Статус: Новичок
Группы: Участники
Зарегистрирован: 29.10.2024(UTC)
Сообщений: 2
Откуда: Нижневартовск
|
Добрый день. Подскажите на какие dst ip и порты нужно открыть доступ на межсетевом экране для того что бы служба могла скачивать crl списки?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,297   Сказал «Спасибо»: 549 раз
Поблагодарили: 2201 раз в 1717 постах
|
Здравствуйте.
Смотреть url (домен) cer\crl в сертификатах по цепочке.
Порт обычно 80, но встречаются редиректы на 443. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,297 Сказал «Спасибо»: 549 раз
Поблагодарили: 2201 раз в 1717 постах
|
например, с цепочкой через УЦ ФНС reestr-pki.ru 109.207.1.66 company.rt.ru 213.59.197.65 rostelecom.ru 87.226.162.216 pki.tax.gov.ru 213.24.64.95  Snimok ehkrana ot 2024-10-29 13-28-36.png (42kb) загружен 6 раз(а). Snimok ehkrana ot 2024-10-29 13-31-12.png (32kb) загружен 4 раз(а). |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.10.2024(UTC)
Сообщений: 2
Откуда: Нижневартовск
|
Спасибо за ответ Андрей. Наверное этого будет не достаточно. Есть xml файлик, со списком всех УЦ, о которых знает минкомсвязи. В нем полный список сертификатов и списков отзыва. Списков отзывва, т.е. урлов около 3000. Это на текущий момент. Но никто не мешает какому угодно УЦ завтра выпустить новый сертификат в котором будет прописан новый адрес УЦ. + В некоторых сертификатах есть еще доп поле, по которому проверяющий должен сходить принудительно за проверкой статуса сертификата на текущий момент времени, а не на то время, когда был опубликован список отзыва. tsl.zip (1,690kb) загружен 1 раз(а). tsl.zip (1,690kb) загружен 0 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,297 Сказал «Спасибо»: 549 раз
Поблагодарили: 2201 раз в 1717 постах
|
Автор: atomic1981  Спасибо за ответ Андрей. Наверное этого будет не достаточно. Есть xml файлик, со списком всех УЦ, о которых знает минкомсвязи. В нем полный список сертификатов и списков отзыва. Списков отзывва, т.е. урлов около 3000. Это на текущий момент. Но никто не мешает какому угодно УЦ завтра выпустить новый сертификат в котором будет прописан новый адрес УЦ. + В некоторых сертификатах есть еще доп поле, по которому проверяющий должен сходить принудительно за проверкой статуса сертификата на текущий момент времени, а не на то время, когда был опубликован список отзыва. tsl.zip (1,690kb) загружен 1 раз(а). tsl.zip (1,690kb) загружен 0 раз(а). Домены редко меняются, тем более обычно используется первый адрес из списка. Насчёт ocsp - не нужно фантазировать, он работает в РФ так же, по CRL + иногда может отставать (опубликован crl2, а в ответе от ocsp - указана работа по crl1), домен тот же... Зачем нам изучать URI, если основа - домен и IP... |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,297 Сказал «Спасибо»: 549 раз
Поблагодарили: 2201 раз в 1717 постах
|
про TSL - там всего нужно смотреть за 46-47 АУЦ, причем по актуальным ключам, а не всем (url). Это если про оптимизацию и добавления доступов. + всегда можно раз в сутки (более чем достаточно) проверять его и брать новые url. Snimok ehkrana ot 2024-10-30 15-48-11.png (97kb) загружен 4 раз(а). |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,297 Сказал «Спасибо»: 549 раз
Поблагодарили: 2201 раз в 1717 постах
|
1cbo.1c.ru ca.1c.ru ca.bspb.ru CA.kubankredit.ru ca.megafon.ru ca.roseltorg.ru ca.rzd.ru ca.sberbank-ast.ru ca.sertum.ru ca.sertum-pro.ru ca.tinkoff.ru ca1.beeline.ru ca2.beeline.ru ca2.megafon.ru cdp.alfabank.ru cdp.energo-centr.ru cdp.etpgpb.ru cdp.perekrestok.ru cdp.reso.ru cdp.skbkontur.ru cdp.uc-gpb.ru cdp.x5.ru cdp1.fciit.ru cdp1.itk23.ru cdp2.fciit.ru cdp2.itk23.ru cdp2.skbkontur.ru company.rt.ru cptspocsp1.magnit.ru cptspocsp2.magnit.ru crl.pkitrans.ru crl.roskazna.ru crl.taxcom.ru crl.tensor.ru crl.uc-em.ru crl1.ca.cbr.ru crl2.ca.cbr.ru crl2.tensor.ru crl3.tensor.ru fc.russianpost.ru gisca.ru iecp.ru modum.pro pki.fintender.ru pki.grfc.ru pki.mts.ru pki.sovcombank.ru pki.tax.gov.ru pki.vtb.ru pki01.sign.me q1.psbank.ru q2.psbank.ru reestr-pki.ru repository.gisca.ru rostelecom.ru service.e-signature.pro service.itmonitoring.pro service-itm.e-signature.pro service-sm.e-signature.pro sibintek.ru ssca.rosatom.ru tax4.tensor.ru tensor.ru uc.dsyst.com uc.grfc.ru uc.kadastr.ru uc.nalog.ru uc.rncb.ru uc1.iitrust.ru uc2.iitrust.ru vtbsd.ru www.atlas-kard.ruwww.cdn-tinkoff.ruwww.dp.keydisk.ruwww.dp-tender.keydisk.ruwww.dsyst.comwww.edinavigator.comwww.esphere.ruwww.modum.prowww.roseltorg.ruwww.sberbank.ruwww.sberbank-ast.ruwww.sibintek.ruwww.uc-em.ru
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 53
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Андрей *
Насчёт ocsp - не нужно фантазировать, он работает в РФ так же, по CRL + иногда может отставать (опубликован crl2, а в ответе от ocsp - указана работа по crl1), домен тот же... Зачем нам изучать URI, если основа - домен и IP...
Оффтопик. Если OCSP все равно работает по crl, то зачем при проверке подписи различными сборками криптоПро (python, php) либа все равно лезет в инет. И это несмотря на то, что актуальный crl предварительно загружен и в хранилище и в кеш?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,297 Сказал «Спасибо»: 549 раз
Поблагодарили: 2201 раз в 1717 постах
|
oscp - на ocsp server, а не локально.
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 53
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Андрей * oscp - на ocsp server, а не локально.
Я понимаю. Вы выше писали что ocsp внутри работает по тем же самым crl + еще и с отставанием. Тогда зачем в либах вшиты автоматические запросы в сторону ocsp? Еще и без возможности это отключить.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
