Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Сроки действия закрытых ключей и СКП
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.03.2013(UTC) Сообщений: 87   Откуда: Санкт-Петербург Сказал «Спасибо»: 38 раз
Поблагодарили: 10 раз в 8 постах
|
Автор: PPP  Здравствуйте, подскажите пожалуйста по следующему вопросу:
При проверке ЭП должна выполняться проверка актуальности сертификата, включающая в себя проверку сертификата на отозванность. В рамках проверки сертификата на отозванность необходимо проверить актуальность списка отзыва сертификатов (проверить что СОС не просрочен).
Сроки действия СОС обычно довольно короткие (не превышают 7 дней).
Рассмотрим такую ситуацию:
- срок действия сертификата УЦ 15 лет;
- срок действия пользовательского сертификата составляет 5 лет;
- срок действия закрытого ключа УЦ составляет 3 года, т.е. УЦ может выпускать СОС в течении 3 лет.
Таким образом получается, что через 3 года + 7 дней (срок действия СОС) пользовательский сертификат нельзя будет проверить на отозванность, т.к. не будет актуальных СОС.
Нужно ли проверять сертификаты на отозванность после истечения срока действия закрытого ключа УЦ?
Как на практике решается вопрос с проверкой сертификатов на отозваннось в случае когда УЦ прекращает выпускать СОСы, по причине истечения срока действия закрытого ключа УЦ?
С уважением,
Павел Павел, как правило финальный СОС выпускается с длинным сроком действия - не 7 дней, а например несколько лет.
|
 1 пользователь поблагодарил xrockx за этот пост.
|
PPP оставлено 27.10.2017(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.04.2013(UTC) Сообщений: 43 Откуда: Москва Сказал(а) «Спасибо»: 11 раз
|
Автор: xrockx Павел, как правило финальный СОС выпускается с длинным сроком действия - не 7 дней, а например несколько лет. Т.е. дата окончания действия последнего СОС должна быть равна дате окончания действия сертификата УЦ. Я правильно понимаю?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.03.2013(UTC) Сообщений: 87 Откуда: Санкт-Петербург Сказал «Спасибо»: 38 раз
Поблагодарили: 10 раз в 8 постах
|
Автор: PPP Автор: xrockx Павел, как правило финальный СОС выпускается с длинным сроком действия - не 7 дней, а например несколько лет. Т.е. дата окончания действия последнего СОС должна быть равна дате окончания действия сертификата УЦ. Я правильно понимаю? Именно. У ГУЦ Минкомсвязи именно так реализованно.
|
1 пользователь поблагодарил xrockx за этот пост.
|
PPP оставлено 27.10.2017(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.06.2019(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз
|
Всем привет.
Уважаемые коллеги, не смог нигде найти ответ на следующий вопрос.
Почему при имеющейся возможности выпускать сертификаты со сроком действия закрытого ключа 3 года (например исходя из ЖТЯИ.00096-01 30 01 на ПАКМ КриптоПро HSM срок действия ключей ЭЦП, являющихся не экспортируемыми, составляет не более 3-х лет), никто на рынке не выдает квалифицированные сертификаты с таким сроком действия, а только год и 15 месяцев??
Спасибо!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.11.2014(UTC) Сообщений: 56 Откуда: Краснодар Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: aЯ73M Всем привет.
Уважаемые коллеги, не смог нигде найти ответ на следующий вопрос.
Почему при имеющейся возможности выпускать сертификаты со сроком действия закрытого ключа 3 года (например исходя из ЖТЯИ.00096-01 30 01 на ПАКМ КриптоПро HSM срок действия ключей ЭЦП, являющихся не экспортируемыми, составляет не более 3-х лет), никто на рынке не выдает квалифицированные сертификаты с таким сроком действия, а только год и 15 месяцев??
Спасибо! Вы можете выпустить КЭП на ПАК КриптоПро HSM на 3 года. Но ваши клиенты не смогут воспользоваться этой КЭП по причине того, что закрытый ключ будет находиться на ПАК HSM, скопировать его оттуда нельзя. А организовать доступ к такому ключу - понадобится DSS и инфраструктура "облачной" КЭП.
|
1 пользователь поблагодарил kuzovm за этот пост.
|
aЯ73M оставлено 13.06.2019(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.06.2019(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз
|
Автор: kuzovm Автор: aЯ73M Всем привет.
Уважаемые коллеги, не смог нигде найти ответ на следующий вопрос.
Почему при имеющейся возможности выпускать сертификаты со сроком действия закрытого ключа 3 года (например исходя из ЖТЯИ.00096-01 30 01 на ПАКМ КриптоПро HSM срок действия ключей ЭЦП, являющихся не экспортируемыми, составляет не более 3-х лет), никто на рынке не выдает квалифицированные сертификаты с таким сроком действия, а только год и 15 месяцев??
Спасибо! Вы можете выпустить КЭП на ПАК КриптоПро HSM на 3 года. Но ваши клиенты не смогут воспользоваться этой КЭП по причине того, что закрытый ключ будет находиться на ПАК HSM, скопировать его оттуда нельзя. А организовать доступ к такому ключу - понадобится DSS и инфраструктура "облачной" КЭП. Спасибо за ответ! Уточню: - То есть при условии использования DSS - можно выпускать КЭП на 3 года? - Есть ли такие предложения на рынке пускай и с доп. условиями? или - Есть ли практика корпоративного использования 3 летних КЭП?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.11.2014(UTC) Сообщений: 56 Откуда: Краснодар Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: aЯ73M Автор: kuzovm Автор: aЯ73M Всем привет.
Уважаемые коллеги, не смог нигде найти ответ на следующий вопрос.
Почему при имеющейся возможности выпускать сертификаты со сроком действия закрытого ключа 3 года (например исходя из ЖТЯИ.00096-01 30 01 на ПАКМ КриптоПро HSM срок действия ключей ЭЦП, являющихся не экспортируемыми, составляет не более 3-х лет), никто на рынке не выдает квалифицированные сертификаты с таким сроком действия, а только год и 15 месяцев??
Спасибо! Вы можете выпустить КЭП на ПАК КриптоПро HSM на 3 года. Но ваши клиенты не смогут воспользоваться этой КЭП по причине того, что закрытый ключ будет находиться на ПАК HSM, скопировать его оттуда нельзя. А организовать доступ к такому ключу - понадобится DSS и инфраструктура "облачной" КЭП. Спасибо за ответ! Уточню: - То есть при условии использования DSS - можно выпускать КЭП на 3 года? - Есть ли такие предложения на рынке пускай и с доп. условиями? или - Есть ли практика корпоративного использования 3 летних КЭП? требования о сроке действия закрытого ключа регламентируются средствами СКЗИ которые его формируют. Для HSM срок действия ЗК - 3 года (а может и больше, не помню). HSM сертифицировано на работу с DSS, поэтому полагаю легитимно использовать такую связку для ключей на 3 года. О каком рынке вы речь ведете? Корпоративный? - уверен есть. Розница обычная - нет, т.к. там нет повсеместного применения DSS
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.07.2019(UTC) Сообщений: 4 Откуда: Йошкар-Ола Сказал(а) «Спасибо»: 1 раз
|
Здравствуйте! Версия КриптоПро 4.0.9944. Почему срок закрытого ключа отличается от срока действия КСКПЭП? Запрос и сертификат созданы сегодня. Срок действия у серта - 10.10.2020 а у закрытого ключа 08.10.2020. Это очень неудобно. Т.к. владельцы смотрят на срок действия сертификата и не подозревают, что еще существует срок действия закрытого ключа и оказываются в затруднительно ситуации, когда срок зарытого ключа наступает раньше чем сертификата. Отредактировано пользователем 10 июля 2019 г. 10:22:46(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.11.2014(UTC) Сообщений: 56 Откуда: Краснодар Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: SunVictory Здравствуйте!
Версия КриптоПро 4.0.9944.
Почему срок закрытого ключа отличается от срока действия КСКПЭП?
Запрос и сертификат созданы сегодня. Срок действия у серта - 10.10.2020 а у закрытого ключа 08.10.2020.
Это очень неудобно. Т.к. владельцы смотрят на срок действия сертификата и не подозревают, что еще существует срок действия закрытого ключа и оказываются в затруднительно ситуации, когда срок зарытого ключа наступает раньше чем сертификата. Полагаю, что запрос на сертификат все- таки был создан не сегодня. а обработан сегодня. По идее на УЦ должна быть настройка которая синхронизирует эти даты.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.07.2019(UTC) Сообщений: 4 Откуда: Йошкар-Ола Сказал(а) «Спасибо»: 1 раз
|
Автор: kuzovm
Полагаю, что запрос на сертификат все- таки был создан не сегодня. а обработан сегодня. По идее на УЦ должна быть настройка которая синхронизирует эти даты.
Запрос сформирован сегодня в моем присутствии.
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Сроки действия закрытых ключей и СКП
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
