Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline Aleksandr_pro  
#1 Оставлено : 14 апреля 2022 г. 14:09:56(UTC)
Aleksandr_pro

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2014(UTC)
Сообщений: 42
Мужчина
Российская Федерация

Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
Начнем с того что у нас в компании ежесуточно подписывается от 35 до 40 тысяч документов, по всей России.
Мы используем усиленную квалифицированную подпись CAdES-X Long Type 1, и после происшествия на серверах такскома 27-29 марта (точную дату не помню), когда все ресурсы его лежали несколько часов, мы стали наблюдать массовые проблемы с подписью документов.

Пользователи подписывают документы не по штучно, а пачкой по 10-100 штук по очереди, при этом первые несколько документов 2-10 подписываются успешно а дальше идут ошибки, как правило такие, и все вся оставшаяся пачка уже не подписывается

Процесс отмены не может быть продолжен - проверка сертификатов недоступна. (0x800B010E)

Подпись ведется средствами криптопро браузер плагина, и работаем мы уже далеко не первый год, и до этого все работало как часы.
Изначально мы фиксировали проблемы с доступом до служб OCSP прописанных в сертификатах, например, как самые часто используемые:

http://tax4.tensor.ru/oc...a-2021_gost2012/ocsp.srf
http://tsp2012.taxcom.ru/tsp/tsp.srf
http://pki.skbkontur.ru/tsp2012/tsp.srf

Но это было как то периодически и в общем то все устаканилось за недельку, мы просто переключились на простую подпись, очень не хотелось но деваться не куда, при это обращение в УЦ не дало эффекта, там либо вообще в первые слышат про эти адреса и про TSP и OCSP либо отвечают что все работает штатно.

На текущий момент ситуация не лучше мы наблюдаем что то похожее на защиту от DDOS по адресам, опять же как наиболее часто использующихся:

http://reestr-pki.ru/cdp/guc2021.crl
http://reestr-pki.ru/cdp/guc_gost12.crl
http://company.rt.ru/cdp/guc2021.crl
http://company.rt.ru/cdp/guc_gost12.crl
http://cdp.skbkontur.ru/cdp/skbkontur-q-2021.crl

симптомы такие же - первые несколько документов из пачки подписываются успешно, а дальше все в ошибках выше обозначенных, в подробных логах CAPI2 значатся ошибки следующего содержания
reestr-pki.png
skbkontur.png
rostelekom.png

последнего адреса (rostelecom.ru) видимо вообще уже не существует

бизнес встал :(

мы пробовали программно скачивать и обновлять эти списки отзыва на локальных машинах, но их слишком много (300-500 рабочих мест) и зачастую мешает политика безопасности внутри компаний решение не подошло.

на текущий момент мы через hosts завернули ключевые адреса на свои сервера и там раз в сутки выкачиваем эти списки, решение вообще не хорошее но другого выхода не видим пока.

Есть ли какие то другие пути ?
Может как то через крипто про браузер плагин можно извернуться ?
Может кто то столкнулся с подобным ?

Отредактировано пользователем 14 апреля 2022 г. 23:12:19(UTC)  | Причина: орфография

thanks 1 пользователь поблагодарил Aleksandr_pro за этот пост.
Yuri оставлено 18.04.2022(UTC)
Offline mstdoc  
#2 Оставлено : 14 апреля 2022 г. 16:28:04(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 53

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Подтверждаю каждое слово.
Уже не первый год мучаем поодержку КриптоПро с этой проблемой, но решения до сих пор не получили.

Проблема весьма актуальная, особенно в ситуациях когда подписывается\проверяется большое число документов.
Периодически лежат сервера с crl у всех УЦ, с которыми мы работаем.

Очень часто - как минимум раз в неделю лежат сервера с crl минкомсвязи.
Некоторое время назад от ростелекома словили бан за слишком частые запросы в сторону crl.

У нас подчас подписывается\проверяется до 100 подписей в минуту.

Как сиюминутное решение проблемы используем тот же метод что и автор - выкачиваем crl и заворачиваем
запросы к какому-нибудь http://reestr-pki.ru/cdp/guc2021.crl к себе на локалхост.

Но это настолько убого, что словами не передать.

При этом в некоторых государственных системах (например в госзакупках) есть жесткие требования по времени обработки подписанного сообщения.
Самое жесткое из них - не больше часа.
В случае превышения этого времени мы обязаны платить огромные штрафы за каждое просроченное сообщение.
В ситуации когда лежит сервер ростелекома или минкомсвязи за пару часов таких сообщений мы можем получить десятки и сотни.

Поэтому просто напрашивается возможность выключать проверку сертификата на отзыв и проверять только саму подпись.
По опыту таких ситуаций знаю, что некоторые площадки в такой в принципе отключают проверку подписи в таких уловиях.

В случае использования расширения для php или python есть возможность ручками положить crl в хранилище криптоПро.
В случае jcp даже такой возможности нет и остается только заворачивать запросы на локалхост.
Если в сертификате прописан ocsp и сервер ocsp лежит, то даже локальное зранилище сrl не помогает.

Также стоит упомянуть ситуации, когда сrl условно доступен по ссылке, но отдается так медленно, что имея 10-20 подписей в минуту полностью забивается пул исходящих соединений и jcp вешается намертво.


Уважаемые разрабы КриптоПро, просьба услышать наконец то проблемы реального бизнеса и доработать возможность отключать проверку на отзыв.

Отредактировано пользователем 14 апреля 2022 г. 18:48:48(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил mstdoc за этот пост.
Aleksandr_pro оставлено 14.04.2022(UTC)
Offline Евгений Афанасьев  
#3 Оставлено : 14 апреля 2022 г. 19:23:42(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,962
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 703 раз в 664 постах
Здравствуйте.
Автор: mstdoc Перейти к цитате

В случае использования расширения для php или python есть возможность ручками положить crl в хранилище криптоПро.
В случае jcp даже такой возможности нет и остается только заворачивать запросы на локалхост.
Также стоит упомянуть ситуации, когда сrl условно доступен по ссылке, но отдается так медленно, что имея 10-20 подписей в минуту полностью забивается пул исходящих соединений и jcp вешается намертво.

В случае CAdES.jar (jcp) есть возможность передать список X509CRL в методы создания (addSigner), усовершенствования (enhance) и проверки (verify), а также отключить проверку на отзыв при создании подписей формата BES, T или усовершенствовании BES -> T с помощью
Цитата:

CAdESSignature cAdESSignature = ...
cAdESSignature.setOptions((new Options()).disableCertificateValidation())
cAdESSignature.addSigner(...)
thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
Андрей * оставлено 14.04.2022(UTC)
Offline Максим Коллегин  
#4 Оставлено : 15 апреля 2022 г. 13:38:30(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,391
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
С самых первых проявлений проблем с CRL ГУЦа мы ведём доработки КриптоПро ЭЦП, надеемся выпустить новый релиз в ближайшие дни.
Пока могу порекомендовать эти CRL устанавливать локально в хранилище CA.
Знания в базе знаний, поддержка в техподдержке
thanks 3 пользователей поблагодарили Максим Коллегин за этот пост.
Aleksandr_pro оставлено 15.04.2022(UTC), nickm оставлено 15.04.2022(UTC), Андрей * оставлено 15.04.2022(UTC)
Offline Новожилова Елена  
#5 Оставлено : 15 апреля 2022 г. 14:25:55(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Добрый день!
По нашим наблюдениям (с появления первых проблем с доступностью CRL ГУЦ) - дело в том, что в зависимости от настроек заголовков HTTP, стандартный механизм получения CRL отказывается использовать этот CRL из кэша. Локальная установка CRL решает проблему.

Сейчас вносим необходимые изменения в КриптоПро ЭЦП и в плагин (кэширование CRL). На следующей неделе скорее всего сможем выложить новую версию плагина для тестирования.
thanks 1 пользователь поблагодарил Новожилова Елена за этот пост.
Андрей * оставлено 15.04.2022(UTC)
Offline Aleksandr_pro  
#6 Оставлено : 15 апреля 2022 г. 16:07:26(UTC)
Aleksandr_pro

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2014(UTC)
Сообщений: 42
Мужчина
Российская Федерация

Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
Спасибо ! Если что готовы поучаствовать в тестировании
Offline Наталья Мовчан  
#7 Оставлено : 28 апреля 2022 г. 12:29:09(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
Здравствуйте!
Можно взять сборочку cadesplugin.exe, cadessdk.msi
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Наталья Мовчан за этот пост.
Aleksandr_pro оставлено 28.04.2022(UTC)
Offline Aleksandr_pro  
#8 Оставлено : 28 апреля 2022 г. 13:00:36(UTC)
Aleksandr_pro

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2014(UTC)
Сообщений: 42
Мужчина
Российская Федерация

Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
Спасибо начнем тесты, если что подскажем
Offline Aleksandr_pro  
#9 Оставлено : 10 мая 2022 г. 12:37:19(UTC)
Aleksandr_pro

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2014(UTC)
Сообщений: 42
Мужчина
Российская Федерация

Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
мы верно понимаем что в этом дистрибутиве сделано кеширование только ответов этого reestr-pki.ru и подобных ресурсов
а как насчет OCSP по поводу проверки сертификата ?
Offline two_oceans  
#10 Оставлено : 11 мая 2022 г. 5:38:00(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Как я понимаю, OCSP запрашивается на момент после подписания и просто заверяет, что в конкретный момент (и ранее этого момента) сертификат действовал. Ответ не гарантирует, что сертификат не был отозван позже указанного момента, то есть не имеет сколько-нибудь длительного срока действия. Дата ответа должна быть больше даты подписания и все тут.

Другими словами, ответ OCSP можно закэшировать для проверки подписи, но это сработает только для подписей сделанных конкретным сертификатом ранее момента кэширования ответа. Однако при подписании (и проверке "более новых" чем момент кэширования подписей) все равно будет нужен "свежий" ответ OCSP.

Получается, кэширование ответов OCSP в принципе не очень благодарное дело и напрямую зависит от доли "новых" подписей. Если документы преимущественно короткоживущие (цикл жизни меньше интервала кэширования), то эффекта вообще не заметите - что есть кэширование, что нет. Для случая выполнения 10-20 подписей в минуту (как поднято в этой теме) - аналогично.

С другой стороны, очевидно, что поиск в кэше удлиняет процедуру (ответ для нужного сертификата может найтись в кэше, но не подходить по времени) и может не очень хорошо сказываться на быстродействии. В итоге, от кэширования списка отзыва КПД больше.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
5 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.