Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline alex_k  
#11 Оставлено : 5 февраля 2024 г. 13:07:35(UTC)
alex_k

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.02.2018(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ленинград

Автор: alex_k Перейти к цитате
В моем случае достаточно зайти по rdp и воткнуть токен в порт.
Ещё нет ни браузера, ни плагина.
Хотя специально я это не проверял. Надо будет проверить.

Проверил. Да, действительно, сертификаты добавляются в момент присоединения токена. Браузер и плагин никак на это не влияют.
Причем эффект проявляется только при наличии КриптоПро и только с Rutoken Lite. Другие токены (Rutoken S, Rutoken ECP, eToken) такого эффекта не вызывают.
Похоже, очередная (уже не первая) "особенность" взаимодействия КриптоПро и Rutoken Lite.
Сначала я столкнулся с тем, что КриптоПро не запрашивает пин-код от Rutoken Lite, если этот пин-код не менялся.
Теперь вот, оказывается, сертификаты добавляются в хранилище без всякого спроса...
Не удивлюсь, если ещё какие-нибудь "особенности" обнаружатся.

А вот зачем все эти "особенности" реализованы -- это вопрос интересный.
Может быть, знающие люди дадут какие-нибудь разъяснения?

Хоть бы статью в базе знаний создали бы что ли...

Offline nickm  
#12 Оставлено : 5 февраля 2024 г. 13:45:19(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,323

Сказал(а) «Спасибо»: 563 раз
Поблагодарили: 395 раз в 374 постах
Автор: alex_k Перейти к цитате
Проверил. Да, действительно, сертификаты добавляются в момент присоединения токена. Браузер и плагин никак на это не влияют.

Вы отклоняетесь от сути сабжа, который звучал в другом направлении - в том, что плагин гос.услуг подтягивает сертификаты из хранилищ других пользователей, а возможно, что просто опрашивает все проброшенные токены на сервер.

А, Вы начали и продолжаете за авто-установку сертификатов с токенов, за что отвечает вышеназванная служба;

Автор: alex_k Перейти к цитате
Сначала я столкнулся с тем, что КриптоПро не запрашивает пин-код от Rutoken Lite, если этот пин-код не менялся.

Ну, так об этом всем/ многим известно, что "КриптоПро CSP" использует "ПИН по умолчанию" к токенам.
Offline alex_k  
#13 Оставлено : 5 февраля 2024 г. 14:07:15(UTC)
alex_k

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.02.2018(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ленинград

Автор: nickm Перейти к цитате
плагин гос.услуг подтягивает сертификаты из хранилищ других пользователей, а возможно, что просто опрашивает все проброшенные токены на сервер.

О том, что сертификаты подтягивает именно плагин Госуслуг, в сабже не говорилось. В сабже звучал вопрос "Кто виноват?". А "виновата" служба распространения сертификтов, так как именно она добавляет сертификаты в хранилище. И об этом я сказал сразу же. И сотрудник КриптоПро позже это подтвердил.
А вот то, что сертификаты добавляет плагин Гослуслуг -- это было Ваше предположение, высказанное здесь. И это предположение пока не подтвердилось, кстати говоря.

Так что никуда я от темы не отклоняюсь. И я, и автор темы -- оба мы пишем об одной и той же проблеме, просто с разных сторон.
Offline nickm  
#14 Оставлено : 5 февраля 2024 г. 14:18:44(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,323

Сказал(а) «Спасибо»: 563 раз
Поблагодарили: 395 раз в 374 постах
Автор: alex_k Перейти к цитате
Так что никуда я от темы не отклоняюсь. И я, и автор темы -- оба мы пишем об одной и той же проблеме, просто с разных сторон.


Автор: saratovv Перейти к цитате
Когда пользователь использует плагин эл. правительства (госуслуги), он видит ‘чужой сертификат’, который в этот момент уже установился на сервере в 'личные' пользователя (без его участия !).


Проблема обозначена здесь - плагин отображает/ перечисляет сертификаты других пользователей.

То, что "Автор: saratovv" не знает/ не знал об авто-установке сертификатов - это не беда, это заявленный системный функционал и он работает в пределах настроек безопасности, этот функционал не устанавливает сертификаты всем пользователям подряд.

Отредактировано пользователем 5 февраля 2024 г. 14:19:22(UTC)  | Причина: Не указана

Offline alex_k  
#15 Оставлено : 5 февраля 2024 г. 14:54:11(UTC)
alex_k

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.02.2018(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ленинград

Автор: nickm Перейти к цитате

Автор: saratovv Перейти к цитате
Когда пользователь использует плагин эл. правительства (госуслуги), он видит ‘чужой сертификат’, который в этот момент уже установился на сервере в 'личные' пользователя (без его участия !).

Проблема обозначена здесь - плагин отображает/ перечисляет сертификаты других пользователей.


Хорошо. Когда пользователь НЕ использует плагин Госуслуг, проблема не проявляется? Это точно?
То есть все варианты, кроме плагина Госуслуг можно исключить? А вот неизвестно. Я не знаю, проверял это ТС или нет. Он ничего об этом не говорил.
Зато я знаю, что сертификат автоматически добавляется из без плагина, потому что я это проверял.


Автор: nickm Перейти к цитате

То, что "Автор: saratovv" не знает/ не знал об авто-установке сертификатов - это не беда, это заявленный системный функционал
Где он заявлен? В документации? В базах знаний? Мне не попадалось. Я же искал в своё время ответ на этот вопрос.
Единственное упоминание, которое я тогда нашел, было где-то в обсуждениях на форуме (я даже не уверен, что на этом форуме).

Автор: nickm Перейти к цитате

этот функционал не устанавливает сертификаты всем пользователям подряд

А я вот не могу исключить такого варианта. Это опять-таки нуждается в проверке.
В любом случае, у браузерного плагина возможностей меньше, чем у системной службы.
Offline nickm  
#16 Оставлено : 5 февраля 2024 г. 15:00:29(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,323

Сказал(а) «Спасибо»: 563 раз
Поблагодарили: 395 раз в 374 постах
Автор: alex_k Перейти к цитате
Где он заявлен? В документации? В базах знаний? Мне не попадалось. Я же искал в своё время ответ на этот вопрос.
Единственное упоминание, которое я тогда нашел, было где-то в обсуждениях на форуме (я даже не уверен, что на этом форуме).

Включение / отключение службы распространения сертификатов

Служба распространения сертификатов
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.