Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline karabarabas  
#1 Оставлено : 13 августа 2018 г. 11:34:44(UTC)
karabarabas

Статус: Участник

Группы: Участники
Зарегистрирован: 16.07.2013(UTC)
Сообщений: 26
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 3 постах
Здравствуйте, коллеги!
уточните, пожалуйста, позицию КриптоПро на наличие расширения "Основные ограничения"(2.5.29.19) и его состав в конечном сертификате - в частности в сертификате OCSP-ответчика при проверке подписи OCSP-ответа в КриптоПро JCP или CSP.

Наши партнеры раньше уже сталкивались с ситуацией, когда наличие данного расширения "Основные ограничения"(2.5.29.19) в сертификате OCSP-ответчика мешало проверить его подпись (в КриптоПро JCP, если я не ошибаюсь) - т.к. его наличие однозначно идентифицирует сертификат как сертификат ЦС. Однако, сверившись с RFC пришли к мнению что это поведение некорректное и проблема сотрудниками КриптоПро была решена.
Сейчас все повторяется и мы получили конкретное указание, что "В случае, если на вкладке Вкладка Состав->Основные ограничения->Ограничение на длину пути Ограничение на длину пути будет равно Отсутствует, необходимо перевыпустить сертификат с правильным расширением 2.5.29.19 или без данного расширения".

Прокомментируйте, пожалуйста, могут ли быть проблемы из-за такого состава сертификата ответчика?
Offline karabarabas  
#2 Оставлено : 14 августа 2018 г. 15:09:57(UTC)
karabarabas

Статус: Участник

Группы: Участники
Зарегистрирован: 16.07.2013(UTC)
Сообщений: 26
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 3 постах
Вопрос по составу сертификата ответчика снят - протестировали - все успешно проверяется.

Однако замечу, что в сертифицированных ФСБ комплексах КриптоПро УЦ 2.0 и Vipnet УЦ 4.6 противоположное мнение об этом расширении - если в первом однозначно в пользовательские оно не добавляется, то в последнем наоборот - добавляется вне зависимости от наличия в запросе. В данном противоречии RFC5280 скорее на стороне последних :)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.