Účel certifikátu, HTTPS

Fakultní administrativa, přesněji její osobní část, je web, který obsahuje důvěrné údaje, a proto je při jeho zobrazování vynuceno šifrování HTTP komunikace mezi prohlížečem a serverem (protokol HTTPS). Protože na Internetu existují způsoby, jak by se za autentický server (zde server fadmin.fi.muni.cz) mohla do jisté míry vydávat neoprávněná třetí strana, využívá se v protokolu HTTPS systému tzv. certifikátů, kterými server, kterému při přihlašování sdělujete svoje tajné heslo, prokazuje svou totožnost.

Certifikát ovšem není nic víc než řetězec jedniček a nul a u něčeho takového nelze ověřit pravost od pohledu - kopie jedné bitové sekvence od sebe nejsou rozlišitelné (ani od "originálu", čímž u digitální informace v počítači ztrácí tento pojem kus svého smyslu). Proto je certifikát digitálně podepsán důvěryhodnou autoritou, která jako jediná umí podpis vytvořit a jednoznačně tím ztvrzuje, že certifikát je autentický, a ne podvržený. Ovšem i důvěryhodná autorita je v počítači jenom hromada bitů, které se dají podvrhnout. Leckdo může tvrdit, že je "FI MU" a tímto jménem může podepisovat certifikáty. To, že digitální podpis skutečné FI MU by vypadal jinak, si nemáte jak ověřit, pokud jste podpis pravé FI MU už někdy neviděli. Až pak se můžete porovnáním podpisu skutečně ověřit, jestli certifikát serveru, který se ohlašuje jako fadmin.fi.muni.cz, je pravý nebo podvržený. Stejně tak můžete samozřejmě porovnávat i přímo samotné certifikáty.

Jak bylo řečeno, všechna bezpečnost HTTPS stojí na tom, že předem víte, jak má vypadat pravý podpis FI (formálně tzv. podpisový certifikát certifikační autority - v případě serveru fadmin.fi.muni.cz je certifikační autoritou "Administrativa FI"), resp. jak má vypadat pravý certifikát, kterým se prokazuje pravý server fadmin.fi.muni.cz. Pakliže však Internet budeme považovat obecně za nedůvěryhodný (proto také existuje celá složitá režie okolo certifikátů), jak si pravý podpis opatřit?

Odpověď je prostá: jednou to musíte risknout (existuje také alternativa stažení certifikátu odjinud - viz konec této stránky - ale ta má podobné bezpečnostní mezery). Certifikáty a podpisy si za vás samozřejmě pamatuje internetový prohlížeč. Čili jakmile svůj prohlížeč poprvé nasměrujete na šifrovanou část webu Fakultní administrativy, prohlížeč zobrazí varování o tom, že se připojujete k jakémusi serveru fadmin.fi.muni.cz, který po vás bude chtít zadat tajné heslo a který o sobě tvrdí, že je tím pravým serverem fadmin.fi.muni.cz a dokládá to přiloženým certifikátem. Projednou budete muset spolehnout na to, že jste kontaktovali skutečně pravý fakultní server, prezentovaný certifikát přijmout a nechat svůj prohlížeč, aby si ho zapamatoval. Při všech následných přístupech k danému serveru už bude prohlížeč automaticky porovnávat certifikát nabízený serverem s certifikátem zapamatovaným.

Pro toto první setkání s novým serverem volte takové síťové prostředí, aby se šance podvrhu fakultního serveru minimalizovala. Ideální je přístup přímo zevnitř fakultní sítě (možné samozřejmě jen u notebooků a jiných mobilních zařízení) a za použití fakultních DNS serverů (DNS služba běžící na serveru aisa.fi.muni.cz vám nejspíš odpoví i při přístupu odkudkoli z Internetu).

Certifikáty FI

Abyste si při prvním příjmu certifikátu mohli být ještě o něco více jisti, že přijímáte ten pravý, uvádíme zde SHA-1 otisk certifikátu fadmin.fi.muni.cz (a zároveň otisk podpisového certifikátu autority Administrativa FI). Pravděpodobnost, že někdo podvrhne identitu serveru fadmin.fi.muni.cz a zároveň nějak napadne tyto webové stránky, je již naprosto mizivá. Doporučujeme při prvotním importu certifikátu zkontrolovat, zda jeho SHA-1 otisk souhlasí s níže uvedenými hodnotami.

Server fadmin.fi.muni.cz
B1:46:29:0D:E1:5B:5B:69:1D:89:FC:0D:A6:E0:76:77:F5:AE:CA:70
Server www.fi.muni.cz
35:6F:BD:99:E5:48:2C:28:5A:1E:96:43:A0:94:40:B5:B3:8B:ED:91
Server chat.fi.muni.cz
7F:97:1D:9D:19:0A:81:89:A6:4A:C0:3C:E4:76:86:68:D7:C0:C2:AF
Server svn.fi.muni.cz
CC:8A:4A:6C:54:C7:CC:E8:60:1D:D8:6A:43:5E:4C:16:A9:0E:DB:58
Certifikační autorita
AddTrust External CA Root
02:FA:F3:E2:91:43:54:68:60:78:57:69:4D:F5:E4:5B:68:85:18:68
UTN-USERFirst-Hardware
3D:4B:2A:4C:64:31:71:43:F5:02:58:D7:E6:FD:7D:3C:02:1A:52:9E
TERENA Certificate Service
3A:88:17:64:47:2B:64:41:DD:B3:AF:DD:47:C6:B8:B7:6E:E7:BA:1D

Jak bylo výše naznačeno, je možné si podpisový certifikát autority (která pak již věrohodně bude označovat certifikáty serveru za pravé/nepravé) stáhnout do prohlížeče ještě před prvním přístupem k Fakultní administrativě. Import můžete provést kliknutím na tyto odkazy:

Certifikační autorita FI

Obecně lze vystačit s importem a používáním výše uvedených certifikátů. U některých služeb však z technických důvodů není jednoduše možné používat tuto "oficiálnější" certifikační autoritu. Jde například o informační systémy jiných škol provozované Fakultou informatiky. V takových případech je používána následující certifikační autorita Fakulty informatiky:

Faculty of Informatics CA
3A:42:17:BF:27:19:2E:15:52:C2:E7:61:85:FD:B4:CA:83:F9:9D:D0

Závěr

Nutno dodat, že s sebou tato cesta žádný bezpečnostní bonus nenese: opět je tu nějaký webový server (shodou okolností také fadmin.fi.muni.cz), jehož identita nebo obsah mohly být podvrženy, což nemáte jak explicitně zjistit. Je to samé "první setkání" se stejnými riziky.