Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline auglov  
#11 Оставлено : 13 ноября 2017 г. 15:49:06(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
Вот, читаем.
Цитата:

4.4.2. ES with Complete Validation Data References (CAdES-C)

Electronic Signature with Complete validation data references
(CAdES-C), in accordance with the present document, adds to the
CAdES-T the complete-certificate-references and
complete-revocation-references attributes, as defined by the present
document. The complete-certificate-references attribute contains
references to all the certificates present in the certification path
used for verifying the signature. The complete-revocation-references
attribute contains references to the CRLs and/or OCSPs responses used
for verifying the signature.



Все-таки CRLs and/or OCSPs, но это пока еще CAdES-C.

Дальше:

Цитата:

4.4.3.1. EXtended Long Electronic Signature (CAdES-X Long)

Extended Long format (CAdES-X Long), in accordance with the present
document, adds the certificate-values and revocation-values
attributes to the CAdES-C format. The first one contains the whole
certificate path required for verifying the signature; the second one
contains the CRLs and/OCSP responses required for the validation of
the signature. This provides a known repository of certificate and
revocation information required to validate a CAdES-C and prevents
such information from getting lost. Sections 6.3.3 and 6.3.4 give
specification details. Annex B.1.1 gives details on the production
of the format. Annexes C4.1 to C.4.2 provide the rationale.


Написано CRLs and/OCSP responses - наличие "/" смущает, возможно, имелось ввиду то же самое and/or, что в разделе выше про CAdES-C, а возможно и нет. Не понятно. Смотрим дальше:

Цитата:

6.3.4. revocation-values Attribute Definition
.................
It holds the values of CRLs and OCSP referenced in the complete-revocation-references attribute.


Как-будто, действительно, должно быть and. Однако смущает наличие OPTIONAL в последующем определении:

Цитата:

RevocationValues ::= SEQUENCE {
crlVals [0] SEQUENCE OF CertificateList OPTIONAL,
ocspVals [1] SEQUENCE OF BasicOCSPResponse OPTIONAL,
otherRevVals [2] OtherRevVals OPTIONAL }


То есть, поле ocspVals, якобы, может и отсутствовать. Понятнее не стало. Откуда следует, что там, действительно, должна быть непусты crlVals и ocspVals? Что я пропустил?

Дальше еще есть "This attribute may include the values of revocation data including CRLs and OCSPs" - опять же may, а не must.






Второй вопрос, можно ли на основании

Цитата:

4.1. Major Parties
............
The Trusted Service Providers (TSPs) are one or more entities that
help to build trust relationships between the signer and verifier.
They support the signer and verifier by means of supporting services
including: user certificates, cross-certificates, time-stamp tokens,
CRLs, ARLs, and OCSP responses.


предъявить теперь какие-то претензии удостоверяющему центру, якобы, они обязаны обеспечить все из перечисленных сервисов? Действительно ли УЦ это обязан делать?
Offline auglov  
#12 Оставлено : 13 ноября 2017 г. 15:51:27(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
Автор: alexlav Перейти к цитате

Таким образом, если УЦ не развернул OCSP сервер, то создать CAdES Xlong1 не получится.


И что теперь делать? Смириться с тем, что вот так бывает и не все подписи можно улучшить до Xlong1, с целью последующего длительного хранения?

Offline Александр Лавник  
#13 Оставлено : 13 ноября 2017 г. 15:58:46(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Цитата:

предъявить теперь какие-то претензии удостоверяющему центру, якобы, они обязаны обеспечить все из перечисленных сервисов? Действительно ли УЦ это обязан делать?


Претензии Вы можете предъявить, но, логично предположить, что удостоверяющий центр обязан только то, что написано в договоре с клиентом.

Цитата:

И что теперь делать? Смириться с тем, что вот так бывает и не все подписи можно улучшить до Xlong1, с целью последующего длительного хранения?


Да. Получается, что так.
Техническую поддержку оказываем тут
Наша база знаний
Offline auglov  
#14 Оставлено : 13 ноября 2017 г. 16:20:42(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
Автор: alexlav Перейти к цитате
Цитата:

предъявить теперь какие-то претензии удостоверяющему центру, якобы, они обязаны обеспечить все из перечисленных сервисов? Действительно ли УЦ это обязан делать?


Претензии Вы можете предъявить, но, логично предположить, что удостоверяющий центр обязан только то, что написано в договоре с клиентом.

Цитата:

И что теперь делать? Смириться с тем, что вот так бывает и не все подписи можно улучшить до Xlong1, с целью последующего длительного хранения?


Да. Получается, что так.


Досадно. Не подскажете, в какие российские документы можно заглянуть, которые регламентируют техническую сторону деятельности квалифицированных УЦ, чтобы получить ответ на вопрос, "УЦ обязан предоставлять CRL + OCSP" или все-таки "УЦ имеет возможность предоставлять CRL + OCSP".

Offline auglov  
#15 Оставлено : 13 ноября 2017 г. 16:25:23(UTC)
auglov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76

Сказал(а) «Спасибо»: 3 раз
И, все-таки, по первому вопросу, почему в 6.3.4. из RFC сильнее должно быть первое предложение с and, а не последующее c OPTIONAL? Или я как-то не так понимаю смысл OPTIONAL в этом месте?
Offline Александр Лавник  
#16 Оставлено : 13 ноября 2017 г. 16:34:42(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: auglov Перейти к цитате
Автор: alexlav Перейти к цитате
Цитата:

предъявить теперь какие-то претензии удостоверяющему центру, якобы, они обязаны обеспечить все из перечисленных сервисов? Действительно ли УЦ это обязан делать?


Претензии Вы можете предъявить, но, логично предположить, что удостоверяющий центр обязан только то, что написано в договоре с клиентом.

Цитата:

И что теперь делать? Смириться с тем, что вот так бывает и не все подписи можно улучшить до Xlong1, с целью последующего длительного хранения?


Да. Получается, что так.


Досадно. Не подскажете, в какие российские документы можно заглянуть, которые регламентируют техническую сторону деятельности квалифицированных УЦ, чтобы получить ответ на вопрос, "УЦ обязан предоставлять CRL + OCSP" или все-таки "УЦ имеет возможность предоставлять CRL + OCSP".



Основной правовой акт - это 63-ФЗ (+ 445-ФЗ с изменениями в 63-ФЗ). Так же необходимо выполнять требования приказа № 795 ФСБ к форме квалифицированного сертификата.

Насколько мне известно, нормативного документа, который бы обязывал УЦ предоставлять клиентам OCSP-ответы, нет.

Более точно Вы можете попробовать узнать написав на info@cryptopro.ru или обратившись непосредственно в Минкомсвязь.
Техническую поддержку оказываем тут
Наша база знаний
Offline Варенуха  
#17 Оставлено : 29 января 2018 г. 14:16:49(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Здравствуйте!

Я правильно понимая, что изменить ссылку на OCSP сервер, если она занесена в расширение AIA сертификата нельзя?

Правка групповых политик, как указано здесьhttps://support.cryptopr...o--ssylku-n-ocsp-sluzhbu не поможет?
Offline Александр Лавник  
#18 Оставлено : 29 января 2018 г. 18:25:17(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: Варенуха Перейти к цитате
Здравствуйте!

Я правильно понимая, что изменить ссылку на OCSP сервер, если она занесена в расширение AIA сертификата нельзя?

Правка групповых политик, как указано здесьhttps://support.cryptopr...o--ssylku-n-ocsp-sluzhbu не поможет?


Добрый день.

Ссылку на OCSP сервер в сертификате, естественно, изменить нельзя (как и ничто в сертификате, так как сертификат подписан электронной подписью удостоверяющего центра, выдавшего сертификат).

Не совсем понятна Ваша конфигурация.

Но, вкратце, ситуация следующая:

1) Если в сертификате есть ссылка на действующий OCSP сервер, но нужно использовать другой OCSP сервер, то

- нужный OCSP сервер указываете в политике "Службы OCSP: адрес службы OCSP по умолчанию",

- OCSP сервер из сертификата указываете в политике "Службы OCSP: запрещенные службы OCSP".

2) Если в сертификате есть ссылка на недействующий OCSP сервер или ссылки на OCSP сервер вовсе нет, то

- нужный OCSP сервер указываете в политике "Службы OCSP: адрес службы OCSP по умолчанию".

Приоритет OCSP серверов:

1) из сертификата,

2) из политики.

Отредактировано пользователем 29 января 2018 г. 18:27:26(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
Варенуха оставлено 31.01.2018(UTC)
Offline Варенуха  
#19 Оставлено : 31 января 2018 г. 11:40:27(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Автор: alexlav Перейти к цитате
1) Если в сертификате есть ссылка на действующий OCSP сервер, но нужно использовать другой OCSP сервер, то

- нужный OCSP сервер указываете в политике "Службы OCSP: адрес службы OCSP по умолчанию",

- OCSP сервер из сертификата указываете в политике "Службы OCSP: запрещенные службы OCSP".



Спасибо, интересовал именно первый вариант.
Offline Александр Лавник  
#20 Оставлено : 31 января 2018 г. 13:37:16(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: Варенуха Перейти к цитате
Автор: alexlav Перейти к цитате
1) Если в сертификате есть ссылка на действующий OCSP сервер, но нужно использовать другой OCSP сервер, то

- нужный OCSP сервер указываете в политике "Службы OCSP: адрес службы OCSP по умолчанию",

- OCSP сервер из сертификата указываете в политике "Службы OCSP: запрещенные службы OCSP".



Спасибо, интересовал именно первый вариант.


Небольшое замечание:

Указанные политики актуальны для cades из состава Служб УЦ.

Для JCP эти политики неприменимы.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.