Sigen-CA in osebni podatki

Nekaj časa nazaj sem se mučil s temi certifikati.. pustimo ob strani da navodila ipd izgledajo zelo zastarelo.. no, kot del reševanja težav sem naletel na to stran, kjer lahko najdeš svoje potrdilo:
https://www.sigen-ca.si/cda-cgi/clientc...

Kar se mi zdi zanimivo, je da lahko vpišeš ime poljubne osebe, preneseš njegovo potrdilo in najdeš v le-tem vsaj njegov email naslov, če ne še kaj več. Če se prav spomnim postopka sem to potrdilo iz RAW DER v Windowsih nekako odprl z urejevalnikom certifikatov (kjer se mi zdi da že prideš do vseh podatkov) in shranil v eno drugo datoteko. Le-to pa lahko odpreš z Notepadom in vidiš ime, priimek, email in veljavnost certifikata (do katerega datuma velja). Če se da dobit še kake druge podatke pa ne vem. Nisem se dosti ukvarjal s tem, ker se ne spoznam na to in mi vse skupaj deluje preveč šlampasto, da bi to uporabljal.
Zanima me če se da še kaj videt razen email naslova in veljavnosti certifikata. Je javna razpoložljivost teh podatkov v skladu s politiko poslovanja?
edit: Pravzaprav že to, da lahko vidiš kdo sploh ima potrdilo se mi ne zdi ravno dobro iz vidika preprečevanja zlorab..

Jasno je logično da je tako. Osebni podatki (ime in priimek) morajo biti enolično povezani s certifikatom, namreč certifikat uporabljaš za "lastnoročno" elektronsko podpisovanje. Če mi elektronsko podpišeš pogodbo z menoj mi nič ne pomaga če mi CA pove da je podpis pristen če ne vem kdo ga je podpisal, a ne? Zato mora biti ta podatek nujno javen, preverijo pa ga osebno ko zahtevaš certifikat - tudi to je obvezno, da prideš osebno podati vlogo, da ugotovijo identiteto in da podpisa ne povežejo s kom drugim - tako mora biti po ZEPEP in z vidika pravne varnosti je to edino prav.

zakaj vsi izdajatelji kvalificiranih digitalnih potrdil zahtevajo e-mail naslov

mene bolj zanima kaj lahko narediš, če spremeniš e-mail naslov? 10 let je dolga doba in včasih kak ISP propade v tem času in ostaneš brez naslova, s katerim si registriral

Certifitikat mora biti povezan z enim email naslovom zato, da lahko pošto iz tega naslova podpišeš s tem certifikatom.

Kvalificirano digitalno potrdilo naj bi potrjevalo tvojo digitalno identiteto. Če vztrajaš na temu, da mora vsebovati e-mail naslov, potem mu na silo vsiljuješ še podatek o temu s katerim poštnim predalom je ta identiteta povezana. Kakšno vezo ima npr. moj e-mail naslov pri e-bančništvu? Pri e-davkih? Pri e-nakupovanju? Pri navadni TLS seji?

Edino, kar si pravilno opazil je to, da bodo vsi programi, ki podpirajo podpisovanje in/ali šifriranje elektronske pošte čisto prebledeli, če bodo naleteli na potrdilo brez navedenega identičnega e-mail naslova. Kar je seveda bedarija. Ker moj podpis velja, če ga pošljem od doma, iz Zgornje Kungote, Kanade ali pa Marsa. Moj podpis bi moral biti samo moj podpis in ne moj_podpis_plus_neločljivo_povezan_naslov_pošiljanja.

Zato je posiljevanje z e-mail naslovom v kvalificiranem digitalnem potrdili semantično gledano navadna bedarija. Osebno imam cca. 50 e-poštnih naslovov. Ali to sedaj pomeni, da moram za vsakega izmed njih pridobiti novo kvalificirano digitalno potrdilo z novim parov ključev in potem z vsem tem posmetiti imenik in posredno cel svet? Duh! Vse kar hočem je to, da je moja identiteta dokazana, ne pa, da je dokazano, da nek e-mail naslov priprada moji identiti. Kaj šele, da moja digitalna identiteta v tem trenutku v tej državi zaradi ravnanja izdajateljev kvalificiranih digitalnih potrdil sploh ne more obstajati brez poštnega predala.

Vse to pa samo zato, ker so neke "brihtne buče" več kot desetletje nazaj zlorabile X.500 serijo standardov, ugrabile X.509, ga iztrgale iz njegovega konteksta in potem pričakovale, da ne bo zaradi tega nič hudega. No, ni jim uspelo. Zaradi univerzalno zanič programske opreme, ki bazira na izvorni zmoti, je sedaj stanje takšno, da tudi pri nas izdajatelji posiljujejo z nekom podatkom, ki nima zveze z identiteto.

Žal...