Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы<1234>
Опции
К последнему сообщению К первому непрочитанному
Offline kisttan  
#41 Оставлено : 24 марта 2016 г. 18:23:15(UTC)
kisttan

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.12.2015(UTC)
Сообщений: 3

Если сертификат по наполнению или формату полей не соответствует 795 то это уже не квалифицированный сертификат - был прецедент запрашивали ФСБ и МКС.
Offline Sergey M. Murugov  
#42 Оставлено : 24 марта 2016 г. 18:39:00(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Автор: Femi Перейти к цитате
Автор: Sergey M. Murugov Перейти к цитате
намекаете, что сроки можно писать вообще какие угодно хоть сто лет

Не перевирайте, пожалуйста. Не намекаю.
Писать только то, что указано в эксплуатационной документации на СКЗИ подчиненного УЦ. Или не указывать вообще.

Автор: Sergey M. Murugov Перейти к цитате
мне же казалось, что сертификаты должен МКС испекать правильные.

Только об этом и речь.



У нас какое то недопонимание.
В соответствии со стандартом период действия закрытого ключа может указываться двумя способами:
1. Если указан privateKeyUsagePeriod - то срок берется оттуда, причем этот срок не может быть длиннее срока действительности сертификата.
2. Если privateKeyUsagePeriod нет в составе сертификата, то конец действия закрытого ключа равен дате действительности сертификата.
В приведенном выше сертификате подчиненного УЦ срок действительности сертификата == 10 лет и там же privateKeyUsagePeriod тоже равен 10 лет. Сама цифра 10 лет она неправильная и я ранее написал почему она такой быть не может. В этом смысле что есть в сертификате расширение privateKeyUsagePeriod, что его нет роли не играет ни какой, поскольку в обоих случает декларируется срок закрытого ключа в 10 лет, чего быть просто не может - это то надеюсь понятно.
Offline Femi  
#43 Оставлено : 25 марта 2016 г. 10:24:55(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Автор: Sergey M. Murugov Перейти к цитате
Автор: Femi Перейти к цитате
Автор: Sergey M. Murugov Перейти к цитате
намекаете, что сроки можно писать вообще какие угодно хоть сто лет

Не перевирайте, пожалуйста. Не намекаю.
Писать только то, что указано в эксплуатационной документации на СКЗИ подчиненного УЦ. Или не указывать вообще.

Автор: Sergey M. Murugov Перейти к цитате
мне же казалось, что сертификаты должен МКС испекать правильные.

Только об этом и речь.



У нас какое то недопонимание.
В соответствии со стандартом период действия закрытого ключа может указываться двумя способами:
1. Если указан privateKeyUsagePeriod - то срок берется оттуда, причем этот срок не может быть длиннее срока действительности сертификата.
2. Если privateKeyUsagePeriod нет в составе сертификата, то конец действия закрытого ключа равен дате действительности сертификата.
В приведенном выше сертификате подчиненного УЦ срок действительности сертификата == 10 лет и там же privateKeyUsagePeriod тоже равен 10 лет. Сама цифра 10 лет она неправильная и я ранее написал почему она такой быть не может. В этом смысле что есть в сертификате расширение privateKeyUsagePeriod, что его нет роли не играет ни какой, поскольку в обоих случает декларируется срок закрытого ключа в 10 лет, чего быть просто не может - это то надеюсь понятно.


Про указание 10 лет-вопросов нет, я об этом тоже писала.
А Вас не смущает, что в самоподписанных сертификатах корневых ЦС этого расширения нет?
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline Варенуха  
#44 Оставлено : 25 марта 2016 г. 13:11:38(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Автор: Femi Перейти к цитате
А Вас не смущает, что в самоподписанных сертификатах корневых ЦС этого расширения нет?

Самоподписанные изготавливаются "на местах", а новые - в УФО.
"Ну... ну, я не знаю, если уж в Моссовете?!.."(С)

Offline Femi  
#45 Оставлено : 25 марта 2016 г. 13:20:57(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,375
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 9 раз
Поблагодарили: 64 раз в 43 постах
Автор: Варенуха Перейти к цитате
Автор: Femi Перейти к цитате
А Вас не смущает, что в самоподписанных сертификатах корневых ЦС этого расширения нет?

Самоподписанные изготавливаются "на местах", а новые - в УФО.
"Ну... ну, я не знаю, если уж в Моссовете?!.."(С)



1. Расширение это не является обязательным.
2. Сроки действия ключей регламентированы эксплуатационной документацией на СКЗИ.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline Sergey M. Murugov  
#46 Оставлено : 28 марта 2016 г. 10:22:42(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Автор: Femi Перейти к цитате
Автор: Варенуха Перейти к цитате
Автор: Femi Перейти к цитате
А Вас не смущает, что в самоподписанных сертификатах корневых ЦС этого расширения нет?

Самоподписанные изготавливаются "на местах", а новые - в УФО.
"Ну... ну, я не знаю, если уж в Моссовете?!.."(С)



1. Расширение это не является обязательным.
2. Сроки действия ключей регламентированы эксплуатационной документацией на СКЗИ.


С практической точки зрения:
1. В privateKeyUsagePeriod я бы написал срок действия закрытого ключа, т.е. из исходного примера это 15 месяцев.
2. Срок действия сертификата = privateKeyUsagePeriod + срок действия ЕЕ-сертификата (что будет явно менее 5 лет).
Это даст возможность выпустить ЕЕ-сертификат в последний день действительности закрытого ключа издателя УЦ, т.е. на круг имеем экономию в процедурах замены издателя УЦ.
Offline Mayshev Vadim  
#47 Оставлено : 29 марта 2016 г. 17:02:42(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 141
Мужчина
Российская Федерация

Сказал «Спасибо»: 17 раз
Поблагодарили: 22 раз в 17 постах
Автор: Sergey M. Murugov Перейти к цитате
2. Срок действия сертификата = privateKeyUsagePeriod + срок действия ЕЕ-сертификата (что будет явно менее 5 лет).

OCSP и TSP тоже EE-сертификаты, но их срок хочется иметь ~15 лет.

Offline pharaon  
#48 Оставлено : 6 апреля 2016 г. 9:26:24(UTC)
pharaon

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.11.2010(UTC)
Сообщений: 162
Откуда: НН

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 13 постах
Автор: Sergey M. Murugov Перейти к цитате
Автор: Femi Перейти к цитате
Автор: Варенуха Перейти к цитате
Автор: Femi Перейти к цитате
А Вас не смущает, что в самоподписанных сертификатах корневых ЦС этого расширения нет?

Самоподписанные изготавливаются "на местах", а новые - в УФО.
"Ну... ну, я не знаю, если уж в Моссовете?!.."(С)



1. Расширение это не является обязательным.
2. Сроки действия ключей регламентированы эксплуатационной документацией на СКЗИ.


С практической точки зрения:
1. В privateKeyUsagePeriod я бы написал срок действия закрытого ключа, т.е. из исходного примера это 15 месяцев.
2. Срок действия сертификата = privateKeyUsagePeriod + срок действия ЕЕ-сертификата (что будет явно менее 5 лет).
Это даст возможность выпустить ЕЕ-сертификат в последний день действительности закрытого ключа издателя УЦ, т.е. на круг имеем экономию в процедурах замены издателя УЦ.


А как в МКС сообщать о поддерживаемом сроке действия закрытого ключа? формуляр слать? У кого то на 15 месяцев, а у кого то на 3 или 5 лет например может быть.
Offline maximus235  
#49 Оставлено : 6 апреля 2016 г. 9:47:18(UTC)
maximus235

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2009(UTC)
Сообщений: 69
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 5 раз
Поблагодарили: 12 раз в 5 постах


Автор: Варенуха Перейти к цитате
Автор: maximus235 Перейти к цитате
Автор: Варенуха Перейти к цитате
А как Вы планируете организовать доставку CRL в точки распространения http://rostelecom.ru/cdp/vguc1_4.crl?


А зачем организовывать доставку своего CRL в эту точку? Это CDP УЦ 1 ГУЦ


Да, но она указан и как точка распространения в EE-сертификате.


А зачем Вы настроили эту CDP для ЕЕ-сертификатов?
Offline maximus235  
#50 Оставлено : 6 апреля 2016 г. 9:48:50(UTC)
maximus235

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2009(UTC)
Сообщений: 69
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 5 раз
Поблагодарили: 12 раз в 5 постах
Автор: Mayshev Vadim Перейти к цитате
OCSP и TSP тоже EE-сертификаты, но их срок хочется иметь ~15 лет.


При сертификате УЦ сроком действия 10 лет выпустить эти серты на 15 лет никак не получится. Максимум тоже на 10.
Offline Mayshev Vadim  
#51 Оставлено : 6 апреля 2016 г. 11:43:38(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 141
Мужчина
Российская Федерация

Сказал «Спасибо»: 17 раз
Поблагодарили: 22 раз в 17 постах
Автор: maximus235 Перейти к цитате
Автор: Mayshev Vadim Перейти к цитате
OCSP и TSP тоже EE-сертификаты, но их срок хочется иметь ~15 лет.

При сертификате УЦ сроком действия 10 лет выпустить эти серты на 15 лет никак не получится. Максимум тоже на 10.

Об этом тут и речь...
Offline maximus235  
#52 Оставлено : 6 апреля 2016 г. 11:52:37(UTC)
maximus235

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2009(UTC)
Сообщений: 69
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 5 раз
Поблагодарили: 12 раз в 5 постах
Судя по всему, проблема в том, что срок действия сертификатов ОГИЦ1 и ОГИЦ2 тоже ограничены 15 годами (т.к. не используется HSM). Поэтому минкомсвязи ограничило срок действия выдаваемых сертификатов аккредитованных УЦ сроком в 10 лет.
Offline Mayshev Vadim  
#53 Оставлено : 6 апреля 2016 г. 13:57:33(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 141
Мужчина
Российская Федерация

Сказал «Спасибо»: 17 раз
Поблагодарили: 22 раз в 17 постах
Автор: maximus235 Перейти к цитате
Судя по всему, проблема в том, что срок действия сертификатов ОГИЦ1 и ОГИЦ2 тоже ограничены 15 годами (т.к. не используется HSM). Поэтому минкомсвязи ограничило срок действия выдаваемых сертификатов аккредитованных УЦ сроком в 10 лет.

Срок сертификата ограничен 15 годами (вероятно, и с HSM). Поскольку срок действия последнего сертификата в цепочке ограничен сроком сертификата иерархического корня, а он не менялся с 2012 года (т.к. HSM), то получили уменьшение сроков всех сертификатов. К тому же ГУЦ по непонятным причинам его еще искусственно ограничивает 10 годами...
Итог: уменьшение срока действительности электронной подписи с потенциальных 15 лет, до потенциальных 10 лет.

Отредактировано пользователем 6 апреля 2016 г. 14:19:36(UTC)  | Причина: Не указана

Offline maximus235  
#54 Оставлено : 6 апреля 2016 г. 14:01:54(UTC)
maximus235

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2009(UTC)
Сообщений: 69
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 5 раз
Поблагодарили: 12 раз в 5 постах
Автор: Mayshev Vadim Перейти к цитате
Срок сертификата ограничен 15 годами (даже если HSM).


Позвольте не согласится. Читаем эксплуатационную документацию КриптоПро УЦ, а именно ЖТЯИ.00067-02 90 04, см. п.11.1 ..."Максимальный срок действия сертификата Центра Сертификации при использовании ПАКМ "Атликс HSM" – 30 лет."
Или я не прав?
Хотелось бы услышать мнение сотрудников КриптоПро
Offline Mayshev Vadim  
#55 Оставлено : 6 апреля 2016 г. 14:18:18(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 141
Мужчина
Российская Федерация

Сказал «Спасибо»: 17 раз
Поблагодарили: 22 раз в 17 постах
Автор: maximus235 Перейти к цитате
Автор: Mayshev Vadim Перейти к цитате
Срок сертификата ограничен 15 годами (даже если HSM).


Позвольте не согласится. Читаем эксплуатационную документацию КриптоПро УЦ, а именно ЖТЯИ.00067-02 90 04, см. п.11.1 ..."Максимальный срок действия сертификата Центра Сертификации при использовании ПАКМ "Атликс HSM" – 30 лет."
Или я не прав?
Хотелось бы услышать мнение сотрудников КриптоПро

ПАК «Головной УЦ»

Offline maximus235  
#56 Оставлено : 6 апреля 2016 г. 14:50:47(UTC)
maximus235

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2009(UTC)
Сообщений: 69
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 5 раз
Поблагодарили: 12 раз в 5 постах
Автор: Mayshev Vadim Перейти к цитате
Автор: maximus235 Перейти к цитате
Автор: Mayshev Vadim Перейти к цитате
Срок сертификата ограничен 15 годами (даже если HSM).


Позвольте не согласится. Читаем эксплуатационную документацию КриптоПро УЦ, а именно ЖТЯИ.00067-02 90 04, см. п.11.1 ..."Максимальный срок действия сертификата Центра Сертификации при использовании ПАКМ "Атликс HSM" – 30 лет."
Или я не прав?
Хотелось бы услышать мнение сотрудников КриптоПро

ПАК «Головной УЦ»



То что сертификат выдан на 15 лет - это практический аспект. И чем это обусловлено мы не знаем. Я имел в виду теоретическую возможность выпуска сертификатов УЦ Минкомсвязи на 30 лет. С точки зрения нормативных документов при использовании HSM никаких противопоказаний к этому нет.
Offline maximus235  
#57 Оставлено : 25 апреля 2016 г. 17:48:33(UTC)
maximus235

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2009(UTC)
Сообщений: 69
Мужчина
Российская Федерация
Откуда: Санкт-Петербург

Сказал «Спасибо»: 5 раз
Поблагодарили: 12 раз в 5 постах
Коллеги! Кто-нибудь отправлял запрос на сертификат в соответствии с новым порядком? А то мы уже вторую неделю ждем ответа от МКС, телефоны не отвечают, почта уходит как в черную дыру.
Offline Boris@Serezhkin.com  
#58 Оставлено : 25 апреля 2016 г. 23:46:59(UTC)
Boris@Serezhkin.com

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.08.2010(UTC)
Сообщений: 259
Откуда: Moscow

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 11 раз в 10 постах
Автор: Femi Перейти к цитате
2. Сроки действия ключей регламентированы эксплуатационной документацией на СКЗИ.
Дэвушка, я вам пэрсик пришлю по мылу, только скажите:
А федеральные ограничения существуют?

Offline Kirill86  
#59 Оставлено : 13 мая 2016 г. 7:51:03(UTC)
Kirill86

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Республика Башкортостан, г. Уфа

Сказал(а) «Спасибо»: 2 раз
Здравствуйте, маленький вопросик, после создания запроса на сертификата УЦ по инструкции, действующий корневой же не отвалится (он у нас до 2027 года), и мы сможем продолжить работать, пока ждем ответа от МКС?
Offline Ghost-kun  
#60 Оставлено : 16 мая 2016 г. 9:14:07(UTC)
Ghost-kun

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 43
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Поблагодарили: 2 раз в 2 постах
Автор: Kirill86 Перейти к цитате
Здравствуйте, маленький вопросик, после создания запроса на сертификата УЦ по инструкции, действующий корневой же не отвалится (он у нас до 2027 года), и мы сможем продолжить работать, пока ждем ответа от МКС?


Действующий корневой не отвалится, но после создания запроса включать службу УЦ нельзя до получения сертификата из МКС.
Действующий корневой в последствии будет только для подписания СОСов.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы<1234>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.