Názor k článku Postřehy z bezpečnosti: dva aktualizované bezpečnostní standardy od Filip Jirsák - Danny: Škoda, že nevíte, že kromě eIDAS certifikátů...

Danny: Škoda, že nevíte, že kromě eIDAS certifikátů existují i jiné certifikáty. Třeba Root.cz má certifikát, který není vydaný podle eIDASu – a přesto jej prohlížeče považují za důvěryhodný. Takže nová technologie se klidně může testovat na ne-eIDAS certifikátech, a když se osvědčí, nařídí se i pro eIDAS certifikáty.

Škoda, že nevíte, jak vznikají technické standardy. Třeba takové CT. Vznikl návrh, vznikly CT listy, některé autority začaly certifikáty na CT listy přidávat, některé prohlížeče začaly CT ověřovat ale certifikát bez CT nepovažovaly za vadný. Teprve když to všechno běželo, zavedla se CT jako povinná pro certifikáty vydávané autoritami předinstalovanými v prohlížečích/sys­témech.

Kdyby tehdy existovalo to ustanovení eIDASu, probíhalo by to stejně až do posledního kroku, evropské autority by dobrovolně začaly přidávat do CT. A teprve v posledním kroku by se buď připojila k dohodnutému termínu (ve skutečnosti by byla součástí toho dohadování termínu) zapnutí povinného CT. Nebo by (což je méně pravděpodobné, ale je to možnost) ETSI řekla „pro EU zatím ne“, takže by prohlížeče vyžadovaly CT pro certifikáty vystavené autoritou důvěryhodnou z vůle prohlížeče a nevyžadovaly by CT pro certifikáty vystavené autoritou důvěryhodnou z vůle EU nebo uživatele. Přičemž některé eIDAS autority by byly na seznamu prohlížečů a tudíž by povinně zveřejňovaly certifikáty na CT.

Vašim komentářům by také velmi prospělo, kdybyste nevymýšlel na papíře finální komentář, ale kdybyste si nejprve tvrzení, která chcete napsat, zvalidoval proti reálnému světu.

Kvalifikovane certifikaty jsou jen urednicky buzzword opreny o jinak vcelku bezne veci okolo RFC 5280. Ano, v pravni rovine to ma i jiny/sirsi vyznam - ale v te technicke rovine se fakt nevynalezlo zadne specialni "evropske kolo".
Přesně tak. Přičemž to, o čem se celou dobu bavíme, jsou také kvalifikované certifikáty. A jsou konstruované úplně stejně, jako jiné kvalifikované certifikáty – vezměme současné standardy, vytvořme z nich pomocí právních konstrukcí něco, co bude mít právní validitu, a ponechme v rukou odborných institucí, ať mohou tu právní validitu přilepit k technickým standardům, které jsou zrovna aktuální. Když je to správně v případě kvalifikovaných osobních a systémových certifikátů, proč je to podle vás špatně v případě kvalifikovaných webových certifikátů?