Kvalifikovaný certifikát PostSignum
Školení, která pořádám
Abych nemusel osobně chodit na finanční úřad resp. na poštu, rozhodl jsem se, že si nechám vydat kvalifikovaný certifikát pro komunikaci se státní správou. Certifikačních autorit je v ČR několik, má volba padla na Českou poštu a její PostSignum. Certifikát jsem nakonec získal, z celého procesu ale dvakrát nadšený nejsem.
První rozčarování přišlo při pohledu na seznam kontaktních míst. Čekal jsem, že si budu moci certifikát nechat vydat na kterékoliv poště, místo toho to ale v Praze jde jenom na třech poštách. Další věc, která mě po pravdě řečeno ani nepřekvapila, je omezení na produkty Microsoftu – žádost o certifikát lze vygenerovat jenom v Internet Exploreru a formuláře se žádostí o vydání certifikátu jsou ve Wordu.
Jednotlivé postupy jsou naštěstí popsané poměrně srozumitelně a přesně, končí ale pokynem pro nahrání žádosti o certifikát na disketu. V dnešní době notebooků bez disketových mechanik to může být reálný problém (na stránkách je informace o tom, že připravují podporu i jiných úložišť, a na hlavní poště mi řekli, že by to šlo i přes USB – na všech poštách to ale nejspíš jít nemusí).
Největší rozčarování přišlo na poště, kde vydání certifikátu zabralo celkem 45 minut. Podotýkám, že jsem asi nejběžnější případ klienta, nechtěl jsem nic speciálního, všechny dokumenty jsem měl připravené a nebyl s nimi žádný problém, byl jsem na Hlavní poště (kde by měli mít proces zvládnutý asi nejlépe) a u přepážky nebyla fronta. Jde zkrátka o nejkratší možný čas, za který se dá vydání certifikátu zvládnout (minimálně u úřednice, která mě měla na starosti, ale nevypadalo to, že by někde tápala nebo dělala chyby). Spočítal jsem si, že kdyby certifikát chtěli vydat všichni obyvatelé Prahy (třeba proto, že by to začal vyžadovat nějaký zákon), trvalo by to České poště celkem 27 let. Vzhledem k tomu, že platnost certifikátu je 1 rok, to je na pováženou.
Celý proces odpovídá instituci z minulého století. Úřednice ručně opisuje dlouhá čísla do papírové knihy, přeťukává papírové formuláře zpátky do počítače (a to na několik různých míst, naštěstí alespoň dokázala používat schránku), data vyplněná na webu se použijí jen jednou.
Zlatý hřeb programu přišel na řadu při zadávání hesla pro zneplatnění certifikátu. Toto heslo předáváte úřednici napsané na papírku (je to uvedené i v oficiálním postupu), ona ho přepíše do počítače a vytiskne na smlouvu. Z pohledu bezpečnosti to je zcela nepřijatelný postup. Certifikát se sice dá zneplatnit i telefonicky, ale ani tak by heslo nemělo být uloženo v prostém textu. Ve srovnání se způsobem uložení hesla působí absurdně požadavky na jeho kvalitu (minimálně osm znaků ze čtyř skupin – malá a velká písmena, číslice a nepísmena).
Za vydání certifikátu se nedá zaplatit přímo na pobočce, ale poštou přijde faktura – to už ani nestojí za komentář.
P.S. Zjistil jsem, že postup se za skoro dva roky od uvedení nijak nezměnil.
Diskuse
JakubM:
No nevím jestli šlo o úplně standardní průběh.
Asi před půl rokem jsem si žádost generoval v aplikaci pro Mac OS X, přinesl jsem ji na poštu na USB klíčence a celý proces trval maximálně patnáct minut (byl jsem první ve frontě). Zkušenost z hlavní pošty v Brně.
Snad jediné s čím můžu souhlasit je zadávání hesla na papírku, to bylo opravdu neuvěřitelné i pro mě.
Uff, premyslel jsem, zda bych si neco takoveho take neudelal, ale kdyz to ctu, asi opravdu jeste nejaky ten rok pockam :)
Je videt, ze statni spravu vubec netrapi nejaka evoluce. Staci se zajit podivat na postu v mensim meste a clovek pochopi, ze urednice, pracujici v dane pobocce 20 let bude mit asi velky problem takove veci resit. To uz ani nemluvim o tom, kdo celou postu vede, atd.
Je to k placi.
PK:
To ja byl relativne spokojen.
a) pan u prepazky mi rekl, ze to bude trvat tak 30 minut, ale ze me k tomu nepotrebuje takze se muzu stavit pozdeji. Kdykoli do konce jeho pracovni doby.
b) neco jsem si vyridil a pak prisel a bylo to ani ne za 10 minut hotove
c) jsou i varianty pro linux, ale nejde to z webu, jen pres jejich soft, ktery je dostupny ve verzi pro linux.
Ten jejich soft ma trochu problem (nebo aspon mel v dobe kdy jsem to delal) s Java 6 sice pisou ze to ma fungovat, ale kontroluje si to jestli je Java 5 pouze. Nutno patchnout instalator (pouze zmena cisla verze Javy).
Ad heslo.. no comment. USB podporuji. Me faktura vyhovovala.
A musim rict ze komunikace se statni spravou je lepsi elektronicky. ;-) Nicmene tam se bez Windows clovek jen tezko clovek.
Tom:
Pred necelym rokem jsem si nechal podepisovat certifikat na poste v Hradci Kralove.
Certifikat lze vygenerovat beznymi nastroji dostupnymi v kazdem linuxu (
http://www.abclinuxu.cz/blog/hufhendr/2005/9/14/101522 ).
Nebyl problem domluvit se na prineseni na usb flashce.
Placeni slozenkou bude extravagance Vasi urednice, platil jsem hotove oproti beznemu dokladu.
S cim ovsem souhlasim, je prekvapive dlouha doba podepisovani - vzhledem k specialnimu pracovisti bych cekal, ze urednice jsou pri kazdodennim vydavani certifikatu jiz dostatecne zkusene. Zrejme ne - za celou hodinu (mel jsem sebou knihu, poucen zkusenostmi na statnich pracovistich), tam bylo nekolik lidi kvuli inkasu, ale certifikat zadny.
Zneplatnovaci heslo jste jiz zminil.
Taky jsem měl certifikát, ale jelikož jsem po čase přeinstaloval Win XP a chytře si certifikát z exploreru neexportoval tak už ho nemám. Z původní diskety lze totiž nainstalovat pouze na původní počítač (po přeinstalaci win už to nejde).
Co se týká zkušeností na poště, tak mi paní nechtěla do hesla napsat zavináč, že prý neví jak se píše. Trochu jsem si tedy klepal na čelo proč tedy je vyžadován speciální znak. Podruhé to již absolvovat nehodlám, přiznání si zavezu osobně. Za rok s tím dohromady strávím méně času než za jedno vydání certifikátu.
Při prvotní instalaci certifikátu je myslím popsán popis přímo na postsignum jak zálohovat certifikát a jak ho obnovit. Tehdy vím, že jsem nejprve instaloval certifikát na notebook a později na velký počítač, takže by to mělo nějak jít. Ale přiznám se, že už bych stejný postup teď nezoopakoval. Co mne trápí je to, že za rok používání certifikátu se celkem značně změnilo mé portfolio a emailová adresa, na kterou certifikát používám je nevhodná, podle vyjádření pošty email změnit nelze. Taky by mne zajímalo, zda lze mít více certifikátů na jednu fyzickou osobu, tedy i na jiné emaily, ale na to mi po mailu nebyli schopni odpovědět.
Carlos:
Byl jsem před lety jeden z prvních v naší krajské vesnici, na mě se to dámy skutečně učily :) Jeden den jsem tam došel, asi půl hodiny jsme papírovali a pak mě požádaly, abych si pro výsledek přišel další den (hrozně se omlouvaly). Další den jsem jenom dostal certifikát a hotovo. Od té doby žádný problém, obnova probíhá elektronicky bez vlivu personálu pošty :)
Vladek:
Prosinec 2008 - na poště v Jindřišské v Praze 1 cca 30 min, bez čekání ve frontě.
Vaclav:
Ja jsem si to absolvoval vcera a deska zase. Zda se, ze jsem byl asi taky prvni zajemce na "te nasi vesnici" Praha 14 (skutecne nedoporucuju nikomu s timhle chodit na postu 98). Poctive jsem se vybavil informacemi z webu, vytiskl smlouvy, vygeneroval zadost na USB a v domneni, ze uz na tom neni co zamotat jsem sel na postu. Prvni pokus (vcera) trval asi hodinu a dostali jsme se tak do pulky procesu a pak to pracovnice vzdala s tim, ze to umi jen "pan vedouci". Uprimne jsem byl docela rad protoze jsem se fakticky obaval, ze to dopadne spatne, a v duchu si rikal, ze pujdu na hlavni postu, ze tam s tim budou mit vice zkusenosti, ale po opravdovem premlouvani, ze zitra tu bude pan vedouci a vsechno pujde hladce jsem tedy prisel podruhe. Pan vedouci tu nebyl, ale byla tu dalsi pracovnice, ktera "uz s to nekolikrat delala". Dalsi hodina v coudu, obcas jsem se i snazil pomoci - napr. zavinac napisete "pravym Alt+V, ano pravym ne levym, pravo je tady bliz ke mne" ... osobne mi to ani tak moc uz nevadilo, neb jsem nikam nespechal, ale opravdu jsem mel nervy z narustajiciho mnozstvi lidi za mnou, myslim, ze prepazka na poste je to nejhorsi misto na jakoukoliv serioznejsi praci, kupodivu pracovnici jak se zda toto vadilo nejmene, inu zvyk je zvyk. Nekolikrat jsem pozadoval opravit "ing." na "Ing." (nejsem hnidopich, ale je to soucast obchodniho jmena, nerad bych pak mel na uradech problem) a tady jsem opravdu zasnul, ze je pro pracovnici "Czech pointu" problem vratit se do jiz vyplneneho policka formulare a jen neco opravit, takze dalsi vypisovani ... Heslo na zneplatneni - presne jak pisete - napsat na papirek a pritom, v jejich software maji hned vedle tlacitko "Vygenerovat", tak jsme se vzajemne obohatili a papirek zahodili do kose. Co me teda opravdu vadi jsou neaktualni udaje na webu PostSignum:
- mam si vytiskout smlouvy, ktere jsou uplne k nicemu
- heslo na zneplatneni, dostanu vytistene, nemusim si ho pamatovat, to jsem nedostal protoze to pry neni pro me
- na usb mi rovnou nahraji certifikat, houby prijde emailem
Ted tam stojite a vlastne ani nevite jestli tem lidem muzete verit. Email jsem uz dostal, zneplatnovaci heslo v nem neni, a na prilozenem odkazu koukam na subjekt meho budouciho certifikatu a zase je tam "ing." uz me to ani neprekvapuje, asi zvolim variantu "Neprijmout" ...
vit hnilica:
poznamecka, skoro po dvou letech se preci jen neco zmenilo
platit jde primo u prepazky:) (fyzicka osaba)
Cert od posty mam temer od jejiho vzniku, pri prvotnim zrizeni jsem necekal zadne zazraky, me ocekavani se potvrdilo. Domluvil jsem se, ze si skocim neco vyridit, nejak se to protahlo, takze po hodce a pul jsem se vratil a pani u prepazky s vitezoslavnym vyrazem v tvari mi predala disketu s certem, podepsali jsme papiry a ja mohl jit. Znovuobnoveni staci poslat maila a podepsat certem, poslou vam odkaz kde je novy cert. Takze to je uz v pohode. Prodluzoval jsem cert ted mezi svatky a vse probehlo kupodivu jak melo. Co se tyce prepisovani, zadavani hesel atd....tak souhlasim se vsemi je to hruza, ale na druhou stranu na poste nikdy nepracovala elita. Jeden zazitek pro pobaveni - jako zivnostnik po me na poste porad chtely (y=zeny) razitko, tak jsem jednoho dne prinesl bramboru, do te jsem vykrojil inverzne M a tvrdil ze to je oficialni razitko pro styk s postou. Od te doby razitko kupodivu nechteji :) :)
IMHO:
* zadost o cert se necha vygenerovat spravnym prikazem na temer kazdem linuxovem stroji s podporou openssl knihoven
* ze jsou urednici liny a pomaly, o tom zadna - pak si musi clovek vybrat, jestli vydrzi jednorazove 1h na urade kvuli certifikatu, nebo bude chodit kazdej rok na financak,etc... a bude cekat tam
* heslo k zneplatneni v plaintextu bych nevidel jako problem, max muze certifikat zneplatnit - IMHO zadna horzba nehrozi
* v soucasny dobe jsou statem uznavany CA 3
- ICA
http://www.ica.cz/ - POSTSIGNUM (aka Ceska posta)
http://www.postsignum.cz/ - EIDENTITY
http://www.eidentity.cz/takze pokud se jim na poste nechce delat nebo to neumej, clovek muze zvolit alternativu
Docent:
Pošta zdražuje od 1.11.2010 osobní certifikát ze 190,- na 396,- Kč... Nevím jak ostatní, ale tím kašlu na nějaké daňové přiznání po internetu...
pošta NE!:
Vzhledem k tomu, že postsignum má vlastní servery certifikované se slabou šifrou SHA1, která je již minimálně dva roky nedoporučována k použití a k tomu, že v době vydání mého podpisového certifikátu nefungovaly pobočky v Praze z vyjímkou Prahy 6, a to z důvodu, že celý systém měli zavirován (vydání trvalo cca 3 hodiny) a na hlavní poště to bylo předtím to samé (ale snad bez virů), a také vzhledem ke zdražení o 100% s postsignum končím. Prostě neumí ani dodat dopis, natož balík a s podpisem a datových stránkách to je to samé. Na co šáhnou, podělají.
pošta ne?:
Zdražili všichni, i pošta. To je kartelová dohoda? Měl by to šetřit ÚHOS! Pošta je skutečně o "překousnutí" prvního vydání certifikátu, pak již se tam po roce naštěstí nemusí.
GA:
Hehe, a já tam byl měnit adresu osobně.... chyba lávky, paní to opět nedala :D - neřekla mi že na změnu adresy musím upravit původní smlouvu, že nestačí jiná adresa v žádosti. Takže vydá nové certifikáty na starou adresu ze smlouvy, aniž by jim bylo divné, že v žádosti je adresa jiná.
No, nakonec to dobře dopadlo, ale je to vážně peklo.
Na druhou stranu se jich ale zastanu, neustále na ně chrlí nové a nové služby, takže se jim zas tak nedivím... No, pořád je to ale lepší než jet za certifikační autoritou až někam do Prahy...
Eva:
A to ještě asi nevíte, jak vypadá obnova podpisu v dalším roce . Neskutečné : žádost, nové číslo certifikátu ,nová instalace / nevím , proč není možné obnovit pouhým zaplacením faktury na další období/ a ještě všem institucím , pro které podpis používáte, je nutno nahlásit změnu .Opravdu je to pomoc v uvozovkách .
Vše podle hesla : pro by to šlo jednoduše , když to jde složitě.Nervy opravdu spolehlivě dostávají zabrat.
Milan:
Tak to je pro mě také nečekané, já jsem si právě zažádal o prodloužení osobního certifikátu a myslel jsem, že bude automaticky rozpoznán sociálkou a berňákem, tak díky za varování.
Jinak v roce 2014 lze o prodloužení certifidkátu zažádat online vcelku jednoduše (via MS Internet Exploder), odpověď a výzva k platbě přijde od pošty offline, za několik dní, a platba je možná pouze převodem, žádný jiný způsob není uveden. To mě překvapilo velmi, že tak monopolní obr neumí vlastně nic.
Diskuse je zrušena z důvodu spamu.