Názor k článku Yubikey Neo po dvou letech od Filip Jirsák - Smysl výměny certifikátů je především v tom, aby...

Smysl výměny certifikátů je především v tom, aby na certifikátu byly aktuální údaje. Certifikační autorita ověřuje údaje v okamžiku podpisu, jenže mnoho údajů se může později změnit – ale ten podpis na certifikátu už zůstane (a CA se o změně ani nemusí dozvědět, aby ho mohla sama zneplatnit). Pro nový certifikát není principiálně nutný nový veřejný klíč, a pokud mám privátní klíč uložený na zařízení, ze kterého jej nejde snadno získat, nedává výměna klíčů smysl (jediný důvod k případné výměně klíčů je politika CA). Naopak v případě šifrovacích klíčů je výměna kontraproduktivní, protože pak musíte všechny klíče archivovat.

Myslel jsem, že píšete o nějakém uzavřeném systému, kde můžete specifikovat, jak má certifikát vypadat. I tak nevidím problém s použitím e-mailu – prostě kdo bude chtít používat certifikát ve vašem systému, bude v něm muset mít e-mail. Adresa neodpovídající jméno nevadí, e-mail tam slouží jen jako unikátní identifikátor. Psal jste o českých akreditovaných autoritách, v takovém případě je pak asi nejlepší použít IK MPSV – do certifikátu si ho může nechat dát každý, a máte pak jednoznačnou identifikaci osoby, která je platná „navždy“.

Karty, které jsem měl v ruce, měly (starší modely) myslím 4 sloty pro 1kB certifikáty a 2 sloty 2kB certifikáty, novější mají myslím 8 slotů pro 2kB certifikáty (dají se tam nahrát i 1kB). Záleží model od modelu, ale omezení na nízké jednotky kusů je podle mne běžné.