Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей *  
#11 Оставлено : 24 июня 2022 г. 2:36:56(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Насчёт 1 года..
Есть для этого добавление нового штампа
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#12 Оставлено : 24 июня 2022 г. 2:39:52(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: sanyo Перейти к цитате
Автор: Андрей * Перейти к цитате

DDOS по ИТ ресурсам страны


Какой же это DDOS, если последовательно по одному запросу всего в течение 10 минут один раз в неделю или месяц?

DDOS - это когда одновременно (а не последовательно) тысячи запросов с разных айпи адресов, такого я не делал.


Т.е. Сервер должен запоминать, что вот с такого ip редкие запросы и для него он всегда доступен?

23.06 на сайт Госуслуг, например, было более 300к запросов в секунду. Соответственно, разные компании настроили правила.
Техническую поддержку оказываем тут
Наша база знаний
Offline sanyo  
#13 Оставлено : 24 июня 2022 г. 2:41:06(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Андрей * Перейти к цитате


Так суд будет учитывать что? Наличие аккредитации и квалифицированного сертификата службы?



Без десятков обращений к экспертам нужны конечно юридически значимые сертификаты, а не тестовые.

Почему-то вы уходите от ответа про ваши TSP :(, они теперь только для избранных вип клиентов?

Автор: Андрей * Перейти к цитате

Или тестовый уц тоже подойдёт? А в списке выше вообще есть с гост 2001...


Это какой? Помеченный obsolete в комментариях?


Автор: Андрей * Перейти к цитате

Ps с 2022 вступили новые пункты в ФЗ и большинство УЦ перестали быть аккредитованными. Сейчас всего 42 УЦ в стране, искать среди них службы.


Искать это конечно хорошо, но долго. Когда я общался с поддержками УЦ примерно 2 года назад, многие даже не могли понять, про какие TSP сервера я их спрашиваю :(

Мало кто может похвастаться качеством и уровнем поддержки как у СКБ Контур, но один надежный УЦ с открытыми TSP на всю страну - это ведь маловато?
Offline sanyo  
#14 Оставлено : 24 июня 2022 г. 2:42:36(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Андрей * Перейти к цитате
Насчёт 1 года..
Есть для этого добавление нового штампа


Не очень-то удобно постоянно их обновлять, я собирался такое сделать для более длительных штампов, но потом через 10 лет :)
Offline Андрей *  
#15 Оставлено : 24 июня 2022 г. 2:43:34(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: sanyo Перейти к цитате

Почему-то вы уходите от ответа про ваши TSP :(, они теперь только для избранных вип клиентов?


Аккредитации же нет с 2022, выше написано,
а тот, что якобы используете - штамп будет от какого УЦ - смотрели?
Техническую поддержку оказываем тут
Наша база знаний
Offline sanyo  
#16 Оставлено : 24 июня 2022 г. 2:46:28(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Андрей * Перейти к цитате
23.06 на сайт Госуслуг, например, было более 300к запросов в секунду. Соответственно, разные компании настроили правила.


Так причем тут Госуслуги? Или у них тоже есть свой УЦ с открытым TSP (тот же, что ФНС)?

IMHO блокировать надо по количеству обращений, а не просто сразу после двух запросов.

Почему не дать возможность, делать хотя бы тысячу запросов в месяц не чаще одного запроса в минуту, это много что ли ?

Сохранять и проверять стату по запросам вероятно можно из балансира типа HAProxy в каком-нибудь Tarantool?

Неужели трудно нанять одного из сотен DevOps-ов с Хабра, кто прикрутит биллинг к балансиру и организует HA с масштабированием?

Лучше устраивать баны всем подряд?

Отредактировано пользователем 24 июня 2022 г. 4:31:48(UTC)  | Причина: Не указана

Offline Андрей *  
#17 Оставлено : 24 июня 2022 г. 2:47:31(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: sanyo Перейти к цитате
Автор: Андрей * Перейти к цитате
23.06 на сайт Госуслуг, например, было более 300к запросов в секунду. Соответственно, разные компании настроили правила.


Так причем тут Госуслуги? Или у них тоже есть свой УЦ с открытым TSP (тот же, что ФНС)?

IMHO блокировать надо по количеству обращений, а не просто сразу после двух запросов.

Почему не дать возможность, делать хотя бы тысячу запросов в месяц не чаще одного запроса в минуту, это много что ли ?

Сохранять и проверять стату по запросам вероятно можно из балансира типа HAProxy в каком-нибудь Tarantool?



http://pki.tax.gov.ru/tsp/tsp.srf
работает сейчас. Это ФНС. Открытый.
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#18 Оставлено : 24 июня 2022 г. 2:50:06(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: sanyo Перейти к цитате
Автор: Андрей * Перейти к цитате
23.06 на сайт Госуслуг, например, было более 300к запросов в секунду. Соответственно, разные компании настроили правила.


Так причем тут Госуслуги? Или у них тоже есть свой УЦ с открытым TSP (тот же, что ФНС)?


При том, что сервер может быть сконфигурирован по разному и просто не отвечать (как один из ... с корневым сертификатом и CRL).
Вы понимаете цепочку обращений, какие URL используются при получении каждого штампа?

OCSP\CRL, цепочка, тип подписи CAdES-T или CAdES XLong1 ?
Техническую поддержку оказываем тут
Наша база знаний
Offline sanyo  
#19 Оставлено : 24 июня 2022 г. 2:51:20(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Андрей * Перейти к цитате
Автор: sanyo Перейти к цитате

Почему-то вы уходите от ответа про ваши TSP :(, они теперь только для избранных вип клиентов?


Аккредитации же нет с 2022, выше написано,



Можно узнать, почему у вашего сервера нет аккредитации? Вы ушли из бизнеса предоставления услуг УЦ? Теперь только разрабатываете софт УЦ, которым пользуются остальные УЦ в т.ч. аккредитованные?

Автор: Андрей * Перейти к цитате
а тот, что якобы используете - штамп будет от какого УЦ - смотрели?

Ваши или еще какой-то?
Каждый TSP вроде бы использует свой сертификат.

Я отправляю запросы примерно так:

Цитата:
TSP_util()
{
# globals: $File, $URL, $Srv
HashLength=${1:-256};

case $HashLength in
( 256 )
Alg="1.2.643.7.1.1.2.2";
;;
( 512 )
Alg="1.2.643.7.1.1.2.3";
;;
esac;
# echo $Alg;

TSPFile="$File".$Srv.$HashLength.tsr;

/opt/cprocsp/bin/amd64/tsputil makestamp --alg=$Alg --cert-req --nonce=yes -u $URL "$File" "$TSPFile" 2>&1 1>"$TSPFile".status;
ExitCode=$?;


Потом можно посмотреть серт TSP сервера из штампа примерно так:

Цитата:
/opt/cprocsp/bin/amd64/tsputil extractcerts $StampFile $CertFile;
gcr-viewer $CertFile &


Удобно для просмотра срока действия сертификата TSP сервера.

Отредактировано пользователем 24 июня 2022 г. 2:53:00(UTC)  | Причина: Не указана

Offline sanyo  
#20 Оставлено : 24 июня 2022 г. 2:55:29(UTC)
sanyo

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.12.2014(UTC)
Сообщений: 136
Российская Федерация
Откуда: Город

Сказал(а) «Спасибо»: 11 раз
Автор: Андрей * Перейти к цитате

Вы понимаете цепочку обращений, какие URL используются при получении каждого штампа?


Приблизительно, вероятно чем больше данных (сертификатов, OCSP проверок и т.п.) включается в штамп, тем больше запросов происходит для создания такого штампа?

Автор: Андрей * Перейти к цитате

OCSP\CRL, цепочка, тип подписи CAdES-T или CAdES XLong1 ?


Как это определить? Какой вариант генерирует tsputil?

Отредактировано пользователем 24 июня 2022 г. 2:57:54(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
6 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.