Přerazítkovávat zprávy z datových schránek mohou nově i externí aplikace

Udržovat digitální kontinuitu datových zpráv dosud ISDS umožňoval jen „ručně“ na svém klientském portálu. Nově to jde i pomocí webových služeb, takže se o to mohou postarat i nejrůznější aplikace. Už to umí např. oblíbená Datovka.

Když agentura DIA nedávno oznamovala novinky v datových schránkách, o jedné věci se ve své tiskové zprávě nezmínila (a je popsána např. v novém Provozním řádu). Konkrétně o nových webových službách, které umožňují přerazítkování starších (stažených) datových zpráv, kterým se blíží ztráta jejich digitální kontinuity. Tedy ztráta možnosti ověřit platnost jejich pečeti, a tím i možnost dovozovat z toho autenticitu datové zprávy.

Dosud datové schránky nabízely řešení problému s digitální kontinuitou, skrze přerazítkovávání datových zpráv, jen v rámci svého klientského portálu. Tedy přímo jednotlivými uživateli, kteří museli ve správnou dobu správným způsobem uploadovat svou starší datovou zprávu do klientského portálu, nechat si ji přerazítkovat, a zase stáhnout a někde vhodně uložit. A hlavně udržovat si ve všem potřebný přehled a vědět, kdy nejpozději je třeba tu kterou datovou zprávu takto přerazítkovat.

Nešlo to udělat tak, že by to za uživatele dělala jím používaná aplikace pro práci s datovými schránkami a jejich zprávami (či nějaké inteligentní úložiště datových zpráv). Tak, že by si tato aplikace sama hlídala, které stažené a uchovávané datové zprávy potřebují přerazítkovat, a ve vhodnou dobu to pak také (skrze ISDS) udělala. Ty aplikace, které na problém digitální kontinuity pamatují (jako např. Datovka od sdružení CZ.NIC), dosud mohly jen včas upozornit svého uživatele, že si přerazítkování musí zajistit sám, vlastními silami.

Už to jde i pomocí webových služeb

Udržovat digitální kontinuitu datových zpráv, skrze přidávání časových razítek a nezbytných validačních informací, si nejrůznější aplikace a služby samozřejmě mohou zajistit vlastními silami. Musí si ale potřebnou funkčnost (správně) naimplementovat, mít odkud brát kvalifikovaná časová razítka (v menších počtech jsou dostupné i zdarma), a také odkud brát nezbytné validační informace (hlavně ty revokační, v podobě CRL seznamů či OCSP odpovědí).

Místo řešení „vlastními silami“ by se takovýmto aplikacím hodilo využít to, že přerazítkovávání „umí“ i datové schránky samotné, a to již od roku 2012. Ale dosud jen s výše popsaným omezením na „ruční“ využití v rámci svého klientského portálu, bez možnosti „strojového“ využití skrze webové služby.

Záměr zpřístupnit přerazítkovávání i skrze webové služby, tak aby jej mohly využívat i aplikace, se objevil již před nějakým časem. S tím, že nejprve byla tato funkčnost zpřístupněna v testovacím prostředí, aby si vývojáři mohli odladit její využití. V „ostrých“ datových schránkách (neboli v tzv. Produkci) je k dispozici od 18.9.2025.

Jednou z prvních aplikací, která toho využila, je již zmiňovaná Datovka. Hned o pár dnů později byla vydána nová verze 4.27.0, která nové webové služby využívá.

Není „ručně“ jako „strojově“

Možnosti přerazítkovávání skrze webové služby ale nejsou zcela identické jako ty, které nabízí klientský portál. Rozdíl je v pravidlech, která říkají, jak staré datové zprávy se cestou datových schránek dají přerazítkovat. Jde o opatření, kterým se datové schránky snaží minimalizovat svou zátěž, a hlavně asi spotřebu časových razítek.

Obecně platí, že ke ztrátě digitální kontinuity na pečeti datové zprávy dochází s okamžikem, kdy skončí doba platnosti certifikátu, na kterém je založeno poslední (naposledy přidané) časové razítko. Tedy alespoň pokud jde o ztrátu tzv. aktuální digitální kontinuity, která dovozuje autenticitu (pravost) datové zprávy z jejího podpisu (resp. zde pečeti), a nikoli třeba z nějakých digitálních stop či jiných „externích“ skutečností.

Připomeňme si v této souvislosti, že každá stažená datová zpráva je opatřena jednou (uznávanou) elektronickou pečetí, a dvěma časovými razítky. První z nich se ke zprávě přidává v okamžiku jejího „vstupu“ do systému datových schránek (proto se mu také říká "vstupní" či „podací“ časové razítko), zatímco pečeť a druhé časové razítko (tzv. “výstupní“) se přidávají v okamžiku stahování datové zprávy (ať již ve smyslu stahování k uživateli či do nějaké aplikace, či přesunu do archivu datových zpráv v rámci Portálu občana). Pro úplnost si dodejme, že úplně na počátku (až do 16. dubna 2011) se „výstupní“ časové razítko nepřidávalo.

Vzhledem ke způsobu fungování datových schránek může být mezi oběma časovými razítky značný časový rozdíl. K tomu si dodejme, že jednu datovou zprávu lze v době jejího „pobytu“ v datové schránce (či v datovém trezoru) stahovat opakovaně, a tím získávat různé exempláře téže datové zprávy, se stejným „vstupním“, ale jiným „výstupním“ časovým razítkem.

Následující příklad ukazuje exemplář datové zprávy s rozdílem mezi oběma časovými razítky v délce 109 dnů.

Pro potřebu přerazítkování je přitom určující ono druhé časové razítko, resp. jeho certifikát a konec doby platnosti tohoto certifikátu. Příklad „čerstvě stažené“ datové zprávy ukazuje následující obrázek.

Z obrázku plyne, že v současnosti stahované datové zprávy jsou opatřovány „výstupními“ časovými razítky, založenými na certifikátech s platností do 13. října 2030. Takže přerazítkování budou potřebovat až v nějaké době před tímto, dnes ještě dosti vzdáleným datem.

Přerazítkování, resp. prodloužení digitální kontinuity, je principiálně možné provést kdykoli. Z praktických důvodů se ale dělá spíše až na poslední chvíli, resp. „těsně před“ nejzazším okamžikem, kdy by digitální kontinuita jinak skončila. Tedy před okamžikem, ke kterému končí platnost certifikátu posledně přidaného časového razítka. Konkrétní velikost onoho „těsně před“ pak závisí na rozhodnutí toho, kdo má vše na starosti.

Datové schránky se rozhodly, že jejich služby pro přerazítkování bude možné využít pouze během oné doby „těsně před“, která je navíc nastavena rozdílně pro obě dostupné varianty. V případě „ručního“ přerazítkovávání na klientském portálu má ono „těsně před“ délku jednoho a půl roku, zatímco v případě „strojového“ přerazítkovávání pomocí webových služeb má délku jen půl roku. Vztaženo ke konci platnosti certifikátu časového razítka.

Kromě toho se při „strojovém“ přerazítkovávání hodlá systém datových schránek bránit před „nadměrným“ využitím dalšími limity na počet souběžně prováděných požadavků. Podrobněji v zářijových informacích pro vývojáře.

Proč až „těsně před“?

Dnes stahované datové zprávy tedy „vydrží“ ještě zhruba 5 let, do onoho 13. října 2030, než by (bez přerazítkování) přišly o svou (aktuální) digitální kontinuitu. Takže pomocí klientského portálu je bude možné přerazítkovávat od 13. dubna 2029, zatímco pomocí webových služeb až od 13. dubna 2030.

Zdůrazněme si, že jde o umělé omezení ze strany datových schránek. Jinak nic principiálně nebrání přerazítkování jakkoli „mladších“ datových zpráv. Následující obrázek ukazuje příklad „čerstvé“ datové zprávy (stažené 14. 9. 2025), přerazítkované pomocí (kvalifikované) služby SecuSign pro uchovávání elektronických podpisů (a pečetí).

Takovéto přerazítkování „čerstvé“ zprávy ale nic moc nepřineslo: díky přidání dalšího časového razítka od jiného vydavatele došlo k prodloužení digitální kontinuity z 13. října 2030 do 1. prosince 2030. Právě proto se přerazítkovávání, resp. udržování digitální kontinuity, provádí spíše až na „poslední chvíli“.

V této souvislosti je navíc vhodné mít na paměti, že zachovávat digitální kontinuitu má smysl jen u některých datových zpráv – takových, které mají pro jejich aktuálního „držitele“ nějaký dlouhodobější význam, ve smyslu potřeby jejich zachování a pozdějšího využití. Které to jsou, ale musí posoudit příslušný „držitel“ sám.

Jak poznat, kdy přerazítkovat?

Pokud tedy máte nějakou starší datovou zprávu, u které předpokládáte potřebu pozdějšího využití, jak poznáte, kdy je vhodné – či spíše možné – nechat si ji přerazítkovat od systému datových schránek?

Jak jsme si již naznačili, obecná odpověď je taková, že je třeba to udělat dříve, než skončí možnost ověřit platnost elektronického podpisu či pečeti. A ta (opět obecně) končí s koncem doby platnosti certifikátu, na kterém je založen samotný podpis (pokud je bez časového razítka) či naposledy přidané časové razítko.

Zde konkrétně je třeba se podívat „dovnitř“ stažené datové zprávy na to, kdy bude končit platnost certifikátu druhého (výstupního) časového razítka. Přesněji: naposledy přidaného časového razítka, protože v rámci již provedeného přerazítkování již mohla být přidána nějaká další časová razítka. A pak zjistit, zda aktuální datum spadá do onoho období roku a půl (či jen půl roku) do konce platnosti certifikátu.

Asi nejjednodušší způsob, jak vše zjistit, je předložit konkrétní exemplář datové zprávy klientskému portálu. On vám pak už sám řekne, zda je „ruční“ přerazítkování možné (viz horní část následujícího obrázku). Nebo zda ještě není možné, ale později možné bude (viz prostřední část), nebo zda je již pozdě a přerazítkování již možné není a nebude (viz spodní část).

To samé můžete udělat i z Datovky, pro ověření přes webové služby. Stejné tři varianty výsledků ukazuje následující obrázek (nahoře je úspěšné přerazítkování).

Za povšimnutí na těchto dvou obrázcích stojí výsledek pro datovou zprávu s identifikátorem 858 889 168: její „výstupní“ časové razítko je založeno na certifikátu s platností do 23. 10. 2026. V době vzniku tohoto článku (na konci září 2025) proto klientský portál (který pracuje s intervalem „rok a půl před“) byl ochoten zprávu přerazítkovat. Naproti tomu Datovka, využívající webové služby (pracující s intervalem jen „půl roku před“) ještě nebyla schopna nechat zprávu přerazítkovat.

Jak dlouhé je současné „časové okno“?

Pokud nechcete experimentovat s nahráváním svých datových zpráv, ale hledáte nějaký exaktnější návod, je třeba vyjít ze znalosti toho, jaká časová razítka kdy systém datových schránek přidával na datové zprávy.

Jde o (kvalifikovaná elektronická časová) razítka od společnosti PostSignum. A ta, stejně jako většina ostatních vydavatelů časových razítek, pravidelně mění certifikáty, na kterých jsou její razítka založena. Přesněji jde o 6 certifikátů, pro 6 autorit časových razítek (TSU 1 a 6, které si mezi sebou rozkládají zátěž). Důležité je, že jde o certifikáty s řádnou dobou platnosti 6 let, které se ale používají jen první rok, a pak jsou nahrazeny novou sadou certifikátů, opět s platností na 6 let. Smyslem je ponechat dalších cca 5 let na možnost ověření platnosti časového razítka.

Aktuálně (resp. v době vzniku článku) autority časových razítek společnosti PostSignum využívají certifikáty s platností od 4. 9. 2024 do 13. 10. 2030, které byly nasazeny do provozu 10. 10. 2024. To znamená, že datové zprávy, stažené po datu 10. 10. 2024, jsou opatřeny „výstupním“ časovým razítkem, které bude možné ověřit právě do 13. října 2030.  To ukazuje i třetí obrázek od začátku tohoto článku.

Pro potřeby „dnešního“ přerazítkovávání starších datových zpráv je třeba vědět, jak tomu bylo v minulosti. V prosinci 2019 (konkrétně 9. 12. a 16. 12. 2019) autority časových razítek společnosti PostSignum začaly používat certifikát s platností od 19. 9. 2019 do 27. 10. 2025. A o rok později, konkrétně 23. 10. 2020, přešly na používání novějších certifikátů, s platností od 14. 9. 2020 do 23. 10. 2026. A opět o rok později, 19. 10. 2021 a 20. 10. 2021, přešly na používání certifikátů s platností od 9. 9. 2021 do 18. 10. 2027. Podrobněji zde.

Důsledek je ten, že vzhledem k výše popsaným pravidlům datových schránek je dnes (koncem září 2025) možné přerazítkovávat přes klientský portál stažené datové zprávy, opatřené „výstupními“ razítky s certifikátem platným do 23. 10. 2026. Tedy stažené v období od prosince 2019 do října 2021. Velmi orientačně jde o zprávy s identifikátory v rozmezí od cca 735 000 000 do 960 000 000. Naproti tomu skrze webové služby je dnes možné přerazítkovávat jen datové zprávy s razítky s certifikátem do 27. 10. 2025 – a tedy jen stažené do 23. 10. 2020 (kdy došlo k přechodu na novější certifikáty). Opět velmi orientačně jsou to zprávy s identifikátory od 735 000 000 do 835 000 000.

Znovu si připomeňme příklad datové zprávy s identifikátorem 858 889 168, který ukazují předchozí dva obrázky: druhé časové razítko této zprávy (stažené 4. 4. 2021) je založeno na certifikátu s koncem platnosti 23. 10. 2026. Proto klientský portál byl ochoten provést přerazítkování (viz horní část obrázku), zatímco Datovka, využívající webové služby, ještě nikoli (viz prostřední část obrázku).

Co bude po 27. říjnu 2025?

Dnes, resp. v době přípravy tohoto článku (koncem září 2025) je zlomovým bodem datum 27. října 2025. Tento den skončí platnost certifikátu časového razítka, které bylo přidáváno jako „výstupní“ k datovým zprávám, staženým v době od prosince 2019 do 23. října 2020. Tento den tak skončí možnost ověřit platnost jejich „výstupního“ časového razítka – a tím i možnost ověřit platnost jejich pečeti. Díky tomu skončí i možnost jejich přerazítkování, jak skrze datové schránky, tak i jiným způsobem. Do této doby to ještě možné je.

Po 27. říjnu 2025 bude nadále možné přerazítkovávat skrze datové schránky zprávy s „výstupními“ časovými razítky, založenými na certifikátech s platností do 23. 10. 2026. Ale jen skrze klientský portál, zatímco pomocí webových služeb ještě nikoli. Tato druhá možnost se otevře až 23. dubna 2026.

Dalším zlomovým bodem bude 18. dubna 2026, kdy se na klientském portálu otevře možnost přerazítkovávat datové zprávy s časovým razítkem, založeným na certifikátu s platností do 18. 10. 2027.

Další vývoj pak bude probíhat ve stejném duchu. Ale ctěnému čtenáři snad už je v tuto chvíli dostatečně jasné, že sledování termínů a hlídání vhodné doby pro přerazítkování, resp. zajištění digitální kontinuity, není vhodné ani určené pro člověka a jeho „ruční“ práci. Naopak pro správně naprogramovanou aplikaci může být hračkou.

Změna formátu pečeti

Kromě výše popsaných změn došlo v rámci datových schránek i k jedné další „technické“ změně – a to ve formátu samotné elektronické pečeti na stažené zprávě ve formátu ZFO. Dosud tento formát vycházel ze starší normy ETSI TS 101 733 v1.8.3, nově z novější normy ETSI EN 319 122-1 v1.3.1. Praktický důsledek je ten, že přerazítkované zprávy měly původně formát CAdES-A, zatímco dnes mají modernější, tzv. baseline formát, konkrétně CAdES-Baseline-LTA. Rozdíl ukazuje následující obrázek se stejnou datovou zprávou, přerazítkovanou původním způsobem (vlevo) a novým způsobem (vpravo).

Za povšimnutí na tomto obrázku stojí i to, že (zdarma poskytovaná) služba DSS informuje také o tom, do kdy je možné platnost pečeti ověřit (resp. do kdy by bylo nutné provést přerazítkování). Jde o položku „Maximum validity time“ v oranžovém rámečku (která je ale uváděna jen v případě, kdy je podpis ověřen jako platný). 

Je přerazítkovávání vůbec zapotřebí?

Na závěr tohoto článku ještě jedna důležitá otázka: je popisované přerazítkovávání vůbec zapotřebí? Tedy i u zpráv, které budete i po letech potřebovat předložit někomu, kdo si bude potřebovat ověřit jejich autenticitu (pravost) a neporušenost. Třeba předložit je jako důkaz soudu, v rámci řešení nějakého sporu. Nebo komukoli jinému.

Pravdou je, že třeba právě soudy, resp. jejich podatelny, dnes (po 16 letech od spuštění datových schránek) podporují pouze „aktuální“, resp. nově zasílané datové zprávy. Pokud byste jim nějakou starší datovou zprávu (v jejich standardním formátu ZFO) poslali jako přílohu nějakého svého podání (např. e-mailem, nebo vloženou do „aktuální“ datové zprávy), podatelna soudu si s ní nebude umět poradit. Z jejího pohledu jde o nepodporovaný formát. A ten tak musí na soudu zpracovat „ručně“ někdo, kdo to umí. Třeba soudní znalec.

Ale třeba se i podatelny soudu někdy naučí zpracovávat formát ZFO datových zpráv v přílohách, a budou si umět poradit i se staršími přerazítkovanými datovými zprávami. A to cestou ověření platnosti jejich podpisu či pečeti, tak jak to dnes dělají pro jiné datové formáty (hlavně pro formát PDF).

Dnes přitom informační systém datových schránek (ISDS) poskytuje ještě další možnost ověření autenticity (pravosti) i neporušenosti stažené datové zprávy – ale nikoli standardní (a technickými standardy definovanou) cestou ověření platnosti její pečeti. Jde o nepřímé dovození, skrze externí „digitální stopy“ zejména v podobě otisků, které si ISDS vytváří o každé datové zprávě, a uchovává pro vlastní potřeby.

Systému datových schránek tak můžete předložit svou (někdy dříve staženou) datovou zprávu, a on vám podle svých záznamů řekne, zda ji poznává. Opět to můžete udělat jak „ručně“ skrze klientský portál, tak i z nějaké aplikace, která k tomu využije webové služby (např. z Datovky). Příklad první možnosti ukazuje následující obrázek.

Nicméně žádný doklad, protokol či jiný vhodný (a následně využitelný) záznam výsledku od systému datových schránek nedostanete. A hlavně: průkaznost vašich datových zpráv zde není plně ve vašich rukou, jako při udržování jejich digitální kontinuity cestou přerazítkovávání, ale je závislá na někom jiném. Na dostupnosti jím poskytované služby, fungující proprietárním způsobem (rámcově popsaným v přílohách Provozního řádu).  Navíc závislou na datech (záznamech), které nemá k dispozici nikdo jiný, kdo by chtěl obdobnou službu poskytovat.

Je na vás, co si vyberete a na co se budete spoléhat.