Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Сроки действия закрытых ключей и СКП
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.11.2014(UTC) Сообщений: 56  Откуда: Краснодар Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
|
Получается, что баг?
У меня выпускаются серты, которые проверяются как по СОС, так и по OCSP. На ЦР выставлен срок жизни ключа 1 год и 3 месяца.
Мои сертификаты как минимум для криптопровайдера Криптопро CSP могут иметь срок действия до 1 года 3 месяцев. (наиболее распространенные 1 год).
Выходит, что для службы OCSP сертификаты которые выданные на 1 год, при проверке на ЦР могут определяться как успешные даже по истечению 1 года?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.11.2014(UTC) Сообщений: 56 Откуда: Краснодар Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.11.2014(UTC) Сообщений: 56 Откуда: Краснодар Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.11.2014(UTC) Сообщений: 56 Откуда: Краснодар Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
|
врагу не сдается наш гордый варяг...
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Автор: kuzovm  Выходит, что для службы OCSP сертификаты которые выданные на 1 год, при проверке на ЦР могут определяться как успешные даже по истечению 1 года? Да. Статус сертификата не имеет отношения к срокам действия закрытого и открытого ключа. Отредактировано пользователем 22 июня 2016 г. 6:36:01(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2010(UTC)
Сообщений: 69
Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 4 раз в 4 постах
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2010(UTC)
Сообщений: 69
Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 4 раз в 4 постах
|
Автор: Юрий Маслов Если возьмем документацию на СКЗИ "КриптоПро CSP" то увидим, что срок действия закрытого ключа не более 1 год 3 месяца, а срок действия открытого ключа (или СКП) не более 30 лет.
пост семилетней давности, что то изменилось или нет?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.11.2014(UTC) Сообщений: 56 Откуда: Краснодар Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: lab Срок действия закрытого ключа определяется эксплуатационной документацией к СКЗИ, закрепленной сертификатом соответствия ФСБ. Поэтому: 1. Смотрим сертификат соответсвия на скзи http://cryptopro.ru/cert...ates?pid=1417&sid=89 . В нашем случае внизу написано смотри ЖТЯИ.00050-02 30 01 2. далее скачиваем https://www.cryptopro.ru...te/csp/36R2/6497/doc.zip3. читаем из архива ЖТЯИ.00050-02 90 02. Руководство администратора безопасности. Общая часть пункт 6.8. Срок действия пользовательских ключей максимальный срок действия закрытого ключа ЭП - 1 год 3 месяца; максимальный срок действия открытого ключа ЭП - 15 лет; 8.2.1. Закрытый ключ и сертификат ЦС Срок действия закрытого ключа ЦС (точнее, ключа Уполномоченного лица УЦ) составляет 3 года. В течение 1 года 3 месяцев закрытый ключ Уполномоченного лица УЦ используется для изготовления сертификатов пользователей и формирования списков отозванных сертификатов. По истечении 1 года 3 месяцев и до окончания срока действия закрытого ключа Уполномоченного лица УЦ данный закрытый ключ используется исключительно для формирования списков отозванных сертификатов УЦ.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 08.12.2010(UTC)
Сообщений: 2
Откуда: СПб
|
Есть вопрос по данной теме: Цитата:Срок действия закрытого ключа ЦС (точнее, ключа Уполномоченного лица УЦ) составляет 3 года На сколько я понял, данный срок навязан разработчику каким-то регламентирующим документом. Можете подсказать, каким именно?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.04.2013(UTC) Сообщений: 43 Откуда: Москва Сказал(а) «Спасибо»: 11 раз
|
Здравствуйте, подскажите пожалуйста по следующему вопросу:
При проверке ЭП должна выполняться проверка актуальности сертификата, включающая в себя проверку сертификата на отозванность. В рамках проверки сертификата на отозванность необходимо проверить актуальность списка отзыва сертификатов (проверить что СОС не просрочен).
Сроки действия СОС обычно довольно короткие (не превышают 7 дней).
Рассмотрим такую ситуацию:
- срок действия сертификата УЦ 15 лет;
- срок действия пользовательского сертификата составляет 5 лет;
- срок действия закрытого ключа УЦ составляет 3 года, т.е. УЦ может выпускать СОС в течении 3 лет.
Таким образом получается, что через 3 года + 7 дней (срок действия СОС) пользовательский сертификат нельзя будет проверить на отозванность, т.к. не будет актуальных СОС.
Нужно ли проверять сертификаты на отозванность после истечения срока действия закрытого ключа УЦ?
Как на практике решается вопрос с проверкой сертификатов на отозваннось в случае когда УЦ прекращает выпускать СОСы, по причине истечения срока действия закрытого ключа УЦ?
С уважением,
Павел
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Сроки действия закрытых ключей и СКП
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
