Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline idtks  
#1 Оставлено : 30 сентября 2020 г. 12:45:00(UTC)
idtks

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.07.2014(UTC)
Сообщений: 97
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 21 раз
Здравствуйте.

Наше ПО строит цепочку доверия для сертификата КЭП при помощи вызова функции "CertGetCertificateChain" с флагом "CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT" для провайдера КриптоПРО CSP. Под ОС linux, при проверке на отзыв сертификата, будут ли загружаться СОС / CRL вашим провайдером автоматически или надо их загружать в хранилище нам самостоятельно?

Откуда возник вопрос: при использовании нашего ПО под Windows, мы довольно часто получаем ошибку "невозможно проверить сертификат на отзыв", если нет "свежего" СОС в хранилище. А вот под linux мы такой ошибки еще ни разу не получали. Поэтому, не могли бы вы объяснить откуда берет ваш провайдер СОС-ы при проверке сертификата на отзыв под linux-ом и что нам надо сделать, чтобы оно работало корректно (учитывало наличие или отсутствие "свежих" СОС / CRL у АУЦ для этого сертификата)?

С уважением, Константин Ткачук.
Offline Зубов Иван  
#2 Оставлено : 30 сентября 2020 г. 13:52:12(UTC)
Зубов Иван

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 44
Мужчина

Сказал «Спасибо»: 6 раз
Поблагодарили: 19 раз в 17 постах
Здравствуйте!

Наша реализация функции CertGetCertificateChain (как и Windows-реализация) умеет подгружать CRL, если она в них нуждается и если ей это разрешено. В стороннем коде не должно возникать нужды самостоятельно скачивать файлы и устанавливать их в хранилища. Флаги Windows-реализации, частично поддерживаемые и нашей реализацией, позволяют регулировать места, где она может искать CRL. Обычно это хранилище CA в CURRENT_USER, хранилище cache в CURRENT_USER и указанные в сертификате CDP (адреса в сети, откуда можно скачать CRL).

С уважением, Иван
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Зубов Иван за этот пост.
idtks оставлено 30.09.2020(UTC)
Offline Aleksandr G*  
#3 Оставлено : 30 сентября 2020 г. 16:05:38(UTC)
Aleksandr G*

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 35 раз в 28 постах
Иван, а если ссылка на CRL не указана (пример: Lets Encrypt). Проверка по OCSP тоже автоматическая? Или статус у цепочки будет "действительна" всегда в таком случае?
Offline Зубов Иван  
#4 Оставлено : 30 сентября 2020 г. 16:23:02(UTC)
Зубов Иван

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 44
Мужчина

Сказал «Спасибо»: 6 раз
Поблагодарили: 19 раз в 17 постах
Для работы с OCSP помимо CryptoPro CSP на данный момент требуется CryptoPro CAdES.
Если проверяется на отзыв какой-то сертификат, CRL для него в хранилищах нет, CDP в нём не указан, но в нём указан URL для проверки по OCSP, то:
-- при наличии CAdES и если флаги не запрещают использовать OCSP, то будет автоматическая проверка на отзыв через OCSP;
-- иначе проверки через OCSP не будет, цепочка успешно *построится*, но статус *проверки на отзыв* будет точно не успехом, а какой-то ошибкой.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.