Změna pravidel důvěry pro certifikáty
Certifikáty jsou velmi často používány k uchovávání elektronických informací. Díky certifikátu můžete např. podepisovat e‑maily, šifrovat dokumenty nebo se připojit k zabezpečené síti. Každý typ využití certifikátu podléhá zásadám důvěryhodnosti, které určují, zda je certifikát platný pro dané použití. Certifikát může být platný v jedné oblasti využití a v jiné zase nikoliv.
Systém macOS využívá k určení důvěryhodnosti certifikátu řadu pravidel důvěry. Tato u každého certifikátu můžete vybrat jiné pravidlo, díky čemuž máte na způsob vyhodnocování certifikátů velký vliv.
Zásady důvěryhodnosti | Popis |
---|---|
Použít výchozí nebo nebyla určena žádná hodnota | Použije výchozí nastavení certifikátu. |
Vždy důvěřovat | Autorovi aplikace důvěřujete a chcete vždy povolit přístup k serveru nebo aplikaci. |
Nikdy nedůvěřovat | Autorovi aplikace nedůvěřujete a přístup k serveru nebo aplikaci nechcete povolit. |
Protokol SSL (Secure Sockets Layer) | Aby bylo možné vytvořit připojení, název certifikátu serveru se musí shodovat s názvem hostitele jeho serveru DNS. U certifikátů klienta SSL se kontrola názvu hostitele neprovádí. Pokud je k dispozici pole Rozšířené použití klíče, musí obsahovat odpovídající hodnotu. |
Zabezpečená pošta (S/MIME) | K bezpečnému podepsání a šifrování zpráv e‑mail používá certifikát S/MIME. E‑mailová adresa uživatele se musí nacházet v seznamu certifikátu a je vyžadována přítomnost polí Použití klíče. |
EAP (Extensible Authentication Protocol) | Když se připojujete k síti vyžadující ověření totožnosti 802.1X, název certifikátu serveru se musí shodovat s názvem hostitele jeho serveru DNS. U certifikátů klienta se kontrola názvu hostitele neprovádí. Je-li k dispozici pole Rozšířené použití klíče, musí obsahovat odpovídající hodnotu. |
IPsec (IP Security) | Pokud jsou certifikáty používány k zabezpečení IP komunikace (např. při navazování připojení VPN), název certifikátu serveru se musí shodovat s hostitelským názvem jeho serveru DNS. U certifikátů klienta se kontrola názvu hostitele neprovádí. Je-li k dispozici pole Rozšířené použití klíče, musí obsahovat odpovídající hodnotu. |
Podepisování kódu | Tento certifikát musí obsahovat nastavení použití klíče, které výslovně opravňuje k podepsání kódu. |
Časové značkování | Tato zásada určuje, zda lze certifikát použít k vytvoření důvěryhodné časové značky, která ověřuje, že určitý digitální podpis byl vytvořen v určitém časovém okamžiku. |
Základní zásady X.509 | Tato zásada určuje platnost certifikátu se zřetelem k základním požadavkům, jako je vydání platnou certifikační autoritou, ale bez přihlížení k účelu nebo povolenému použití klíče. |