MJU Vlada RS SIGEN-CA Overitelj na MJU English

RAVNANJE S SPLETNIM POTRDILOM

 

Varovanje referenčne številke in avtorizacijske kode

Za prevzem digitalnega potrdila in generiranje ključev sta potrebni referenčna številka in avtorizacijska koda. Prejmete ju od overitelja digitalnih potrdil SIGEN-CA po ločenih poteh: po elektronski pošti prejmete referenčno številko, s poštno pošiljko pa avtorizacijsko kodo. Prevzem digitalnega potrdila in generiranje ključev morate opraviti čimprej, najkasneje pa v 60 dneh od izdaje referenčne številke in avtorizacijske kode. Dokler številke in kode ne uporabite, ju morate hraniti na varnem mestu, da preprečite dostop drugim osebam in s tem tudi možnost zlorabe. Po generiranju ključev in prevzemu digitalnega potrdila sta referenčna številka in avtorizacijska koda neuporabni in ju lahko zavržete.

 

Potem, ko ste v vaš brskalnik namestili vaše spletno potrdilo, opravite naslednje:


Ogled vašega potrdila in potrdila izdajateljev

Preverite podatke v vašem potrdilu in če niso pravilni, ukrepajte v skladu s Politiko SIGEN-CA.

Ogled digitalnih potrdil z brskalnikom

Izdelava varnostne kopije spletnega potrdila

Hranjenje vašega digitalnega potrdila in zasebnega ključa na vašem disku je manj zanesljivo, omogoča pa izdelavo varnostnih kopij vašega digitalnega potrdila. Priporočamo izdelavo varnostne kopije na zgoščenko, če vam vaše delovno okolje to omogoča. Z zgoščenko ravnajte v skladu z navodili proizvajalca.

Izdelava varnostne kopije digitalnega potrdila z brskalnikom

Hranjenje zasebnih ključev

Poskrbeti morate, da nezaželena oseba nima dostopa do vašega zasebnega ključa. Vaš zasebni ključ je zaščiten z geslom. Skrbno morate varovati tako svoj zasebni ključ kot tudi geslo. Overitelj priporoča, da vaše digitalno potrdilo in zasebni ključ hranite na pametni kartici. Uporaba pametnih kartic v primerjavi z uporabo drugih medijev, npr. diska (baze brskalnika), zmanjšuje možnosti zlorabe. Pri uporabi spletnih digitalnih potrdil ravnajte v skladu s politiko SIGEN-CA (poglavje Varnostne zahteve za imetnika), in po navodilih opisanih v poglavju Hranjenje zasebnih ključev na pametni kartici. Če kljub priporočilu ne boste uporabljali pametne kartice, potem upoštevajte navodila opisana v poglavju Hranjenje zasebnih ključev na disku (v bazi brskalnika). Za varno ravnanje z gesli upoštevajte navodila v poglavju Ravnanje z gesli.

Hranjenje zasebnih ključev na disku

Če kljub priporočilu ne uporabljate pametnih kartic, potem lahko hranite digitalno potrdilo in vaš zasebni ključ na disku vašega računalnika oz. v bazi vašega brskalnika, kar poveča možnost zlorabe s strani nezaželene osebe v primerjavi z uporabo pametnih kartic. Način varovanja digitalnega potrdila in zasebnega ključa na disku je odvisen od brskalnika, ki ga uporabljate.

V brskalniku Mozilla digitalno potrdilo in zasebni ključ zaščitite z geslom, ki ga nastavite prek menija Edit -> Preferences -> Privacy&Security -> Master Passwords, v brskalniku Firefox pa Tools -> Options -> Privacy -> Saved Passwords -> Change Master Password.

Če uporabljate brskalnik MS Internet Explorer, različico po priporočilu overitelja na MJU, si digitalno potrdilo in zasebni ključ zavarujete s poljubnim geslom, pri tem upoštevajte navodila v poglavju Ravnanje z gesli. Geslo določite ob postopku prevzema digitalnega potrdila. Če potrdila niste zaščitili z geslom ob prevzemu (niste izbrali visokega nivoja varnosti), ga vsekakor zaščitite naknadno.

Hranjenje zasebnih ključev na pametni kartici

Varnost

Uporaba pametnih kartic za hranjenje zasebnega ključa zagotavlja, da se zasebni ključ nikoli ne prenese v spomin računalnika ali na disk, kjer bi bil lahko dostopen nezaželenim osebam. Na pametni kartici se ključi generirajo in se tam tudi shranijo. Nezaželena oseba lahko uporablja vaše digitalno potrdilo in zasebni ključ, če ima dostop do vaše pametne kartice in če pozna vaše geslo oziroma kodo PIN. Pametna kartica se mora hraniti tako, da ni dostopna nezaželenim osebam. Z geslom za zaščito pametne kartice ravnajte po navodilih opisanih v poglavju Ravnanje z gesli.

Ravnanje

Izberite pametne kartice, ki ustrezajo vašemu računalniškemu sistemu in vašemu brskalniku za hranjenje 2048-bitnih ključev RSA. Pred uporabo pametne kartice je potrebno namestiti čitalec pametne kartice, t.j. napravo, ki se priključi na računalnik in se pri uporabi digitalnega potrdila vanjo vloži pametna kartica. Natančno upoštevajte navodila proizvajalca pametnih kartic. Ravnajte v skladu z navodili v razdelku Programska oprema.

S pametno kartico ravnajte v skladu z navodili proizvajalca pametnih kartic.

Varnostna kopija

Tehnologija pametnih kartic ne dopušča izdelave varnostnih kopij.

Zaščita spletnega potrdila z geslom

Geslo za zaščito vašega profila in zasebnih ključev mora biti dolgo vsaj 8 znakov. Programska oprema vam pri prevzemu osebnega digitalnega potrdila narekuje izbiro gesel, ki omogočajo pomembne mehanizme zaščite za preprečitev napada na osnovi slovarja (iskanje gesel s pomočjo slovarja besed), lahko pa se geslo še bolj zaščiti na naslednji način:

mešano uporaba velikih in malih črk, števil in posebnih znakov,
geslo, dolžine vsaj 8 znakov,
izogibajte se besedam, ki so zapisane v slovarjih.

Priporočamo, da si geslo zapomnite in si ga ne zapišete. Če si boste geslo zapisali, ga shranite na mesto, dostopno samo vam.

Če ste vaše spletno potrdilo prevzeli z brskalnikom MS Internet Explorer in pri tem niste izbrali visoke zaščite vašega potrdila (vaše potrdilo ni zaščiteno z geslom), potem lahko vaše potrdilo zlorabi vsak, ki ima dostop do vašega računalnika. Potrdilo lahko naknadno zaščitite z izvozom in nato uvozom.

Zaščita digitalnega potrdila z geslom v brskalniku

Prenos potrdila v drug brskalnik

Če želite vaše potrdilo uporabljati tudi v drugem brskalniku in za hranjenje vašega potrdila ne uporabljate pametne kartice, lahko to izvedete z izvozom vašega potrdila in nato uvozom le-tega v željen brskalnik.

Prenos digitalnega potrdila v drug brskalnik z brskalnikom

Prevzem potrdila izdajateljev SIGOV-CA in SIGEN-CA

Če nimate nameščenih potrdil izdajateljev SIGEN-CA oz. SIGOV-CA, lahko to storite tudi naknadno.

Programska oprema

Uporabljajte brskalnike, ki podpirajo močno enkripcijo. Pri nastavitvah brskalnikah se ravnajte v skladu z navodili.

Za uporabo pametnih kartic se ravnajte v skladu z navodili iz poglavja Hranjenje zasebnih ključev na pametni kartici in navodili proizvajalca.

Spremljajte in upoštevajte obvestila skupine SIGEN-CA, objavljena na spletnih straneh z naslovom http://www.sigen-ca.si/

Zaščita delovne postaje

Svetujemo sprotno spremljaje varnostnih obvestil ponudnikov programske opreme, ki jo imate nameščeno na svojih delovnih postajah ter ažurno nameščanje ustreznih varnostnih popravkov.

Prav tako svetujemo uporabo protivirusne zaščite in njeno redno posodabljanje.

Na delovni postaji tudi priporočamo namestitev osebne požarne pregrade (angl. personal firewall).

Ravnanje v primeru sprememb in zlorab

V primeru spremembe, vezane na digitalno potrdilo, zlorabe ali možnosti zlorabe morate o tem nemudoma obvestiti SIGEN-CA. V primeru zlorabe ali možnosti zlorabe oddate vlogo za preklic potrdila, osebno ali preko e-pošte, ali na dežurno telefonsko številko za preklic tel. 01 4788 777).

Ravnanje ob problemih z uporabo digitalnega potrdila

Z namestitvijo nove programske ali strojne opreme lahko pride do sprememb v nastavitvah glede digitalnih potrdil, kar je včasih vzrok temu, da se ne morete priključiti v aplikacijo ali storitev. Možni problemi:

  • brskalnik ne omogoča uporabe protokola SSL oziroma TLS
  • požarni zid blokira promet prek vrat 443 (standardna vrata za protokol SSL)
  • brskalnik ne omogoča uporabe dovolj močnih algoritmov
  • digitalno potrdilo ni bilo v redu prevzeto ali prenešeno v novo opremo
  • digitalno potrdilo ni bilo v redu shranjeno (n.pr. ni mogoč dostop do zasebnega ključa)
  • digitalno potrdilo ni več veljavno
  • niso izpolnjene dodatne zahteve za vstop v aplikacijo ali storitev

Več o tem je navedeno na strani http://www.ca.gov.si/vprasanja/vpr_r_napaka_apl.php, ki spada med odgovore na vprašanja v spletni pomoči.

 

 

© Overitelj na Ministrstvu za javno upravo RS