Статус: Новичок
Группы: Участники
Зарегистрирован: 28.02.2021(UTC) Сообщений: 5 Откуда: Москва Сказал(а) «Спасибо»: 5 раз
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Добрый день. Проверка в данном случае выполнена некорректно, так как будет сбой получения списка отзыва сертификатов на заведомо переведенную вперед дату. При переводе вперед за дату действия текущих СОС у Вас все сертификаты будут давать ошибку, что не проверен статус сертификата. Это касается и сертификата метки времени - метка времени будет считаться недействительна - проверка будет по текущей дате - на текущую дату сертификаты истекли или не проверены - проверка вываливается в ошибку. Все верно - с неправильной системной датой результат проверки не гарантирован. Отредактировано пользователем 17 мая 2021 г. 8:20:52(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 28.02.2021(UTC) Сообщений: 5 Откуда: Москва Сказал(а) «Спасибо»: 5 раз
|
Автор: two_oceans Добрый день. Проверка в данном случае выполнена некорректно, так как будет сбой получения списка отзыва сертификатов на заведомо переведенную вперед дату. При переводе вперед за дату действия текущих СОС у Вас все сертификаты будут давать ошибку, что не проверен статус сертификата. Это касается и сертификата метки времени - метка времени будет считаться недействительна - проверка будет по текущей дате - на текущую дату сертификаты истекли или не проверены - проверка вываливается в ошибку. Все верно - с неправильной системной датой результат проверки не гарантирован. Здравствуйте! То есть если системная дата будет верная, но сертификат, которым подписывались данные, просрочен, то проверка завершится успешно? Тогда почему в https://crypto.kontur.ru/verify указывается (дата не проверена)? При том что если создать подпись у них на сайте, то там такого примечания нет и написано, мол, Цитата: Общество с ограниченной ответственностью "Сертум-Про" удостоверил: Сертификат на момент подписания действовал Подпись создана 4 мая 2020, 01:24:30 мск
Отредактировано пользователем 17 мая 2021 г. 10:30:09(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,037
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 140 раз в 126 постах
|
Сервис Контура не обязан доверять "чужим" (Тензор) штампам времени. Задача коммерческого сервиса проверять подписи, статусы и штампы в собственной инфраструктуре, а не предоставлять "универсальную услугу".
P.S. "Это рынок, детка" (ц) старая шуточная статья про рекламный бизнес.
|
1 пользователь поблагодарил basid за этот пост.
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Цель проверки все же "если возвратилась ИСТИНА, то все в порядке". А вот если возвратилась "ЛОЖЬ", то значит были какие-то сомнения и ЭЦП может быть как верной, так и неверной. Критериев и проверок слишком много, чтобы однозначно на верную подпись всегда возвращалась ИСТИНА, а на неверную всегда ЛОЖЬ. Автор: Extalionez То есть если системная дата будет верная, но сертификат, которым подписывались данные, просрочен, то проверка завершится успешно? Дело даже наверно не столько в верной системной дате, а в синхронности с часами сервера. Свою дату Вы передвинули, а дата на сервере осталась далеко в прошлом от новой системной даты, это вызывает ошибки как СОС так и OSCP-ответов. Предположив, что с серверами на момент будущей проверки будет все в порядке (ну когда тот момент реально наступит, УЦ еще не закроется и сервера будут корректно настроены и синхронны с системным временем), там будут корректные ответы и проверка должна пройти успешно. Если время в самой ЭЦП корректно указано. Дата может добавляться и как подписанный атрибут и как неподписанный атрибут и как метка времени - важно в этом не запутаться. Мне неизвестно какой добавляет тестовая страница. Автор: Extalionez Тогда почему в https://crypto.kontur.ru/verify указывается (дата не проверена)? При том что если создать подпись у них на сайте, то там такого примечания нет Без конкретных файлов подписи сложно обсуждать детали. В продвинутых форматах ЭЦП есть разные опции: например, чтобы не было зависимости от серверов и разницы с ними на момент проверки, можно включить в подпись "доказательства подлинности подписи", например: 1) СОС на момент "чуть позже" даты подписи каждого УЦ в цепочке подписавшего и в цепочке сервера доверенного времени либо 2) OCSP-ответы на момент "чуть позже" о статусах некорневых сертификатов в тех же цепочках. На момент подписания системное время должно быть верным. "Чуть позже" должно быть конечно раньше чем сертификат истечет, а самое раннее "чуть позже" определяется "точностью" сервера доверенного времени, в бесплатных это может быть до 20-30 минут после подписи. Если СОС или OCSP-ответы включены, процедура проверки не должна их запрашивать с сервера, то есть становится неважным рассинхронизация времени с сервером на момент проверки. Отредактировано пользователем 17 мая 2021 г. 12:40:56(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 28.02.2021(UTC) Сообщений: 5 Откуда: Москва Сказал(а) «Спасибо»: 5 раз
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2035 раз в 1579 постах
|
Автор: Extalionez Именно эта - содержит штамп времени и сертификат Тензора истекает в апреле 2022. Используйте службы, у которых сертификаты имеют более длительное время действия. Пример проверки из 17 мая 2022.. http://qs.cryptopro.ru/tsp/tsp.srf Snimok ehkrana ot 2022-05-17 18-23-24.png (41kb) загружен 9 раз(а). Snimok ehkrana ot 2022-05-17 18-22-16.png (41kb) загружен 8 раз(а). |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close