Как указать адрес OCSP для сертификата, если его нет?- Page 3

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

3 Страницы<1 23

Как указать адрес OCSP для сертификата, если его нет?

Опции

Предыдущая тема Следующая тема

cross		#21 Оставлено : 31 января 2018 г. 18:54:23(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах		Автор: auglov Вот, читаем. Цитата: 4.4.2. ES with Complete Validation Data References (CAdES-C) Electronic Signature with Complete validation data references (CAdES-C), in accordance with the present document, adds to the CAdES-T the complete-certificate-references and complete-revocation-references attributes, as defined by the present document. The complete-certificate-references attribute contains references to all the certificates present in the certification path used for verifying the signature. The complete-revocation-references attribute contains references to the CRLs and/or OCSPs responses used for verifying the signature. Все-таки CRLs and/or OCSPs, но это пока еще CAdES-C. Дальше: Цитата: 4.4.3.1. EXtended Long Electronic Signature (CAdES-X Long) Extended Long format (CAdES-X Long), in accordance with the present document, adds the certificate-values and revocation-values attributes to the CAdES-C format. The first one contains the whole certificate path required for verifying the signature; the second one contains the CRLs and/OCSP responses required for the validation of the signature. This provides a known repository of certificate and revocation information required to validate a CAdES-C and prevents such information from getting lost. Sections 6.3.3 and 6.3.4 give specification details. Annex B.1.1 gives details on the production of the format. Annexes C4.1 to C.4.2 provide the rationale. Написано CRLs and/OCSP responses - наличие "/" смущает, возможно, имелось ввиду то же самое and/or, что в разделе выше про CAdES-C, а возможно и нет. Не понятно. Смотрим дальше: Цитата: 6.3.4. revocation-values Attribute Definition ................. It holds the values of CRLs and OCSP referenced in the complete-revocation-references attribute. Как-будто, действительно, должно быть and. Однако смущает наличие OPTIONAL в последующем определении: Цитата: RevocationValues ::= SEQUENCE { crlVals [0] SEQUENCE OF CertificateList OPTIONAL, ocspVals [1] SEQUENCE OF BasicOCSPResponse OPTIONAL, otherRevVals [2] OtherRevVals OPTIONAL } То есть, поле ocspVals, якобы, может и отсутствовать. Понятнее не стало. Откуда следует, что там, действительно, должна быть непусты crlVals и ocspVals? Что я пропустил? Дальше еще есть "This attribute may include the values of revocation data including CRLs and OCSPs" - опять же may, а не must. Второй вопрос, можно ли на основании Цитата: 4.1. Major Parties ............ The Trusted Service Providers (TSPs) are one or more entities that help to build trust relationships between the signer and verifier. They support the signer and verifier by means of supporting services including: user certificates, cross-certificates, time-stamp tokens, CRLs, ARLs, and OCSP responses. предъявить теперь какие-то претензии удостоверяющему центру, якобы, они обязаны обеспечить все из перечисленных сервисов? Действительно ли УЦ это обязан делать? Стандарт не запрещает использовать CRL в качестве доказательств. Но есть одна тонкость, доказательства должны доказывать валидность сертификата на момент получения штампа времени на подпись. Для CRL это означает что его ThisUpdate должен быть уже после выпуска штампа. Что на практике бывает крайне редко. УЦ не будет перевыпускать CRL каждый раз как кто то подписывает. Мы считает что OCSP в качестве подтверждения валидности сертификата сильно лучше и удобнее использовать чем CRL. Поэтому наша реализация поддерживает добавление только OCSP.
		Техническую поддержку оказываем тут. Наша база знаний. Наша страничка в Instagram.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (3)

3 Страницы<1 23

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close