Начнем с того что у нас в компании ежесуточно подписывается от 35 до 40 тысяч документов, по всей России.
Мы используем усиленную квалифицированную подпись CAdES-X Long Type 1, и после происшествия на серверах такскома 27-29 марта (точную дату не помню), когда все ресурсы его лежали несколько часов, мы стали наблюдать массовые проблемы с подписью документов.

Пользователи подписывают документы не по штучно, а пачкой по 10-100 штук по очереди, при этом первые несколько документов 2-10 подписываются успешно а дальше идут ошибки, как правило такие, и все вся оставшаяся пачка уже не подписывается

Процесс отмены не может быть продолжен - проверка сертификатов недоступна. (0x800B010E)

Подпись ведется средствами криптопро браузер плагина, и работаем мы уже далеко не первый год, и до этого все работало как часы.
Изначально мы фиксировали проблемы с доступом до служб OCSP прописанных в сертификатах, например, как самые часто используемые:

http://tax4.tensor.ru/oc...a-2021_gost2012/ocsp.srf
http://tsp2012.taxcom.ru/tsp/tsp.srf
http://pki.skbkontur.ru/tsp2012/tsp.srf

Но это было как то периодически и в общем то все устаканилось за недельку, мы просто переключились на простую подпись, очень не хотелось но деваться не куда, при это обращение в УЦ не дало эффекта, там либо вообще в первые слышат про эти адреса и про TSP и OCSP либо отвечают что все работает штатно.

На текущий момент ситуация не лучше мы наблюдаем что то похожее на защиту от DDOS по адресам, опять же как наиболее часто использующихся:

http://reestr-pki.ru/cdp/guc2021.crl
http://reestr-pki.ru/cdp/guc_gost12.crl
http://company.rt.ru/cdp/guc2021.crl
http://company.rt.ru/cdp/guc_gost12.crl
http://cdp.skbkontur.ru/cdp/skbkontur-q-2021.crl

симптомы такие же - первые несколько документов из пачки подписываются успешно, а дальше все в ошибках выше обозначенных, в подробных логах CAPI2 значатся ошибки следующего содержания




последнего адреса (rostelecom.ru) видимо вообще уже не существует

бизнес встал :(

мы пробовали программно скачивать и обновлять эти списки отзыва на локальных машинах, но их слишком много (300-500 рабочих мест) и зачастую мешает политика безопасности внутри компаний решение не подошло.

на текущий момент мы через hosts завернули ключевые адреса на свои сервера и там раз в сутки выкачиваем эти списки, решение вообще не хорошее но другого выхода не видим пока.

Есть ли какие то другие пути ?
Может как то через крипто про браузер плагин можно извернуться ?
Может кто то столкнулся с подобным ?

Отредактировано пользователем 14 апреля 2022 г. 23:12:19(UTC)  | Причина: орфография

Здравствуйте.

В случае CAdES.jar (jcp) есть возможность передать список X509CRL в методы создания (addSigner), усовершенствования (enhance) и проверки (verify), а также отключить проверку на отзыв при создании подписей формата BES, T или усовершенствовании BES -> T с помощью

Добрый день!
По нашим наблюдениям (с появления первых проблем с доступностью CRL ГУЦ) - дело в том, что в зависимости от настроек заголовков HTTP, стандартный механизм получения CRL отказывается использовать этот CRL из кэша. Локальная установка CRL решает проблему.

Сейчас вносим необходимые изменения в КриптоПро ЭЦП и в плагин (кэширование CRL). На следующей неделе скорее всего сможем выложить новую версию плагина для тестирования.

Здравствуйте!
Можно взять сборочку cadesplugin.exe, cadessdk.msi

мы верно понимаем что в этом дистрибутиве сделано кеширование только ответов этого reestr-pki.ru и подобных ресурсов
а как насчет OCSP по поводу проверки сертификата ?