez określony okres czasu. Po wygaśnięciu certyfikatu użytkownik musi sobie wyrobić nowy.

Program &brandShortName; ostrzega użytkownika przed próbą dostępu do witryny WWW, której certyfikat wygasł. Pierwszą rzeczą, jaką powinien w związku z takim komunikatem zrobić użytkownik jest sprawdzenie poprawności daty i czasu w swoim komputerze. Jeżeli zegar komputera jest ustawiony na datę późniejszą niż data wygaśnięcia certyfikatu, program &brandShortName; będzie traktować certyfikat jako wygasły.

Jeżeli zegar komputera jest ustawiony poprawnie, do użytkownika należy decyzja o zaufaniu okazanym danej witrynie. Taka decyzja może zależeć od tego, jakie czynności chce się wykonywać na witrynie, czy też, czy witryna jest użytkownikowi znana i zaufana. Większość stron komercyjnych uaktualnia swoje certyfikaty przed ich wygaśnięciem. Aby kontynuować, należy dodać wyjątek bezpieczeństwa.

Jeszcze nieważny certyfikat

Podobnie jak karta kredytowa i wiele innych form identyfikacji, również certyfikat jest ważny przez określony okres czasu.

Program &brandShortName; ostrzega użytkownika przed próbą dostępu do witryny WWW, której certyfikat jest jeszcze nieważny. Pierwszą rzeczą, jaką powinien w związku z takim komunikatem zrobić użytkownik jest sprawdzenie poprawności daty i czasu w swoim komputerze. Jeżeli zegar komputera jest ustawiony na niewłaściwą datę, program &brandShortName; może traktować certyfikat jako jeszcze nieważny, nawet jeśli tak nie jest w danym konkretnym przypadku.

Jeżeli zegar komputera jest ustawiony poprawnie, do użytkownika należy decyzja o zaufaniu okazanym danej witrynie. Taka decyzja może zależeć od tego, jakie czynności chce się wykonywać na witrynie, czy też, czy witryna jest użytkownikowi znana i zaufana. Większość stron komercyjnych nie udostępnia swoich certyfikatów z datą początku ważności wybiegającą w przyszłość. Aby kontynuować, należy dodać wyjątek bezpieczeństwa.

Niezgodność nazw domen

Certyfikat serwera zawiera nazwę serwera w postaci nazwy domeny witryny. Przykładowo, nazwą domeny witryny WWW organizacji Mozilla jest www.mozilla.org. Jeżeli nazwa domeny w certyfikacie serwera nie jest zgodna z aktualną nazwą domeny witryny WWW, może to oznaczać, że ktoś próbuje przechwycić komunikację użytkownika z witryną WWW.

Program &brandShortName; ostrzega przed każdą próbą otworzenia witryny znajdującej się na serwerze, którego domena certyfikatu nie jest zgodna z domeną odwiedzanej strony internetowej. Decyzja, czy mimo ostrzeżenia można traktować witrynę jako zaufaną należy do użytkownika i może zależeć od tego, jakie czynności chce on wykonywać na niej i czy jest ona znana użytkownikowi. Certyfikaty większości stron komercyjnych posiadają taką samą nazwę domeny w certyfikacie, jaka widnieje w pasku adresu przeglądarki. Aby kontynuować, należy dodać wyjątek bezpieczeństwa.

Jeżeli użytkownik zdecyduje mimo wszystko zaakceptować certyfikat (obojętne, czy na czas bieżącej sesji, czy na zawsze), powinien być ostrożny w wykonywaniu czynności w witrynie i powinien traktować wszelkie informacje na niej jako potencjalnie podejrzane.