Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Автор: CommonUsr  А можно ссылку на источник. Что-то я в 63-ФЗ подобного не нашел. Лично у меня обновление СОС раз в неделю вызывает удивление. Но встает вопрос, что понимать под реакцией УЦ на изменение статуса сертификата? 63-ФЗ Ст. 14. п.7 Цитата:7. Информация о прекращении действия сертификата ключа проверки электронной подписи должна быть внесена удостоверяющим центром в реестр сертификатов в течение одного рабочего дня со дня наступления обстоятельств, повлекших за собой прекращение действия сертификата ключа проверки электронной подписи. Действие сертификата ключа проверки электронной подписи прекращается с момента внесения записи об этом в реестр сертификатов.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Автор: Zloy Strelok Если отзывы происходят редко. Месяц не отзывались, пришло заявление, а потом еще одно через 2 дня, а потом снова 2 месяца нет отзывов. Формально, выпустив сос сроком действия месяц сразу же после отзыва - реакция в течении получаса на отзыв, выпуск сос и публикация. мы так раньше работали, пока не стали работать с системами у которых явно прописано требование ежедневных сос. Что то не понял, вы что не придерживались периода действительности СОС и выпускали а ля экстренные в то же место? Если так, то вы действовали против стандарта RFC 5280. Алгоритм проверки действительности списка отозванных сертификатов, описанный в разделе 6.3, указанных рекомендаций, предполагает работу на стороне прикладной системы с локальной копией списка вплоть до даты, указанной в СОС в поле «Дата издания следующего списка». Вы таким образом порождали коллизию в своем домене..
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2012(UTC) Сообщений: 267   Откуда: Калининград Сказал «Спасибо»: 51 раз
Поблагодарили: 30 раз в 22 постах
|
Автор: Sergey M. Murugov
Что то не понял, вы что не придерживались периода действительности СОС и выпускали а ля экстренные в то же место? Если так, то вы действовали против стандарта RFC 5280. Алгоритм проверки действительности списка отозванных сертификатов, описанный в разделе 6.3, указанных рекомендаций, предполагает работу на стороне прикладной системы с локальной копией списка вплоть до даты, указанной в СОС в поле «Дата издания следующего списка». Вы таким образом порождали коллизию в своем домене..
да, видимо, создавали коллизию. а вот как быть в случае сос сроком действия в сутки - экстренные публикации тоже запрещены? а если учитывать перекрытие - то маленькие коллизии в пару часов все равно остаются же?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Автор: Zloy Strelok
да, видимо, создавали коллизию.
а вот как быть в случае сос сроком действия в сутки - экстренные публикации тоже запрещены? а если учитывать перекрытие - то маленькие коллизии в пару часов все равно остаются же?
Решения на вскидку всего два: 1. Более законный (на мой взгляд) и менее хлопотный - это поддержка deltaCRL насколько припоминаю, УЦ КриптоПРО это делать умеет (или его можно научить это делать не сильно сложно, тут лучше у спецов именно по их решению проконсультироваться). Для этого в сертификат или в СОС (и то и другое допустимо стандартом) придётся впихивать (по RFC 5280) специальное расширение - FreshestCRL. 2. Менее законный (на мой взгляд и более затратный) - использовать OCSP. Менее законный - потому что 63-ФЗ ни словом ни где не упоминает , что вместо актуального реестра можно публиковать "выписку", коей является OCSP-квиток. Но тем не менее, данный протокол вполне стандартный в смысле техники, но сомнителен в виде правовых последствий. Опять же на мой взгляд. ++++++++++ Ну общее соображение, не надо ничего выдумывать самостоятельно, всё уже давным давно выдумано до нас, обсуждено, прошло обкатку на реальных системах и имеет шлейф мирового опыта.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,179 Сказал «Спасибо»: 620 раз
Поблагодарили: 2396 раз в 1885 постах
|
Мне только не понятно, почему "реестром сертификатов" многие считают CRL. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.10.2013(UTC)
Сообщений: 35
Сказал(а) «Спасибо»: 12 раз
|
Автор: Sergey M. Murugov Автор: CommonUsr А можно ссылку на источник. Что-то я в 63-ФЗ подобного не нашел. Лично у меня обновление СОС раз в неделю вызывает удивление. Но встает вопрос, что понимать под реакцией УЦ на изменение статуса сертификата? 63-ФЗ Ст. 14. п.7 Цитата:7. Информация о прекращении действия сертификата ключа проверки электронной подписи должна быть внесена удостоверяющим центром в реестр сертификатов в течение одного рабочего дня со дня наступления обстоятельств, повлекших за собой прекращение действия сертификата ключа проверки электронной подписи. Действие сертификата ключа проверки электронной подписи прекращается с момента внесения записи об этом в реестр сертификатов. Я могу ошибаться, но... После отзыва сертификата, мы тут же увидим его в оснастке в разделе "Отозванных сертификатов". 24-часов здесь не понадобится. Информация внесена. Не будем рассуждать на тему, что аккредитованный УЦ должен иметь общедоступный реестр сертификатов, из которого пользователь имеет право получать выписки об интересующих его сертификатах (кто по ldap, кто предоставляет форму для запросов, кто просто выкладывает все серты скопом). Так учитывая, что нигде не определен конкретный вид реестра сертификатов, то, поправьте, если не прав: после того, как оператор по запросу/заявлению пользователя отозвал сертификат и информация о статусе была изменена в бд, считаю пункт выполненным. УЦ отреагировал на обстоятельства. Другое дело - предоставление актуальной информации о статусах. Реестр - это реестр. Опубликованные файлы СОС - это файлы СОС. Так обязан ли аккредитованный УЦ выполнять какие-то требования по публикации СОС или здесь он руководствуется лишь своим регламентом?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Автор: Андрей * Мне только не понятно, почему "реестром сертификатов" многие считают CRL. Насколько я понимаю мутный слог 63-ФЗ который по неволе приходится накладывать на технику. То СОС - это кусок (поскольку ни где не написано что реестр должен являть собой единую сущность, а не разбитую на разделы, отдельно для отозванных, отдельно для выпущенных) общего реестра содержащего только отозванные сертификаты. Иного сложно просто предположить. Что касается реестра выпущенных - то сие вопрос открытый, возможно это LDAP, возможно список человекочитаемый как на госуслугах для сертификатов ГУЦа .... по мне, да и по технике - это не сильно важно, поскольку 99.9% ЭЦП уже содержит внутри себя сертификат автора подписи и нужды в каком то внешнем реестре просто нет. Правда есть и исключения, на моей практике было всего два случая: первый - это когда подпись запихивали в бар-код и там просто не было места для сертификата, второй - что то связанное с телеметрией на морских судах, где было жесткое требование к летающим в эфире байтикам. Но всё это - это исключительно уникальные системы и являются исключением из правила, чем наоборот.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
|
Автор: CommonUsr
Я могу ошибаться, но... После отзыва сертификата, мы тут же увидим его в оснастке в разделе "Отозванных сертификатов". 24-часов здесь не понадобится. Информация внесена.
Не будем рассуждать на тему, что аккредитованный УЦ должен иметь общедоступный реестр сертификатов, из которого пользователь имеет право получать выписки об интересующих его сертификатах (кто по ldap, кто предоставляет форму для запросов, кто просто выкладывает все серты скопом). Так учитывая, что нигде не определен конкретный вид реестра сертификатов, то, поправьте, если не прав: после того, как оператор по запросу/заявлению пользователя отозвал сертификат и информация о статусе была изменена в бд, считаю пункт выполненным. УЦ отреагировал на обстоятельства. Другое дело - предоставление актуальной информации о статусах. Реестр - это реестр. Опубликованные файлы СОС - это файлы СОС. Так обязан ли аккредитованный УЦ выполнять какие-то требования по публикации СОС или здесь он руководствуется лишь своим регламентом?
Кстати, а кто такие - "мы видим" - "мы" - это пользователи УЦ или "мы" - это администратор УЦ? Т.е. вы хотите сказать, что раз УЦ поменял выпущенному сертификату статус на отозванный в своих потрохах (СУБД), то он выполнил положения закона?! Мне кажется вы тут несколько палку перегибаете, кто кому служит, УЦ прикладным системам или наоборот? УЦ по закону должен внести в реестр изменения в 24 часта, а доступ к этому самому реестру должен быть публично открыт ВСЕГДА. Следуя вашей логике + нормы закона, внеся изменение статуса в СУБД (т.е. СУБД для вас это техническая реализация реестра по закону, раз вы в неё вносите информацию о статусе сертификата) УЦ, вы обязаны открыть публичный доступ на чтение к этой самой внутренней СУБД - это полный абсурд.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,179 Сказал «Спасибо»: 620 раз
Поблагодарили: 2396 раз в 1885 постах
|
Автор: Sergey M. Murugov Автор: Андрей * Мне только не понятно, почему "реестром сертификатов" многие считают CRL. Насколько я понимаю мутный слог 63-ФЗ который по неволе приходится накладывать на технику. То СОС - это кусок ....
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.10.2013(UTC)
Сообщений: 35
Сказал(а) «Спасибо»: 12 раз
|
Автор: Sergey M. Murugov
Кстати, а кто такие - "мы видим" - "мы" - это пользователи УЦ или "мы" - это администратор УЦ?
Т.е. вы хотите сказать, что раз УЦ поменял выпущенному сертификату статус на отозванный в своих потрохах (СУБД), то он выполнил положения закона?! Мне кажется вы тут несколько палку перегибаете, кто кому служит, УЦ прикладным системам или наоборот? УЦ по закону должен внести в реестр изменения в 24 часта, а доступ к этому самому реестру должен быть публично открыт ВСЕГДА. Следуя вашей логике + нормы закона, внеся изменение статуса в СУБД (т.е. СУБД для вас это техническая реализация реестра по закону, раз вы в неё вносите информацию о статусе сертификата) УЦ, вы обязаны открыть публичный доступ на чтение к этой самой внутренней СУБД - это полный абсурд.
Под "мы" я, конечно, имел ввиду привилегированных пользователей УЦ. 63-ФЗ ст.13 п5 УЦ Цитата:
5) ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее - реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования;
И КриптоПро УЦ ведет такой реестр. Вы же не будете говорить, что база данных КриптоПро не соответствует этим требованиям, не ведется реестр выданных и аннулированных сертов и т.д. С другой стороны, УЦ обязан "предоставлять безвозмездно любому лицу по его обращению информацию, содержащуюся в реестре сертификатов". Опять же мы приходим к тому, что вид реестра не определен. В законе написано, пользователь имеет право получить ИНФОРМАЦИЮ. Как УЦ будет выполнять это требование,сейчас остается его собственным делом. Если это будет форма на сайте, где пользователь сможет сформировать запрос по интересующим его параметрам, пожалуйста. Открывать доступ к внутренней базе (а я понял вы имеете тут ввиду базу, которую ведет КП УЦ), я не говорил. Нигде не говориться, что это должна быть одна и та же сущность. УЦ обязан лишь давать возможность получать актуальную информацию из этого реестра. Так же как, вы правы, нигде не говорится о разрозненности или единстве этой сущности. Но даже в части отозванных сертификатов СОСы могут быть неполными, как приводили здесь примеры. Стоит ли считать частью реестра публикуемые файлы crl. Я лично не считаю это совсем правильным. Но учитывая, что ст. 14. п.7 единственное, что регулирует УЦ в плане актуальности и оперативности работы со статусами, думаю стоит принимать это в качестве рекомендации по выпуску СОС. Выпускать СОС реже чем раз в сутки абсурд. Но, по видимому, четкого регулирования периода выпуска СОС законом нет. Отредактировано пользователем 29 мая 2014 г. 13:57:20(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
