Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Срок действия сертификата для SSL
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
Как правило, для защиты web-трафика используются те же ключи, что и для подписания документов. Для этого в назначении ключа указывается, что это "Ключ обмена" и "Ключ подписи". Но вот как быть с реализацией требования документации на КриптоПРО CSP о том, что срок действия открытого ключа подписи не должне превышать 15 лет, а открытого ключа обмена - 1 год и 3 месяца? Получается, что для совместных ключей нельзя делать срок действия больше чем для ключа обмена? |
С уважением, Сергей |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
А разве в документах на CSP написано "максимальный срок действия закрытого ключа ЭП (кроме ключей для SSL/TLS соединений) - 1 год 3 месяца;"? :) Да, если всё делать в соответствие с документацией то срок действия сертификатов и ГОСТ'овых ключей, участвующих в SSL/TLS соединениях, не должен превышать 1 год и 3 месяца. Если используется RSA то тут надо руководствоваться документацией уже на CSP от Microsoft, возможно там какие-то другие требования.
А вот если требования, отраженные в документации Крипто-ПРО, не будут выполняться то собственно Крипто-ПРО формально слагает с себя ответственность за защиту данных пользователя. |
С уважением, Юрий Строжевский |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
Автор: Юрий А разве в документах на CSP написано "максимальный срок действия закрытого ключа ЭП (кроме ключей для SSL/TLS соединений) - 1 год 3 месяца;"? :) Да, если всё делать в соответствие с документацией то срок действия сертификатов и ГОСТ'овых ключей, участвующих в SSL/TLS соединениях, не должен превышать 1 год и 3 месяца. Если используется RSA то тут надо руководствоваться документацией уже на CSP от Microsoft, возможно там какие-то другие требования.
А вот если требования, отраженные в документации Крипто-ПРО, не будут выполняться то собственно Крипто-ПРО формально слагает с себя ответственность за защиту данных пользователя. В документации написано, что "максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца". А поскольку для SSL/TLS могут использоваться только ключи обмена, соответственно и возникает проблема определения срока действия сертификата ключа, предназаначенного и для подписи, и для обмена (в т.ч. и SSL/TLS). Отредактировано пользователем 10 июля 2013 г. 14:04:06(UTC)
| Причина: Не указана |
С уважением, Сергей |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: ssm_2005 В документации написано, что "максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца". А поскольку для SSL/TLS могут использоваться только ключи обмена, сответственно и возникает проблема определения срока действия сертификата ключа, предназаначенного и для подписи, и для обмена (в т.ч. и SSL/TLS). Несколько раз перечитал ваш ответ. В соседней теме я уже привел полный перечень типов ключей, к которым предъявляется требование со стороны Крипто-ПРО. Этот перечень состоит из 3-х (трёх) пунктов: Цитата:максимальный срок действия закрытого ключа ЭП (ключа ЭП) - 1 год 3 месяца; максимальный срок действия открытого ключа ЭП (ключа проверки ЭП) - 15 лет; максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца. Вы же спрашиваете про "сертификат ключа, предназаначенного и для подписи, и для обмена". Для наглядности моего ответа я просто уберу "лишний" пункт, а также напомню, что в одном контейнере могут быть только два типа ассиметричных ключей: AT_SIGNATURE (ключ ЭП) и AT_EXCHANGE (ключ обмена) Цитата:максимальный срок действия закрытого ключа ЭП (ключа ЭП) - 1 год 3 месяца; максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца. |
С уважением, Юрий Строжевский |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
Уточняю свой вопрос. Если максимальный срок действия открытого ключа обмена 1 год 3 месяца, стало быть и срок соответствующего сертификата не может быть больше 1 года 3 месяцев. А если мы изготавливаем ключ, предназначенный и для подписи, и для обмена, значит срок действия соответствующего сертификата не может быть больше 1 года 3 месяцев. Отсюда вытекает, что сертификат ключа двойного назначения не может действовать больше 1 года 3 месяцев. Правильно? |
С уважением, Сергей |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: ssm_2005 Уточняю свой вопрос. Если максимальный срок действия открытого ключа обмена 1 год 3 месяца, стало быть и срок соответствующего сертификата не может быть больше 1 года 3 месяцев. А если мы изготавливаем ключ, предназначенный и для подписи, и для обмена, значит срок действия соответствующего сертификата не может быть больше 1 года 3 месяцев. Отсюда вытекает, что сертификат ключа двойного назначения не может действовать больше 1 года 3 месяцев. Правильно? Уточню: сертификат любого назначения, в котором используются ключи, сгенерированные с помощью Крипто-ПРО CSP, не может действовать дольше одного года и трёх месяцев. P.S.: То есть формировать подписи с помощью него можно только 1 год и 3 месяца, а проверять подписи можно и дальше. Отредактировано пользователем 10 июля 2013 г. 14:39:57(UTC)
| Причина: Не указана |
С уважением, Юрий Строжевский |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
Автор: Юрий Уточню: сертификат любого назначения, в котором используются ключи, сгенерированные с помощью Крипто-ПРО CSP, не может действовать дольше одного года и трёх месяцев. Честно говоря, неожиданная новость. Во всех системах, которые мне приходилось эксплуатировать, срок действия сертификата намного превышал срок действия ключа подписи. Да и ФСБ это предусматривает в своих требованиях. Смотрите пункт 36 требований к СЭП. И УЦ КриптоПРО такую возможность предоставляет. Какой хотите, такой и ставьте срок действия сертификата. Главное для сертификата ключа подписи - не более 15 лет. Отредактировано пользователем 10 июля 2013 г. 15:02:22(UTC)
| Причина: Не указана |
С уважением, Сергей |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Вы почитайте ещё раз внимательно тему на которую вам уже давали ссылку ранее: http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=13876#post13876. Дабы не было "...а там ведь про сертификат УЦ, а я тут про клиентский разговор веду..." я обобщу: сертификат может быть выдан хоть на 15 лет, но по истечению одного года и трёх месяцев он может быть использован только для функции проверки подписи (да и то с ограничениями по срокам). Ещё более популярно: для формирования полноценной подписи используется закрытый ключ, срок жизни которого 1 год и 3 месяца. А вот для проверок используется публичный ключ, срок жизни которого 15 лет. Отредактировано пользователем 10 июля 2013 г. 15:22:57(UTC)
| Причина: Не указана |
С уважением, Юрий Строжевский |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
Ну так автор и этого поста тоже пишет, что срок действия сертификата может быть значительно больше, чем срок действия ключа. Я утверждаю то же самое. Мой-то вопрос о том, как определить срок действия сертификата ключа двойного назначения (подписи и обмена), при условии, что срок действия ОТКРЫТОГО ключа ОБМЕНА не может быть более 1 года 3 месяцев, а срок действия ОТКРЫТОГО ключа ПОДПИСИ может быть 15 лет. Правильно ли, что срок действия сертификата ключа, который предназаначен для подписи и обмена, не может быть больше 1 года 3 месяцев? Отредактировано пользователем 10 июля 2013 г. 15:26:46(UTC)
| Причина: Не указана |
С уважением, Сергей |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: ssm_2005 Ну так автор и этого поста тоже пишет, что срок действия сертификата может быть значительно больше, чем срок действия ключа. Я утверждаю то же самое. Мой-то вопрос о том, как определить срок действия ключа двойного назначения (подписи и обмена), при условии, что срок действия ОТКРЫТОГО ключа ОБМЕНА не может быть более 1 года 3 месяцев, а срок действия ОТКРЫТОГО ключа ПОДПИСИ может быть 15 лет. Правильно ли, что срок действия сертификата ключа, который предназаначен для подписи и обмена, не может быть больше 1 года 3 месяцев? Какой смысл в SSL сертификате на 2 года, если шифровать на нём можно только 1 год и 3 месяца? |
С уважением, Юрий Строжевский |
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Срок действия сертификата для SSL
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close