Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Вопрос Как выпустить сертификат с полем: "Ограничения исп-я квал. сертификата"? - УЦ 2.0 шаблоны сертификатов ограничение использования
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline alex51482  
#1 Оставлено : 13 апреля 2018 г. 17:25:19(UTC)
alex51482

Статус: Участник

Группы: Участники
Зарегистрирован: 17.11.2017(UTC)
Сообщений: 14
Согласно пп. 7 п. 2 ст. 17 63-фз квалифицированный сертификат должен содержать информацию об ограничениях использования квалифицированного сертификата.
И в приказе ФСБ (№ 795) тоже указано, что должен.
Возникает вопрос, как это реализовать на УЦ 2.0, там ведь набор шаблонов сертификатов, который не предусматривает такое поле.
Еще в приказе ФСБ (п. 23) указано, что для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата, для которой не предусмотрены соответствующие стандартные атрибуты имени, в том числе информации о правомочиях владельца квалифицированного сертификата и сроке их действия, рекомендуется использовать дополнение subjectAlternativeName.
Я так понимаю, что кроме как в subjectAlternativeName некуда пихать эту информацию об ограничениях.
Но почему при попытке создать новый шаблон, предлагается выбрать из уже сформированных? А в уже сформированных нет subjectAlternativeName.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Станислав Королёв  
#2 Оставлено : 16 апреля 2018 г. 12:33:37(UTC)
Станислав Королёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2014(UTC)
Сообщений: 219
Российская Федерация

Поблагодарили: 27 раз в 27 постах
Относительно:
«Согласно пп. 7 п. 2 ст. 17 63-фз квалифицированный сертификат должен содержать информацию об ограничениях использования квалифицированного сертификата.
И в приказе ФСБ (№ 795) тоже указано, что должен.
Возникает вопрос, как это реализовать на УЦ 2.0, там ведь набор шаблонов сертификатов, который не предусматривает такое поле.»

1. Не должен, а может.
2. Приказ ФСБ «О форме квалифицированного сертификата» не устанавливает, куда и в каком виде сведения об ограничениях нужно класть. Так что это сейчас - не нормативно не регламентировано.
3. Часто кладут в расширение Extended Key Usage, и кладут ОИДы. Но такие ограничения будут работать в рамках какой-то конкретной информационной системы, участники которой о таких ограничениях знают.

Относительно:
«Еще в приказе ФСБ (п. 23) указано, что для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата, для которой не предусмотрены соответствующие стандартные атрибуты имени, в том числе информации о правомочиях владельца квалифицированного сертификата и сроке их действия, рекомендуется использовать дополнение subjectAlternativeName.
Я так понимаю, что кроме как в subjectAlternativeName некуда пихать эту информацию об ограничениях.»

В SubjAltName сведения об ограничениях применения сертификата класть не нужно, поскольку ограничения применения - это не информация о владельце сертификата.
Вверх
Offline alex51482  
#3 Оставлено : 4 мая 2018 г. 17:46:21(UTC)
alex51482

Статус: Участник

Группы: Участники
Зарегистрирован: 17.11.2017(UTC)
Сообщений: 14
Автор: skorolev Перейти к цитате
Относительно:
3. Часто кладут в расширение Extended Key Usage, и кладут ОИДы. Но такие ограничения будут работать в рамках какой-то конкретной информационной системы, участники которой о таких ограничениях знают.

В смысле не будут работать? Технически что-ли ограничения не будет? Это понятно. Юридически они работать будут. Никого не волнует, знал или не знал. Все уже знают о том, что такие ограничения возможны согласно 63-фз, закон опубликован, все прочитали, кто не прочитал - его проблемы. Так вот, если документ подписан КЭП, а лицо, проверяя подпись в документе не обратило внимание на ограничения, указанные в сертификате, подпись недействительна в силу 63-фз, это есть проблемы проверяющего.

Автор: skorolev Перейти к цитате
Относительно:
«Еще в приказе ФСБ (п. 23) указано, что для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата, для которой не предусмотрены соответствующие стандартные атрибуты имени, в том числе информации о правомочиях владельца квалифицированного сертификата и сроке их действия, рекомендуется использовать дополнение subjectAlternativeName.
Я так понимаю, что кроме как в subjectAlternativeName некуда пихать эту информацию об ограничениях.»

В SubjAltName сведения об ограничениях применения сертификата класть не нужно, поскольку ограничения применения - это не информация о владельце сертификата.

Конечно это не информация о владельце сертификата, я по-другому написал, я написал: "информации о правомочиях владельца квалифицированного сертификата".
А информация о правомочиях владельца квалифицированного сертификата - это и есть ограничения использования сертификата.
Допустим КЭП на юр. лицо. Представитель юр. лица действует на основании доверенности. В доверенности указаны правомочия представителя.
Если в доверенности не указаны определенные права представителя, то его у них нет. Значит правомочия представителя ОГРАНИЧЕНЫ доверенностью.
Очевидно, что представитель не вправе подписывать с помощью КЭП документы за пределами своих полномочий, а значит ограничения использования сертификата - это и есть правомочия представителя.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET