Zmena pravidiel dôveryhodnosti certifikátov na Macu
Certifikáty sa často používajú na zabezpečenie elektronických informácií. Certifikát napríklad umožňuje podpísať email, zašifrovať dokument alebo sa pripojiť k zabezpečenej sieti. Na každý typ použitia sa vzťahujú pravidlá dôveryhodnosti, ktoré určujú, či je certifikát platný na dané použitie. Certifikát môže platiť na niektoré použitia, na iné už platiť nemusí.
Systém macOS využíva množstvo pravidiel dôveryhodnosti na určenie dôveryhodnosti certifikátu. Pre každý certifikát môžete vybrať iné pravidlá, čím získate širší rozsah kontroly nad hodnotením certifikátov.
Pravidlá dôveryhodnosti | Popis |
|---|---|
Použiť predvolené alebo bez určenia hodnoty | Použitie predvoleného nastavenia pre certifikát. |
Vždy dôverovať | Dôverovať autorovi a vždy mu povoliť prístup na server alebo k apke. |
Nikdy nedôverovať | Nedôverovať autorovi a nepovoliť mu prístup na server alebo k apke. |
Protokol SSL (Secure Sockets Layer) | Názov v certifikáte servera sa musí zhodovať s jeho názvom hostiteľa DNS, aby bolo možné úspešne vytvoriť pripojenie. Kontrola názvu hostiteľa sa nevykonáva v prípade klientskych certifikátov SSL. Ak existuje pole použitia rozšíreného kľúča, toto pole musí obsahovať vhodnú hodnotu. |
Zabezpečený Mail (S/MIME) | Email používa S/MIME na bezpečné podpisovanie a šifrovanie správ. Emailová adresa užívateľa musí byť uvedená v certifikáte a súčasťou musia byť aj polia použitia kľúča. |
Extensible Authentication Protocol (EAP) | Keď sa pripájate k sieti, ktorá vyžaduje autentifikáciu 802.1X, názov v serverovom certifikáte sa musí zhodovať s názvom hostiteľa DNS. Názvy hostiteľov pre klientske certifikáty sa nekontrolujú. Ak existuje pole použitia rozšíreného kľúča, toto pole musí obsahovať príslušnú hodnotu. |
Zabezpečenie IP (IPSec) | Keď sa na zabezpečenie komunikácie IP používajú certifikáty (napríklad na vytvorenie pripojenia VPN), názov v serverovom certifikáte sa musí zhodovať s jeho hostiteľským názvom DNS. Názvy hostiteľov pre klientske certifikáty sa nekontrolujú. Ak existuje pole použitia rozšíreného kľúča, toto pole musí obsahovať príslušnú hodnotu. |
Overovanie kódu | Certifikát musí obsahovať nastavenia použitia kľúča, ktoré mu explicitne povoľujú overovať kód. |
Časová značka | Tieto pravidlá určujú, či je certifikát možné použiť na vytvorenie dôveryhodnej časovej značky, pomocou ktorej sa overí, či bol digitálny podpis vytvorený v uvedenom čase. |
Základné pravidlá X.509 | Tieto pravidlá určujú platnosť certifikátu v zmysle základných požiadaviek ako napríklad jeho vydanie platnou certifikačnou autoritou, avšak bez zisťovania účelu alebo použitia povoleného kľúča. |