Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,321   Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
|
Насчёт 1 года..
Есть для этого добавление нового штампа |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,321 Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
|
Автор: sanyo  Автор: Андрей *
DDOS по ИТ ресурсам страны
Какой же это DDOS, если последовательно по одному запросу всего в течение 10 минут один раз в неделю или месяц? DDOS - это когда одновременно (а не последовательно) тысячи запросов с разных айпи адресов, такого я не делал. Т.е. Сервер должен запоминать, что вот с такого ip редкие запросы и для него он всегда доступен? 23.06 на сайт Госуслуг, например, было более 300к запросов в секунду. Соответственно, разные компании настроили правила. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2014(UTC) Сообщений: 136 Откуда: Город Сказал(а) «Спасибо»: 11 раз
|
Автор: Андрей *
Так суд будет учитывать что? Наличие аккредитации и квалифицированного сертификата службы?
Без десятков обращений к экспертам нужны конечно юридически значимые сертификаты, а не тестовые. Почему-то вы уходите от ответа про ваши TSP :(, они теперь только для избранных вип клиентов? Автор: Андрей *
Или тестовый уц тоже подойдёт? А в списке выше вообще есть с гост 2001...
Это какой? Помеченный obsolete в комментариях? Автор: Андрей *
Ps с 2022 вступили новые пункты в ФЗ и большинство УЦ перестали быть аккредитованными. Сейчас всего 42 УЦ в стране, искать среди них службы.
Искать это конечно хорошо, но долго. Когда я общался с поддержками УЦ примерно 2 года назад, многие даже не могли понять, про какие TSP сервера я их спрашиваю :( Мало кто может похвастаться качеством и уровнем поддержки как у СКБ Контур, но один надежный УЦ с открытыми TSP на всю страну - это ведь маловато?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2014(UTC) Сообщений: 136 Откуда: Город Сказал(а) «Спасибо»: 11 раз
|
Автор: Андрей * Насчёт 1 года..
Есть для этого добавление нового штампа Не очень-то удобно постоянно их обновлять, я собирался такое сделать для более длительных штампов, но потом через 10 лет :)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,321 Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
|
Автор: sanyo
Почему-то вы уходите от ответа про ваши TSP :(, они теперь только для избранных вип клиентов?
Аккредитации же нет с 2022, выше написано, а тот, что якобы используете - штамп будет от какого УЦ - смотрели? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2014(UTC) Сообщений: 136 Откуда: Город Сказал(а) «Спасибо»: 11 раз
|
Автор: Андрей * 23.06 на сайт Госуслуг, например, было более 300к запросов в секунду. Соответственно, разные компании настроили правила. Так причем тут Госуслуги? Или у них тоже есть свой УЦ с открытым TSP (тот же, что ФНС)? IMHO блокировать надо по количеству обращений, а не просто сразу после двух запросов. Почему не дать возможность, делать хотя бы тысячу запросов в месяц не чаще одного запроса в минуту, это много что ли ? Сохранять и проверять стату по запросам вероятно можно из балансира типа HAProxy в каком-нибудь Tarantool? Неужели трудно нанять одного из сотен DevOps-ов с Хабра, кто прикрутит биллинг к балансиру и организует HA с масштабированием? Лучше устраивать баны всем подряд? Отредактировано пользователем 24 июня 2022 г. 4:31:48(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,321 Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
|
Автор: sanyo Автор: Андрей * 23.06 на сайт Госуслуг, например, было более 300к запросов в секунду. Соответственно, разные компании настроили правила. Так причем тут Госуслуги? Или у них тоже есть свой УЦ с открытым TSP (тот же, что ФНС)? IMHO блокировать надо по количеству обращений, а не просто сразу после двух запросов. Почему не дать возможность, делать хотя бы тысячу запросов в месяц не чаще одного запроса в минуту, это много что ли ? Сохранять и проверять стату по запросам вероятно можно из балансира типа HAProxy в каком-нибудь Tarantool? http://pki.tax.gov.ru/tsp/tsp.srf работает сейчас. Это ФНС. Открытый. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,321 Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
|
Автор: sanyo Автор: Андрей * 23.06 на сайт Госуслуг, например, было более 300к запросов в секунду. Соответственно, разные компании настроили правила. Так причем тут Госуслуги? Или у них тоже есть свой УЦ с открытым TSP (тот же, что ФНС)? При том, что сервер может быть сконфигурирован по разному и просто не отвечать (как один из ... с корневым сертификатом и CRL). Вы понимаете цепочку обращений, какие URL используются при получении каждого штампа? OCSP\CRL, цепочка, тип подписи CAdES-T или CAdES XLong1 ? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2014(UTC) Сообщений: 136 Откуда: Город Сказал(а) «Спасибо»: 11 раз
|
Автор: Андрей * Автор: sanyo
Почему-то вы уходите от ответа про ваши TSP :(, они теперь только для избранных вип клиентов?
Аккредитации же нет с 2022, выше написано, Можно узнать, почему у вашего сервера нет аккредитации? Вы ушли из бизнеса предоставления услуг УЦ? Теперь только разрабатываете софт УЦ, которым пользуются остальные УЦ в т.ч. аккредитованные? Автор: Андрей * а тот, что якобы используете - штамп будет от какого УЦ - смотрели? Ваши или еще какой-то? Каждый TSP вроде бы использует свой сертификат. Я отправляю запросы примерно так: Цитата:TSP_util()
{
# globals: $File, $URL, $Srv
HashLength=${1:-256};
case $HashLength in
( 256 )
Alg="1.2.643.7.1.1.2.2";
;;
( 512 )
Alg="1.2.643.7.1.1.2.3";
;;
esac;
# echo $Alg;
TSPFile="$File".$Srv.$HashLength.tsr;
/opt/cprocsp/bin/amd64/tsputil makestamp --alg=$Alg --cert-req --nonce=yes -u $URL "$File" "$TSPFile" 2>&1 1>"$TSPFile".status;
ExitCode=$?;
Потом можно посмотреть серт TSP сервера из штампа примерно так: Цитата:/opt/cprocsp/bin/amd64/tsputil extractcerts $StampFile $CertFile;
gcr-viewer $CertFile &
Удобно для просмотра срока действия сертификата TSP сервера. Отредактировано пользователем 24 июня 2022 г. 2:53:00(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2014(UTC) Сообщений: 136 Откуда: Город Сказал(а) «Спасибо»: 11 раз
|
Автор: Андрей *
Вы понимаете цепочку обращений, какие URL используются при получении каждого штампа?
Приблизительно, вероятно чем больше данных (сертификатов, OCSP проверок и т.п.) включается в штамп, тем больше запросов происходит для создания такого штампа? Автор: Андрей *
OCSP\CRL, цепочка, тип подписи CAdES-T или CAdES XLong1 ?
Как это определить? Какой вариант генерирует tsputil? Отредактировано пользователем 24 июня 2022 г. 2:57:54(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
