New Post: Obavijest o promjenama u certifikatima za fiskalizaciju - novi profil

PKIX cert chain se verificira na sljedeći način (pojednostavljeno):

1. Verifikacija potpisa u odnosu na end_cert (najniži cert u lancu, kojim je potpisan dokument)
2. current_cert = end_cert
3. Verifikacija valjanosti current_cert-a (valjanost datuma, valjanost potpisa kojim je sam current_cert potpisan)
4. Ako je current_cert u trusted CA-root storeu - validacija je uspješna. END
5. cert = parent(current_cert)
6. Ako cert nije moguće dohvatiti iz cert-chaina signaturea niti iz lokalnog cert storea, validacija je neuspješna. END
7. Ako je cert=(current_cert), validacija je neuspješna. END
8. current_cert = cert
9. Goto 3
   

Stvari se dodatno kompliciraju s revokacijama certifikata itd., ali olakotna okolnost je da se od koraka 2 na dalje brinu frameworci, a jedino što se treba imati na umu je:

• da se u CA-root store uvijek importira samo friški root certifikat
• u CA-root store nikada ne importirati end certifikat ili neki od intermediate certifikata.
  

Ozbiljne firme za tu svrhu koriste intermediate certifikate potpisane od priznatih CA-ova koji se već nalaze u CA storeu. Međutim, ovdje govorimo o FINA-i kojoj je bilo preskupo ishoditi jedan takav takav intermediate certifikat, pa su odlučili sebe dekretom proglasiti za trusted CA, pa se od developera/administratora očekuje da ručno unese taj certifikat u CA-root store. Nepotrebno istaknuti da je takav pristup loš i nesiguran, ukratko lame.

Prije nego što se ide razvijati išta što se naslanja na certifikate, bilo bi dobro pročitati malo više o PKIX certifikatima, jer ima dosta začkuljica.