Změna pravidel důvěry pro certifikáty na Macu
Certifikáty jsou velmi často používány k uchovávání elektronických informací. Díky certifikátu můžete např. podepisovat e‑maily, šifrovat dokumenty nebo se připojit k zabezpečené síti. Každý typ využití certifikátu podléhá zásadám důvěryhodnosti, které určují, zda je certifikát platný pro dané použití. Certifikát může být platný v jedné oblasti využití, zatímco v jiných oblastech ne.
Systém macOS využívá k určení důvěryhodnosti certifikátu řadu pravidel důvěry. Tato u každého certifikátu můžete vybrat jiné pravidlo, díky čemuž máte na způsob vyhodnocování certifikátů velký vliv.
Pravidlo důvěry | Popis |
|---|---|
Použít výchozí nebo nebyla určena žádná hodnota | Použije výchozí nastavení certifikátu. |
Vždy důvěřovat | Důvěra autorovi aplikace a povolení přístupu k serveru nebo aplikaci vždy. |
Nikdy nedůvěřovat | Nedůvěřování autorovi aplikace a nepovolení přístupu k serveru nebo aplikaci. |
Protokol SSL (Secure Sockets Layer) | Aby bylo možné vytvořit připojení, název certifikátu serveru se musí shodovat s názvem hostitele jeho serveru DNS. U certifikátů klienta SSL se kontrola názvu hostitele neprovádí. Pokud je k dispozici pole Rozšířené použití klíče, musí obsahovat odpovídající hodnotu. |
Zabezpečená pošta (S/MIME) | K bezpečnému podepsání a šifrování zpráv e‑mail používá certifikát S/MIME. E‑mailová adresa uživatele se musí nacházet v seznamu certifikátu a je vyžadována přítomnost polí Použití klíče. |
EAP (Extensible Authentication) | Když se připojujete k síti vyžadující ověření totožnosti 802.1X, název certifikátu serveru se musí shodovat s názvem hostitele jeho serveru DNS. U certifikátů klienta se kontrola názvu hostitele neprovádí. Pokud je k dispozici pole Rozšířené použití klíče, musí obsahovat odpovídající hodnotu. |
IPsec (IP Security) | Pokud jsou certifikáty používány k zabezpečení IP komunikace (např. při navazování připojení VPN), název certifikátu serveru se musí shodovat s hostitelským názvem jeho serveru DNS. U certifikátů klienta se kontrola názvu hostitele neprovádí. Pokud je k dispozici pole Rozšířené použití klíče, musí obsahovat odpovídající hodnotu. |
Podepisování kódu | Tento certifikát musí obsahovat nastavení použití klíče, které výslovně opravňuje k podepsání kódu. |
Časové značkování | Tato zásada určuje, zda lze certifikát použít k vytvoření důvěryhodné časové značky, která ověřuje, že určitý digitální podpis byl vytvořen v určitém časovém okamžiku. |
Základní zásady X.509 | Tato zásada určuje platnost certifikátu se zřetelem k základním požadavkům, jako je vydání platnou certifikační autoritou, ale bez přihlížení k účelu nebo povolenému použití klíče. |