Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline basid  
#11 Оставлено : 11 мая 2022 г. 6:51:20(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,089

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 149 раз в 134 постах
OCSP это "запросить статус конкретного сертификата" вместо "проверять по всему списку отзыва".
Ещечасно (ежесуточно) скачивать (обновлённый) список отозванных сертификатов и устанавливать его локально несложно реализуется и вполне закрывает существующую проблему.

P.S.
Насколько я понимаю, OCSP "имеет право" выдать ответ по точно такому же локально доступному списку отзывов.
Offline two_oceans  
#12 Оставлено : 11 мая 2022 г. 7:40:25(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: basid Перейти к цитате
P.S.
Насколько я понимаю, OCSP "имеет право" выдать ответ по точно такому же локально доступному списку отзывов.
В принципе да, вот только в идеале OCSP еще и может ловить сертификаты, которые не были выданы соответствующим УЦ, так как это:
1) признак компрометации ключа УЦ (подобрали ключ или открытый ключ случайно сгенерированной пары совпал и кто-то это использовал), то есть надо бить тревогу и перевыпускать сертификат УЦ;
2) неправильно на такой сертификат отвечать "действителен", так как его выдал вообще непонятно кто.

В итоге, надо бы еще проверять по списку сертификатов, выданных УЦ, "а был ли такой сертификат", совпадают ли отпечаток и серийный номер с отпечатком и серийным номером в списке выданных. Хотя, конечно, ситуация компрометации ключа УЦ не самая частая - переполучают сертификаты ежегодно и на начало года всего 40 аккредитованных УЦ, так что "накрайняк" можно и просто по списку отзыва.

Offline Новожилова Елена  
#13 Оставлено : 11 мая 2022 г. 9:59:19(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Как правило, служба актуальных статусов сертификатов (OCSP) работает по базе данных центра сертификации, то есть имеет наиболее актуальную информацию об отзыве сертификатов.
Режим работы службы OCSP по CRL может применяться больше для резервирования, или в тестовых целях.


Преимущество использования OCSP-ответов вместо проверки по CRL появляется в случаях использования совместно со штампами времени.
Штамп времени гарантирует, что подпись была создана не позднее определённого момента, а OCSP-ответ - что сертификат действовал на момент получения штампа времени. И даже если через пару минут сертификат отозвали, то есть доказательства действительности подписи.

Для информации о разных форматах подписи можно посмотреть стандарт ETSI TS 101 733 "Electronic Signatures and Infrastructures (ESI); CMS Advanced Electronic Signatures (CAdES)"
Offline Aleksandr_pro  
#14 Оставлено : 11 мая 2022 г. 11:17:44(UTC)
Aleksandr_pro

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2014(UTC)
Сообщений: 42
Мужчина
Российская Федерация

Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
Да это все понятно, но с учетом того что у основных УЦ служба OCSP сбоит так же как описано в заголовке

Процесс отмены не может быть продолжен - проверка сертификатов недоступна. (0x800B010E)

получается что фактически ее нельзя использовать :(, попробуем добыть доказательства в ближайшее время, что бы не быть голословными
Offline Максим Коллегин  
#15 Оставлено : 11 мая 2022 г. 13:07:54(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,391
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
Автор: Aleksandr_pro Перейти к цитате
мы верно понимаем что в этом дистрибутиве сделано кеширование только ответов этого reestr-pki.ru и подобных ресурсов
а как насчет OCSP по поводу проверки сертификата ?

Верно понимаете, мы реализовали использование закэшированных СRL при создании CAdES-подписи.

Для сценария проверки цепочки сертификата мы запланировали сделать кэширование OCSP-ответов в capilite, в Windows OCSP-ответы при проверке на отзыв
кэшируются современными ОС.

Для CAdES-сценариев задача кэширования OCSP-ответов требует дополнительных исследований.
Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#16 Оставлено : 11 мая 2022 г. 13:49:32(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: Новожилова Елена Перейти к цитате
Как правило, служба актуальных статусов сертификатов (OCSP) работает по базе данных центра сертификации, то есть имеет наиболее актуальную информацию об отзыве сертификатов.
Режим работы службы OCSP по CRL может применяться больше для резервирования, или в тестовых целях.
Да, в идеале полностью с Вами согласен. На практике совсем не так, особенно если вспомнить требования, что база УЦ аккредитованных УЦ должна быть отключена от доступа из интернета, а OCSP очевидно должна быть подключена к интернету. Либо хитрая настройка DMZ минимум с 3 брандмауэрами либо просто разделяют сети физически и сотрудники перетаскивают CRL на носителях.
Offline Aleksandr_pro  
#17 Оставлено : 2 августа 2022 г. 20:29:50(UTC)
Aleksandr_pro

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2014(UTC)
Сообщений: 42
Мужчина
Российская Федерация

Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
В продолжении темы уже прошло много времени, и вот многие пользователи у нас уже работают на новой версии плагина что вы выложили ранее с 01.08.2022 мы вновь попробовали переключиться на "усиленный" режим, в целом терпимо но ошибок все ровно достаточно много, часть из которых пропадает банально со второй попытки.

и мы подумали что бы нам бы сильно помогло если бы в случае сбоя работы TSP или OSCP службы в тексте ошибки это как то было видно, сейчас получая ошибку мы видим вот это

При попытке отправки запроса возникла ошибка HTTP (0xC2100100)
или
Время ожидания операции истекло (0x80072EE2)


и из этого очень сложно понять какая из служб сбоит и куда копать, может быть возможно в Крипто про Браузер плагине как то расшифровать о каком запросе идет речь, понятно дело что есть логи и прочее но у пользователей на местах их очень сложно подключить в силу крайне жестких ограничений прав.

Наша поддержка скорее всего долго под давлением не продержится и мы вновь вернемся на простую подпись, а текст ошибки позволит хотя бы как то оправдаться и обратиться в УЦ может хоть как то вопрос начнет двигаться.

Отредактировано пользователем 2 августа 2022 г. 20:32:48(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#18 Оставлено : 2 августа 2022 г. 21:44:05(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,391
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
Принято, подумаем, как это реализовать.
Знания в базе знаний, поддержка в техподдержке
Offline Aleksandr_pro  
#19 Оставлено : 3 августа 2022 г. 17:44:10(UTC)
Aleksandr_pro

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2014(UTC)
Сообщений: 42
Мужчина
Российская Федерация

Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
Создал еще одну тему больше теоретически/юридическую связанную с текущей ситуацией.

https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=21092

И назрел еще один вопрос, а возможно ли в крипто про браузер плагине использовать только TSP службу без использования OCSP потому что по нашим наблюдениям на текущий момент сильнее всего сбоит именно OCSP, а не TSP, на текущий момент получается что либо вместе либо не как.

Надо искать какой то выход из текущей ситуации.
Offline basid  
#20 Оставлено : 3 августа 2022 г. 17:58:14(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,089

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 149 раз в 134 постах
Технически, вроде, можно вставить в подпись список отзыва вместо OCSP-ответа, но вряд ли вас устроит такое увеличение размера ЭП.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
5 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.