Digitálne certifikáty: definícia, fungovanie a prehľad tried (X.509)

Digitálne certifikáty sú elektronické "kreditné karty" pre identitu na internete — potvrdenie, že určitý verejný kľúč patrí konkrétnej osobe, organizácii alebo zariadeniu. Vydáva ich certifikačná autorita (CA) a certifikát obsahuje základné údaje ako meno držiteľa, sériové číslo, dátumy platnosti, kópiu verejného kľúča držiteľa (používa sa na šifrovanie a overovanie digitálnych podpisov) a digitálny podpis vydávajúcej CA, aby príjemca mohol overiť pôvod a integritu certifikátu. Niektoré digitálne certifikáty sú v súlade so štandardom X.509. Digitálne certifikáty sa môžu uchovávať v registroch alebo adresároch (napr. LDAP), aby si overujúci používatelia mohli vyhľadať verejné kľúče iných používateľov.

Základné polia certifikátu

• Predmet (Subject) – identita držiteľa (meno, organizácia, doména).
• Vydávateľ (Issuer) – certifikačná autorita, ktorá certifikát podpísala.
• Sériové číslo – jedinečný identifikátor certifikátu.
• Platnosť (Valid From / To) – dátum a čas začiatku a konca platnosti.
• Verejný kľúč – kľúč, ktorý patrí držiteľovi a používa sa na šifrovanie alebo overovanie podpisov.
• Algoritmus a podpis CA – udáva, čím bol certifikát podpísaný (napr. RSA + SHA‑256).
• Rozšírenia (Extensions) – napr. SAN (Subject Alternative Name), keyUsage, extendedKeyUsage, basicConstraints a ďalšie, ktoré definujú použitie certifikátu.

Ako digitálny certifikát funguje v praxi

• Držiteľ vygeneruje pár kľúčov: súkromný (privátny) a verejný (public).
• Držiteľ pošle požiadavku na vydanie certifikátu (CSR – Certificate Signing Request) CA, ktorá overí identitu podľa svojich pravidiel.
• CA vydá certifikát podpísaný svojim súkromným kľúčom. Podpis umožňuje komukoľvek overiť autenticitu certifikátu pomocou verejného kľúča CA (v dôveryhodnom úložisku/root store).
• Pri spojení (napr. HTTPS) klient kontroluje platnosť certifikátu, reťaz dôvery (intermediárne CA až po root), či certifikát nie je odvolaný (CRL/OCSP) a či sú splnené požadované rozšírenia (napr. hostiteľ v SAN).

Štandard X.509 (verzie a rozšírenia)

X.509 je najrozšírenejší formát certifikátov používaný v TLS/SSL a inom PKI. Bežné verzie sú:

• v1 – základné polia (používa sa len zriedkavo dnes).
• v2 – pridáva polia pre sériové číslo a issuer/subject unique identifiers (málo používané).
• v3 – podporuje rozšírenia (extensions), ktoré umožňujú definovať rôzne použitia certifikátu (SAN, keyUsage, basicConstraints, CRL distribution points atď.).

Použitie digitálnych certifikátov

• HTTPS / TLS pre zabezpečenie webových stránok a šifrovanie komunikácie.
• Digitálne podpisovanie kódu a softvéru (code signing).
• E‑mailové šifrovanie a podpisy (S/MIME).
• VPN a autentifikácia klientov (client certificates).
• Podpisovanie dokumentov a elektronické obchodné transakcie.

Formáty a ukladanie

• PEM (textový Base64, používaný v Apache/OpenSSL).
• DER (binárny formát).
• PKCS#12 / PFX (archív obsahujúci certifikát a súkromný kľúč, chránený heslom).
• Hardvérové úložiská – smart karty, HSM (Hardware Security Module) pre bezpečnejšie uchovávanie súkromného kľúča.

Reťaz dôvery a overovanie

Certifikát sa často overuje pomocou reťaze dôvery: end‑entity certifikát → jeden alebo viac intermediate CA → root CA. Root CA sú uložené v dôveryhodnom úložisku (napr. vo webovom prehliadači alebo operačnom systéme). Overenie zahŕňa kontrolu platnosti podpisov v reťazi, dátumov platnosti, zhodu domény (pre TLS) a kontrolu revokácie.

Odvolanie certifikátu (revocation)

• CRL (Certificate Revocation List) – zoznam odvolaných certifikátov vydávaný CA.
• OCSP (Online Certificate Status Protocol) – protokol na rýchle zistenie stavu konkrétneho certifikátu.
• OCSP stapling – webový server priloží odpoveď OCSP do TLS handshake, čím sa zvyšuje efektivita a súkromie.

Triedy (úrovne dôvery) digitálnych certifikátov

Triedy certifikátov opisujú úroveň overenia identity, ktorú CA vykonáva pred vydaním certifikátu. Rôzne poskytovatelia môžu mať odlišné pomenovania, no bežne rozlišujeme:

• Trieda 1 – nízka úroveň overenia. Overenie sa obmedzuje napríklad na platné e‑mailové ID alebo minimálne administratívne kontroly. Certifikát má technickú platnosť, ale obvykle nemá silnú právnu alebo organizačnú zodpovednosť. Vhodné pre osobné e‑maily alebo testovanie.
• Trieda 2 – stredná úroveň overenia. Totožnosť osoby alebo organizácie sa overí voči dôveryhodnému verejnému záznamu alebo databáze (napr. obchodný register, bankové záznamy). Používa sa pre HTTPS certifikáty, kde sa overuje vlastníctvo domény a identita organizácie.
• Trieda 3 – vyššia úroveň overenia. Vyžaduje sa priame overenie identity držiteľa – napr. osobné predloženie dokladov na registračnom mieste alebo iný prísny proces identifikácie. Používa sa tam, kde je potrebná silná garancia identity alebo pre certifikáty zariadení a kritických systémov.

Okrem týchto tried existujú aj iné kategórie overenia, ktoré sa bežne používajú v PKI praxi, napríklad Domain Validation (DV), Organization Validation (OV) a Extended Validation (EV), pričom EV predstavuje prísnejšie overovanie identity organizácie a poskytuje vyššiu dôveru používateľom (v minulosti sa to prejavovalo aj zobrazením názvu spoločnosti v prehliadači).

Poznámka: terminológia ako " trieda 1–3" nie je striktne medzinárodne štandardizovaná a môže sa líšiť medzi vydavateľmi certifikátov.

Bezpečnostné odporúčania

• Používajte silné algoritmy a dĺžky kľúčov (napr. RSA 2048+ alebo krivky ECC ako P‑256/P‑384).
• Dbajte na pravidelnú obnovu certifikátov a rýchle odvolanie pri kompromitácii súkromného kľúča.
• Chráňte súkromné kľúče v HSM alebo na smart kartách, nepokladajte ich nezašifrované na serveroch.
• Aktivujte kontrolu revokácie (OCSP) a uvažujte o OCSP staplingu pre servery.
• Vyhnite sa zastaraným algoritmom (napr. SHA‑1) a sledujte odporúčania CA/Browser forum a bezpečnostných štandardov.

Zhrnutie

Digitálne certifikáty sú základným prvkom dôvery a bezpečnej komunikácie na internete. Zaručujú, že verejný kľúč patrí overenej entite, a umožňujú šifrovanie, autentifikáciu a integritu správ. Pochopenie polí certifikátu, reťaze dôvery, revokácie a tried overenia pomôže správne ich nasadiť a bezpečne spravovať.