OCSP это "запросить статус конкретного сертификата" вместо "проверять по всему списку отзыва".
Ещечасно (ежесуточно) скачивать (обновлённый) список отозванных сертификатов и устанавливать его локально несложно реализуется и вполне закрывает существующую проблему.

P.S.
Насколько я понимаю, OCSP "имеет право" выдать ответ по точно такому же локально доступному списку отзывов.

Как правило, служба актуальных статусов сертификатов (OCSP) работает по базе данных центра сертификации, то есть имеет наиболее актуальную информацию об отзыве сертификатов.
Режим работы службы OCSP по CRL может применяться больше для резервирования, или в тестовых целях.


Преимущество использования OCSP-ответов вместо проверки по CRL появляется в случаях использования совместно со штампами времени.
Штамп времени гарантирует, что подпись была создана не позднее определённого момента, а OCSP-ответ - что сертификат действовал на момент получения штампа времени. И даже если через пару минут сертификат отозвали, то есть доказательства действительности подписи.

Для информации о разных форматах подписи можно посмотреть стандарт ETSI TS 101 733 "Electronic Signatures and Infrastructures (ESI); CMS Advanced Electronic Signatures (CAdES)"

Верно понимаете, мы реализовали использование закэшированных СRL при создании CAdES-подписи.

Для сценария проверки цепочки сертификата мы запланировали сделать кэширование OCSP-ответов в capilite, в Windows OCSP-ответы при проверке на отзыв
кэшируются современными ОС.

Для CAdES-сценариев задача кэширования OCSP-ответов требует дополнительных исследований.

В продолжении темы уже прошло много времени, и вот многие пользователи у нас уже работают на новой версии плагина что вы выложили ранее с 01.08.2022 мы вновь попробовали переключиться на "усиленный" режим, в целом терпимо но ошибок все ровно достаточно много, часть из которых пропадает банально со второй попытки.

и мы подумали что бы нам бы сильно помогло если бы в случае сбоя работы TSP или OSCP службы в тексте ошибки это как то было видно, сейчас получая ошибку мы видим вот это

При попытке отправки запроса возникла ошибка HTTP (0xC2100100)
или
Время ожидания операции истекло (0x80072EE2)


и из этого очень сложно понять какая из служб сбоит и куда копать, может быть возможно в Крипто про Браузер плагине как то расшифровать о каком запросе идет речь, понятно дело что есть логи и прочее но у пользователей на местах их очень сложно подключить в силу крайне жестких ограничений прав.

Наша поддержка скорее всего долго под давлением не продержится и мы вновь вернемся на простую подпись, а текст ошибки позволит хотя бы как то оправдаться и обратиться в УЦ может хоть как то вопрос начнет двигаться.

Отредактировано пользователем 2 августа 2022 г. 20:32:48(UTC)  | Причина: Не указана

Создал еще одну тему больше теоретически/юридическую связанную с текущей ситуацией.

https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=21092

И назрел еще один вопрос, а возможно ли в крипто про браузер плагине использовать только TSP службу без использования OCSP потому что по нашим наблюдениям на текущий момент сильнее всего сбоит именно OCSP, а не TSP, на текущий момент получается что либо вместе либо не как.

Надо искать какой то выход из текущей ситуации.