Servisne strani računalniškega omrežja PUB
Nastavitev zaupanja overiteljem digitalnih potrdil MORS

Zaradi povečanja varnosti je komunikacija do nekaterih storitev (spletne strani, elektronska pošta, itd.) zaščitena s protokolom TLS (oziroma s starejšo različico SSL). Povezava do storitve je šifrirana, tako da ji nepoklicane osebe ne morejo prisluškovati in na primer pridobiti gesla. Zaščita s protokolom TLS/SSL tudi preprečuje lažno predstavljanje strežnikov oziroma storitev.

Za zaščito povezave do strežnikov in storitev Ministrstva za obrambo in SV s protokolom TLS/SSL uporabljamo digitalna potrdila, ki jih izdajata overitelja MORS SIMoD-CA-Restricted in SIMoD-CA-Root:

  • SIMoD-CA-Root je korenski overitelj in izdaja digitalna potrdila podrejenim overiteljem;
  • SIMoD-CA-Restricted je podrejeni oziroma končni overitelj in izdaja digitalna potrdila fizičnim osebam, napravam ter storitvam.

Podatki o overiteljih MORS so na naslovu http://www.simod-pki.mors.si.

Brskalniki overiteljev MORS ne poznajo, zato izpisujejo varnostna opozorila o nezaupanja vrednih digitalnih potrdilih ali pa celo zavračajo dostop do storitve. To pa zato, ker ni preveč zapleteno namestiti svojega lastnega overitelja in z njim izdati digitalno potrdilo za spletni strežnik - zlonamerneži to tudi v resnici počnejo.

Da preprečimo izpisovanje opozoril, moramo brskalniku povedati, da so overitelji MORS vredni zaupanja. In sicer je dovolj, da nastavimo zaupanje korenskemu overitelju (trusted root Certificate Authority) SIMoD-CA-Root.

S tem, ko zaupamo overitelju, avtomatsko zaupamo vsem digitalnim potrdilom, ki jih je ta overitelj izdal. Če je v verigi izdajanja digitalnih potrdil več overiteljev (kot v našem primeru), zaupamo vsem digitalnim potrdilom v verigi.

Konkreten postopek vzpostavitve zaupanja za nekatere brskalnike:


Kako si pomagamo z digitalnim potrdilom?

Za ilustracijo poiščemo podoben primer v "realnem" svetu - osebna izkaznica. Osebna izkaznica pravi: "oseba, ki stoji pred vami, je Janez Novak in stanuje na tem in tem naslovu". Na osebni izkaznici je slika osebe; če nam uspe povezati sliko z osebo, lahko štejemo, da je oseba res Janez Novak. Če uspemo povezati še podpis, smo lahko še bolj prepričani v verodostojnost te osebe.

Digitalno potrdilo je nekakšen dokument, ki pravi: "digitalni ključ, ki je vsebovan v digitalnem potrdilu, pripada osebi ali napravi, ki je navedena v polju Subject tega potrdila".

Digitalni ključ se uporablja za šifriranje in podpisovanje podatkov. Če dobimo podatke, podpisane s digitalnim ključem, lahko s pomočjo digitalnega potrdila preverimo, ali podatki prihajajo od osebe/naprave, ki je navedena v digitalnem potrdilu.
Pri vzpostavljeni varni povezavi imamo možnost preveriti vsebino digitalnega potrdila, s katerim je povezava zaščitena; postopek pregledovanja vsebine je odvisen od konkretnega programa, običajno moramo klikniti na ikono s ključavnico. V vsakem digitalnem potrdilu je več podatkov, med njimi so:

  • subject - ime nosilca digitalnega potrdila; pri TLS/SSL je tu zapisano domensko ime strežnika, na primer "nadgradnja.mors.si";
  • subject alt name - dodatna imena nosilca digitalnega potrdila; strežnik ima lahko več domenskih imen. V tem polju so zapisana dodatna veljavna imena, na primer "nika.pub.mors.si";
  • issuer - ime overitelja, ki je izdal digitalno potrdilo - v našem primeru "simod-ca-restricted";
  • veljavnost - od kdaj do kdaj je digitalno potrdilo veljavno.
Naslov strežnika (na primer https://naslov.streznika.si/nekaj.html) se mora ujemati s poljem subject ali subject alt name v digitalnem potrdilu, v nasprotnem primeru je nekaj zelo narobe in brskalnik izpiše varnostno opozorilo. Potrdilo mora biti tudi veljavno, sicer brskalnik izpiše varnostno opozorilo.
V našem primeru digitalno potrdilo potrjuje, da spletna stran "https://nadgradnja.mors.si/ssl.htm" pripada strežniku nadgradnja.mors.si.

Kaj pa sploh pomeni "zaupati overitelju"?

Overitelj izdaja digitalna potrdila in in jamči, da je bilo potrdilo izdano točno določenemu subjektu. Pred izdajo potrdila mora osebje overitleja na nek način preveriti identiteto subjekta. Ko overitelju zaupamo, v določeni meri verjamemo, da opravlja svoje delo vestno in natančno, se pravi, da na nek način preverja upravljalca spletnih strani, ko pride prosit za novo digitalno potrdilo za spletni strežnik.

Še ena primerjava iz realnega sveta: overitelj je nekakšen notar, ki overja podpis na dokumentu. Recimo, da nam oseba prinese overjeno listino in trdi, da jo je podpisala. Če zaupamo notarju, ki je overil to listino, verjamemo, da je dokument res podpisala oseba, ki to trdi.
VENDAR POZOR: notarjevo potrdilo ničesar ne pove o vsebini dokumenta (npr. ali je oseba res lastnik zemljišča), ker se notar v vsebino ne spušča. Prav tako overitelj ne preverja vsebine spletnih strani; zanjo je v celoti zadolžen upravljalec.