Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

13 Страницы«<111213
Опции
К последнему сообщению К первому непрочитанному
Online Александр Лавник  
#121 Оставлено : 10 июля 2019 г. 10:54:32(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: SunVictory Перейти к цитате
Автор: kuzovm Перейти к цитате

Полагаю, что запрос на сертификат все- таки был создан не сегодня. а обработан сегодня. По идее на УЦ должна быть настройка которая синхронизирует эти даты.
Запрос сформирован сегодня в моем присутствии.


Здравствуйте.

А когда был создан соответствующий ключевой контейнер?
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#122 Оставлено : 10 июля 2019 г. 10:55:46(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Принципиально - причина в том что сроки задают разные программы, разными способами и между ними нет обмена данными о сроках.

1) Срок действия закрытого ключа в контейнере задается криптопровайдером при создании контейнера и как правило это никак не отражается в запросе на сертификат. Время задается в днях, то есть без разницы что сегодня 10-е, а истечет 8-го, между этими датами определенное фиксированное количество дней, без учета сколько дней в каждом из следующих 15 месяцев. Июль и август по 31 дню, кроме того следующий год високосный с лишним днем в феврале, поэтому кажется будто дата съехала раньше. И это не только в КриптоПро, так же отсчитывает сроки, например, openssl.

2) Срок действия сертификата задается в программном обеспечении удостоверяющего центра и УЦ вообще не в курсе когда был создан контейнер, потому что этого нет в запросе на сертификат. Если запрос полежал где-то пару недель УЦ об этом не узнает. Если например говорить о ФК, то с вводом ФЗС, данную задержку ликвидировали, запрос создается прямо с сайта ФЗС и сразу поступает в УЦ. Аналогично у Контура и тестовых УЦ. Максимум УЦ может зафиксировать момент когда принял запрос и добавить в сертификат еще один срок действия закрытого ключа. От этого момента будет отсчитано 15 месяцев и несколько часов. Может быть выбрано такое же число через 15 месяцев без учета сколько именно дней между 10/07/2019 и 10/10/2020. Некоторые УЦ потом корректируют срок действия закрытого ключа в сертификате по моменту выпуска сертификата, некоторые нет.

3) Срок же действия самого сертификата отсчитывается от момента выпуска сертификата и это тоже 15 месяцев и несколько часов. Если УЦ не тестовый и выполняет между подачей запроса и выпуском сертификата различные межведомственные запросы, то есть некий промежуток времени пока на запросы придут ответы. У УЦ ФК из-за этого остается лаг в несколько дней между поступлением запроса и выпуском сертификата. У Контура лага как такового нет, потому что все проверки запрашиваются до момента генерации контейнера и к генерации допускают только если все проверки прошли успешно. В итоге, интервал зависит скорее от алгоритма организации работы УЦ, чем от КриптоПро.

Отредактировано пользователем 10 июля 2019 г. 11:01:07(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
SunVictory оставлено 10.07.2019(UTC)
Offline SunVictory  
#123 Оставлено : 10 июля 2019 г. 11:15:07(UTC)
SunVictory

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.07.2019(UTC)
Сообщений: 4
Российская Федерация
Откуда: Йошкар-Ола

Сказал(а) «Спасибо»: 1 раз
Автор: Александр Лавник Перейти к цитате

Здравствуйте.
А когда был создан соответствующий ключевой контейнер?
Сегодня около 9ч.


Offline SunVictory  
#124 Оставлено : 10 июля 2019 г. 11:16:05(UTC)
SunVictory

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.07.2019(UTC)
Сообщений: 4
Российская Федерация
Откуда: Йошкар-Ола

Сказал(а) «Спасибо»: 1 раз
Автор: two_oceans Перейти к цитате
Принципиально - причина в том что сроки задают разные программы, разными способами и между ними нет обмена данными о сроках.

1) Срок действия закрытого ключа в контейнере задается криптопровайдером при создании контейнера и как правило это никак не отражается в запросе на сертификат. Время задается в днях, то есть без разницы что сегодня 10-е, а истечет 8-го, между этими датами определенное фиксированное количество дней, без учета сколько дней в каждом из следующих 15 месяцев. Июль и август по 31 дню, кроме того следующий год високосный с лишним днем в феврале, поэтому кажется будто дата съехала раньше. И это не только в КриптоПро, так же отсчитывает сроки, например, openssl.

2) Срок действия сертификата задается в программном обеспечении удостоверяющего центра и УЦ вообще не в курсе когда был создан контейнер, потому что этого нет в запросе на сертификат. Если запрос полежал где-то пару недель УЦ об этом не узнает. Если например говорить о ФК, то с вводом ФЗС, данную задержку ликвидировали, запрос создается прямо с сайта ФЗС и сразу поступает в УЦ. Аналогично у Контура и тестовых УЦ. Максимум УЦ может зафиксировать момент когда принял запрос и добавить в сертификат еще один срок действия закрытого ключа. От этого момента будет отсчитано 15 месяцев и несколько часов. Может быть выбрано такое же число через 15 месяцев без учета сколько именно дней между 10/07/2019 и 10/10/2020. Некоторые УЦ потом корректируют срок действия закрытого ключа в сертификате по моменту выпуска сертификата, некоторые нет.

3) Срок же действия самого сертификата отсчитывается от момента выпуска сертификата и это тоже 15 месяцев и несколько часов. Если УЦ не тестовый и выполняет между подачей запроса и выпуском сертификата различные межведомственные запросы, то есть некий промежуток времени пока на запросы придут ответы. У УЦ ФК из-за этого остается лаг в несколько дней между поступлением запроса и выпуском сертификата. У Контура лага как такового нет, потому что все проверки запрашиваются до момента генерации контейнера и к генерации допускают только если все проверки прошли успешно. В итоге, интервал зависит скорее от алгоритма организации работы УЦ, чем от КриптоПро.

Ясно, спасибо за столь развернутый ответ!
Offline aЯ73M  
#125 Оставлено : 11 августа 2019 г. 13:39:54(UTC)
aЯ73M

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.06.2019(UTC)
Сообщений: 3
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: kuzovm Перейти к цитате
Автор: aЯ73M Перейти к цитате
Автор: kuzovm Перейти к цитате
Автор: aЯ73M Перейти к цитате
Всем привет.

Уважаемые коллеги, не смог нигде найти ответ на следующий вопрос.

Почему при имеющейся возможности выпускать сертификаты со сроком действия закрытого ключа 3 года (например исходя из ЖТЯИ.00096-01 30 01 на ПАКМ КриптоПро HSM срок действия ключей ЭЦП, являющихся не экспортируемыми, составляет не более 3-х лет), никто на рынке не выдает квалифицированные сертификаты с таким сроком действия, а только год и 15 месяцев??

Спасибо!


Вы можете выпустить КЭП на ПАК КриптоПро HSM на 3 года. Но ваши клиенты не смогут воспользоваться этой КЭП по причине того, что закрытый ключ будет находиться на ПАК HSM, скопировать его оттуда нельзя. А организовать доступ к такому ключу - понадобится DSS и инфраструктура "облачной" КЭП.


Спасибо за ответ! Уточню:
- То есть при условии использования DSS - можно выпускать КЭП на 3 года?
- Есть ли такие предложения на рынке пускай и с доп. условиями?
или
- Есть ли практика корпоративного использования 3 летних КЭП?


требования о сроке действия закрытого ключа регламентируются средствами СКЗИ которые его формируют. Для HSM срок действия ЗК - 3 года (а может и больше, не помню). HSM сертифицировано на работу с DSS, поэтому полагаю легитимно использовать такую связку для ключей на 3 года.
О каком рынке вы речь ведете? Корпоративный? - уверен есть. Розница обычная - нет, т.к. там нет повсеместного применения DSS


Вел речь о рынке предоставления услуги квалифицированной электронной подписи как сервиса, а так же о решениях для построения собственной системы где можно делать КЭП, в том числе с использованием DSS (например сама КриптоПро всё это предлагает).
Спасибо Вам за ответ, но уверенности мало, нужны примеры и пруфы... К слову не видел ни одного корпоративного регламента с КЭП на 3 года.
Offline informnet  
#126 Оставлено : 4 марта 2023 г. 10:54:17(UTC)
informnet

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.01.2023(UTC)
Сообщений: 30

Сказал(а) «Спасибо»: 2 раз
Чем определяется срок действия сертификата ключа ЭП (сертификата открытого ключа, сертификата проверки подписи, СКП)?
Почему коммерческие УЦ не выдают сертификаты проверки подписи на срок более 15 месяцев? Исключение – специализированные УЦ, типа Центробанка (12 лет):
Цитата:
Обращаем внимание, что удостоверяющий центр Банка России создает и выдает квалифицированные сертификаты, срок действия которых превышает 144 месяца (12 лет).
https://www.cbr.ru/certification_center_br/
По приказу от 27.12.2011 № 796 ФСБ – max 15 лет:
Цитата:
«36. Срок действия ключа проверки ЭП не должен превышать срок действия ключа ЭП более чем на 15 лет»

В формулярах КриптоПро указано 15 лет:
Цитата:
должны соблюдаться следующие сроки использования пользовательских закрытых ключей и сертификатов:
максимальный срок действия закрытого ключа ЭП (ключа ЭП) - 1 год 3 месяца;
максимальный срок действия открытого ключа ЭП (ключа проверки ЭП) - 15 лет;
максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца.

Это нежелание самого УЦ (например, Контура) или есть другие факторы? Полагаю, что срок действия сертификата ФСБ, например, на CSP 5 (менее двух лет), роли не влияет.
Есть коммерческие УЦ, которые могут продать сертификат (КЭП) на 12-15 лет?
Полагаю, что технически забота УЦ лишь в том, чтобы вести статус сертификата (СОС) после завершения действия закрытого ключа еще 15 лет.

Отредактировано пользователем 4 марта 2023 г. 10:55:50(UTC)  | Причина: Не указана

Offline basid  
#127 Оставлено : 5 марта 2023 г. 19:47:09(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Прочитать всю тему вообще и сообщение №27 - в частности?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
13 Страницы«<111213
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.