Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

11 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline Максим Коллегин  
#11 Оставлено : 15 августа 2008 г. 19:30:08(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
CSP 3.6.5009
Дистрибутивы обновлены.
TLS fixes:
-Ликвидирована утечка памяти ядра на IIS7.
-Включена проверка клиентских сертификатов на отзыв в IIS7.
-Исправлен алгоритм формирования списка доверенных УЦ для клиентской аутентификации.

Отредактировано пользователем 27 ноября 2008 г. 17:31:33(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Петр  
#12 Оставлено : 17 августа 2008 г. 8:04:28(UTC)
Петр

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.08.2008(UTC)
Сообщений: 4

Не подскажите, когда будет официальная сертификация 3.6? (Т.е. когда начнется переход на Висту).
Offline Vladimir2008  
#13 Оставлено : 29 августа 2008 г. 15:59:43(UTC)
Vladimir2008

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.06.2008(UTC)
Сообщений: 41
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
maxdm написал:
CSP 3.6.5009
Дистрибутивы обновлены.
TLS fixes:
-Ликвидирована утечка памяти ядра на IIS7.
-Включена проверка клиентских сертификатов на отзыв в IIS7.
-Исправлен алгоритм формирования списка доверенных УЦ для клиентской аутентификации.

А что насчет проверки клиентских сертификатов на отзыв в IIS6? При CSP 3.6.4987 не проверяется !!!
Offline Максим Коллегин  
#14 Оставлено : 29 августа 2008 г. 17:20:22(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Vladimir2008 написал:

А что насчет проверки клиентских сертификатов на отзыв в IIS6? При CSP 3.6.4987 не проверяется !!!

В IIS6 за проверку сертификатов отвечает сам IIS.
Знания в базе знаний, поддержка в техподдержке
Offline Vladimir2008  
#15 Оставлено : 29 августа 2008 г. 18:59:26(UTC)
Vladimir2008

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.06.2008(UTC)
Сообщений: 41
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Когда был CSP 3.0 SP3 - сертификат на отзыв проверялся.
Поставил CSP 3.6.4987 - проверки нет (при "устаревшем" CRL все равно пропускает на веб-страницу (а раньше не пропускало)).
Кроме переустановки CSP никаких других изменений на компе не производил.
Offline Василий Дементьев  
#16 Оставлено : 24 сентября 2008 г. 22:40:59(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО &amp;amp;quot;КРИПТО-ПРО&amp;amp;quot;

Поблагодарили: 5 раз в 4 постах
По поводу проверки сертификатов клиентов на отзыв.
Описание стенда:
Win2003 SP2, все обновления от MS (в т.ч. IE7).
IIS поднят по умолчанию, есть страница с требованием сертификата клиента
Клиент - IE7 (с другого компьютера).
CRL на сервере нет, адреса точки распространения crl в сертификате клиента нет.

1а) На сервере CSP 3.0.3300.3 КС2 + КриптоПро Revocation Provider, связь с OCSP-сервером есть
Результат - с действительным сертификатом пускает, с отозванным - нет.

1б) то же, но связи с OCSP-сервером нет
Результат - пускает всегда.
Хотя в отладчике видно, что наш RP после неудачи связи с OCSP-сервером передаёт управление Microsoft RP (так и было задумано), а последний выдаёт ошибку 0x80092012 ("Функция отзыва не смогла произвести проверку отзыва для сертификата")
Но IIS это игнорирует.

2a) На сервере CSP 3.6.5009 КС2 (с включенным КриптоПро Revocation Provider), связь с OCSP-сервером есть
Результат - с действительным сертификатом пускает, с отозванным - нет.

2б) то же, но связи с OCSP-сервером нет
Результат - полностью аналогично 1б.

Выводы.
1. Поведение IIS в части реакции на сообщение MS RP о невозможности проверить статус сертификата не зависит от CSP.
2. Если статус сертиифката определён и этот статус "недействителен" - то независимо от CSP IIS не пускает такого клиента.


Дополнительная информация.
Если в сертификате клиента имеется cdp (точка распросранения crl), то поведение IIS меняется.
А именно:
если адрес, указанный в cdp недоступен и crl локально на сервере не установлен, то IIS не пускает по такому клиентскому сертификату.
Опять же, это поведение не зависит от версии CSP - проверил и на 3.0, и на 3.6 (тех же сборок, что указаны выше).

Отредактировано пользователем 26 сентября 2008 г. 17:04:33(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#17 Оставлено : 27 ноября 2008 г. 17:31:56(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
CSP 3.6.5141
Дистрибутивы обновлены.
ChangeLog:
- TLS fixes
- доработки по GUI
- улучшена диагностика нештатных ситуаций и повышена стабильность
- Winlogon fixes
- поддержка propagate для карточек с несколькими контейнерами
- улучшена совместимость с Office 2007

Known Issues:
Обнаружена несовместимость продукта с SPTD до версии 1.29 (входит в состав Daemon Tools и возможно еще некоторых продуктов)(http://www.duplexsecure.com/en/downloads). C последней версией (1.56) проблем не выявлено.

Отредактировано пользователем 28 ноября 2008 г. 16:53:46(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#18 Оставлено : 28 ноября 2008 г. 19:24:10(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Подумаем ;)
Для получения временной лицензии для разработчика - пишите на support или info
Знания в базе знаний, поддержка в техподдержке
Offline Василий Дементьев  
#19 Оставлено : 5 декабря 2008 г. 20:11:23(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО &amp;amp;quot;КРИПТО-ПРО&amp;amp;quot;

Поблагодарили: 5 раз в 4 постах
CSP 3.6.5152
Дистрибутивы обновлены.
Изменения:
- исправлена ошибка при подписи в MS Office 2003
- на x64 в режиме работы в службе хранения ключей при доступе к криптографическим функциям из 32-битных процессов исправлена работа окошек CSP
- исправлена обнаруженная несовместимость с Winlogon при использовании алгоритмов RSA

Отредактировано пользователем 5 декабря 2008 г. 20:15:58(UTC)  | Причина: Не указана

Offline Alex256  
#20 Оставлено : 6 февраля 2009 г. 14:07:24(UTC)
Alex256

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.02.2009(UTC)
Сообщений: 0
Откуда: Москва

А можно сделать сборку с убранной проверкой ОС? Мне необходимо установить Криптопро под Windows7 64 bit, дистрибутив ругается на неподдерживаемую ос (
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
11 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.