В целом спасибо.
С 5.0.12600 сладить не удалось - категорически не хочет работать, пишет нет лицензии, причем валидную бессрочную лицензию 5-ой версии отказывается принимать.
Сертифицированная 5.0.12000 заработала без проблем.
И с одной стороны ура - мой проверочный скрипт с опциями -norev -nochain на этой версии стал по времени примерно одинаково отрабатывать с обоими ключами.
Даже всегда чуть быстрее с новым ключом, т.е. на своей стороне я все тормоза полностью устранил.


НО.. есть одно ЖИРНОЕ НО, в работе всей системы с Честным Знаком ничего не поменялось, тормоза идут теперь на их стороне:
-при отсылке им запросов подписанных старым ключом - ответ меньше секунды
-при отсылке запроса подписанного новым ключом - ответ > 5 секунд
Очевидно что на их стороне не стоят опции -norev -nochain и они проверяют для каждого запроса CRL и OCSP моей подписи и вот что с этим теперь делать абсолютно непонятно :((

Интересно можно как то получить сертификат без поля OCSP URL ? Или дело не в нем, а в медленном CDP: http://pki.tax.gov.ru/cd...b03cee94381d4f975cd5.crl
Пойти за сертификатом в Контур что ли снова, с их старым все работает в разы быстрее...


Посмотрел CRL Контура 555Кб, а у Gov.Ru 7659Кб... ну и видимо кривые руки админов в Честном Знаке не настроили кеширование :(((
Если на каждом запросе 7Мб скачивать, то понятно почему все так долго работает...

Отредактировано пользователем 29 января 2023 г. 18:06:58(UTC)  | Причина: Не указана