CRL issued by %NAME% has wrong thisUpdate

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

CRL issued by %NAME% has wrong thisUpdate - При формировании усовершенствованной ЭП

Опции

Предыдущая тема Следующая тема

mihmig		#1 Оставлено : 14 ноября 2016 г. 16:18:13(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 18.05.2016(UTC) Сообщений: 112		JCP 1.0.54 (с патчем CAdES_b.jar) Припопытке формирования ЭП формата CAdES_X_Long_Type_1 происходит ошибка: CRL issued by CN=%ИМЯ УЦ%, has wrong thisUpdate Mon Nov 14 12:54:22 MSK 2016 if compare to Mon Nov 14 16:44:09 MSK 2016 Диагностика показала, что в момент подписания отсутствовала связь с OCSP-сервером. 1. Но почему происходит т.н. fallback на список отзыва CRL - ведь момент thisUpdate (время, на которое информация об отзыве сертификата была актуальной) всегда будет раньше чем текущий момент подписи!. ведь ещё два года назад обещали убрать: https://www.cryptopro.ru....aspx?g=posts&t=7736 По правильному - надо выдавать соответствующий Exception? 2. Настраивается ли таймаут обращения к серверу? Сейчас, судя по логам он составляет 1 минуту, что в принципе долго (интерфейсу с пользователем достаточно 3-х секунд).


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#2 Оставлено : 14 ноября 2016 г. 18:53:50(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,077 Откуда: Крипто-Про Сказал(а) «Спасибо»: 22 раз Поблагодарили: 743 раз в 700 постах		Здравствуйте. Автор: mihmig JCP 1.0.54 (с патчем CAdES_b.jar) Припопытке формирования ЭП формата CAdES_X_Long_Type_1 происходит ошибка: CRL issued by CN=%ИМЯ УЦ%, has wrong thisUpdate Mon Nov 14 12:54:22 MSK 2016 if compare to Mon Nov 14 16:44:09 MSK 2016 Диагностика показала, что в момент подписания отсутствовала связь с OCSP-сервером. 1. Но почему происходит т.н. fallback на список отзыва CRL - ведь момент thisUpdate (время, на которое информация об отзыве сертификата была актуальной) всегда будет раньше чем текущий момент подписи!. ведь ещё два года назад обещали убрать: https://www.cryptopro.ru....aspx?g=posts&t=7736 По правильному - надо выдавать соответствующий Exception? 2. Настраивается ли таймаут обращения к серверу? Сейчас, судя по логам он составляет 1 минуту, что в принципе долго (интерфейсу с пользователем достаточно 3-х секунд). 1. Было исправление в CAdES 2.0.37748 cades: отключена попытка при формировании подписи CAdES-X Long Type 1 получить CRL, если в сертификате подписи нет AIA или недоступны OCSP службы 2. Таймаут не настраивается. Обращение может делаться с неким нефиксированным таймаутом, исходя из разницы во времени между серверами OCSP и TSP.
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

mihmig		#3 Оставлено : 15 ноября 2016 г. 9:25:28(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 18.05.2016(UTC) Сообщений: 112		Автор: afev 1. Было исправление в CAdES 2.0.37748 cades: отключена попытка при формировании подписи CAdES-X Long Type 1 получить CRL, если в сертификате подписи нет AIA или недоступны OCSP службы Версии 2.х не сертифицированы, насколько легитимно их использование в продуктивной среде, в случае изготовления квалифицированной ЭП? Возникнут ли претензии у проверяющих/контролирующих органов Автор: afev 2. Таймаут не настраивается. Обращение может делаться с неким нефиксированным таймаутом, исходя из разницы во времени между серверами OCSP и TSP. Не совсем понял, что значит "исходя из разницы во времени между серверами OCSP и TSP"? 2.1. Т.к. судя по логам для обращений к OCSP и TSP серверам используется стандартный класс может есть возможность "глобальной" настройки таймаута соединения? 2.2. Разве разница во времени OCSP и TSP серверов не регламентируется? Насколько она может быть большой?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#4 Оставлено : 15 ноября 2016 г. 9:46:14(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,077 Откуда: Крипто-Про Сказал(а) «Спасибо»: 22 раз Поблагодарили: 743 раз в 700 постах		Автор: mihmig Автор: afev 1. Было исправление в CAdES 2.0.37748 cades: отключена попытка при формировании подписи CAdES-X Long Type 1 получить CRL, если в сертификате подписи нет AIA или недоступны OCSP службы Версии 2.х не сертифицированы, насколько легитимно их использование в продуктивной среде, в случае изготовления квалифицированной ЭП? Возникнут ли претензии у проверяющих/контролирующих органов Автор: afev 2. Таймаут не настраивается. Обращение может делаться с неким нефиксированным таймаутом, исходя из разницы во времени между серверами OCSP и TSP. Не совсем понял, что значит "исходя из разницы во времени между серверами OCSP и TSP"? 2.1. Т.к. судя по логам для обращений к OCSP и TSP серверам используется стандартный класс может есть возможность "глобальной" настройки таймаута соединения? 2.2. Разве разница во времени OCSP и TSP серверов не регламентируется? Насколько она может быть большой? По версии 2.0 получена выписка из заключения. 2. Сравнивается время в OCSP ответе и штампе времени TSP службы. Дата thisUpdate в OCSP ответе должна быть позже даты штампа или совпадать с ней. Иначе происходит повторной запрос к OCSP службе после таймута в (<timestamp_date>-<ocsp_thisUpdate>). Если он более 5 минут (рассинхронизация служб) или запросы отправляются дольше 5 минут, то ошибка. "Глобальной" настройки таймаута соединения нет. Включите логирование JCPLogger с уровнем FINE.
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

mihmig		#5 Оставлено : 15 ноября 2016 г. 15:12:19(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 18.05.2016(UTC) Сообщений: 112		Автор: afev По версии 2.0 получена выписка из заключения. 1. Можно ли ознакомиться с данным документом? 2. Допустимо ли использование версии 2.х JCP в инфраструктуре с аккредитованным УЦ? Будет ли изготовленная ЭП соответствовать критериям "квалифицированности"? Ведь согласно ст. 5 №63-ФЗ "Об электронной подписи" п. 4.2 "... используются средства электронной подписи, имеющие подтверждение подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом ...


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#6 Оставлено : 15 ноября 2016 г. 15:14:47(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,077 Откуда: Крипто-Про Сказал(а) «Спасибо»: 22 раз Поблагодарили: 743 раз в 700 постах		Автор: mihmig 1. Можно ли ознакомиться с данным документом? http://www.cryptopro.ru/...-i-kriptopro-rutoken-csp
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

mihmig		#7 Оставлено : 18 ноября 2016 г. 8:59:35(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 18.05.2016(UTC) Сообщений: 112		Остался маленький вопрос: у нас используется УЦ с КС2 Допустимо ли использовать в связке с этим УЦ Крипто-Про JCP 2.x? С точки зрения "лицензионной чистоты"...


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close