Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
В проекте "СТАНДАРТ ПРИМЕНЕНИЯ УСОВЕРШЕНСТВОВАННОЙ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ" в разделе 7.2, пункт 8 сказано, что одним из условий правильности доказательств подлинности является то, что сертификат ключа подписи OCSP службы выпущен тем же УЦ, что и сертификат подписанта.
Означает ли это, что Крипто-Про CAdES SDK воспримет подпись как ошибочную при если издатели OCSP сертификата и сертификата подписанта будут различными и в CAdES подпись будут включены все сертификаты цепочки как для сертификата подписанта, так и для сертификата OCSP службы? |
С уважением, Юрий Строжевский |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Для информации добавлю сюда ещё выдержку из RFC2560: Цитата:4.2.2.2 Authorized Responders
The key that signs a certificate's status information need not be the same key that signed the certificate. It is necessary however to ensure that the entity signing this information is authorized to do so. Therefore, a certificate's issuer MUST either sign the OCSP responses itself or it MUST explicitly designate this authority to another entity. OCSP signing delegation SHALL be designated by the inclusion of id-kp-OCSPSigning in an extendedKeyUsage certificate extension included in the OCSP response signer's certificate. This certificate MUST be issued directly by the CA that issued the certificate in question. Однако вопрос насчет стандартного поведения компонентов Крипто-Про всё ещё остаётся. |
С уважением, Юрий Строжевский |
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Да, конечно. Если OCSP-ответ подписан не центром сертификации, выпустившим сертификат, и не службой OCSP, сертификат которой выпущен тем же центром сертификации, что и проверяемый сертификат, то такой OCSP-ответ принят не будет.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: Новожилова Елена Да, конечно. Если OCSP-ответ подписан не центром сертификации, выпустившим сертификат, и не службой OCSP, сертификат которой выпущен тем же центром сертификации, что и проверяемый сертификат, то такой OCSP-ответ принят не будет. Однако ради информации должен сказать, что на самом деле существует возможность настройки Крипто-Про OCSP клиента при которой он будет воспринимать ответы от определенного набора OCSP серверов как доверенные, для любого удостоверяемого сертификата. |
С уважением, Юрий Строжевский |
1 пользователь поблагодарил Юрий за этот пост.
|
MCR оставлено 12.11.2013(UTC)
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Так и есть и такое поведение описано в RFC 2560, пп. 4.2.2:
Systems or applications that rely on OCSP responses MUST be capable of detecting and enforcing use of the id-ad-ocspSigning value as described above. They MAY provide a means of locally configuring one or more OCSP signing authorities, and specifying the set of CAs for which each signing authority is trusted. They MUST reject the response if the certificate required to validate the signature on the response fails to meet at least one of the following criteria:
1. Matches a local configuration of OCSP signing authority for the certificate in question; or
2. Is the certificate of the CA that issued the certificate in question; or
3. Includes a value of id-ad-ocspSigning in an ExtendedKeyUsage extension and is issued by the CA that issued the certificate in question."
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close