Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Срок действия сертификата для SSL
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,734 Сказал «Спасибо»: 502 раз Поблагодарили: 2060 раз в 1599 постах
|
Автор: ssm_2005 Но вот сроки действия в сертификате может указывать ТОЛЬКО УЦ. А сертификат - это документ! Имеет ли право УЦ в сертификате ключа обмена ставить срок, превышающий указанные выше требования? откуда это взялось? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: ssm_2005 Но вот сроки действия в сертификате может указывать ТОЛЬКО УЦ. А сертификат - это документ! Имеет ли право УЦ в сертификате ключа обмена ставить срок, превышающий указанные выше требования? Есть два способа использовать сертификат: 1) Шифрование/цифровая подпись (срок до 1 года 3 месяца); 2) Проверка подписи (срок до 15-ти лет); УЦ не знает как будет использоваться сертификат, так что может делать срок действия сертификата вплоть до 15-ти лет. Отредактировано пользователем 11 июля 2013 г. 12:47:40(UTC)
| Причина: Не указана |
С уважением, Юрий Строжевский |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
Автор: Андрей * Автор: ssm_2005 Но вот сроки действия в сертификате может указывать ТОЛЬКО УЦ. А сертификат - это документ! Имеет ли право УЦ в сертификате ключа обмена ставить срок, превышающий указанные выше требования? откуда это взялось? А как пользователь может в сертификате указывать сроки действия? Это можно сделать только с помощью настроек УЦ. |
С уважением, Сергей |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
Автор: Андрей * ssm_2005, УЦ заверяет открытый ключ ЭЦП. Максимальный срок действия открытого ключа ЭЦП - 15 лет; Также УЦ может добавить в издаваемый сертификат срок действия закрытого ключа - это уже для ПО пользователя Дискуссия не о ключах подписи, а о ключах обмена. |
С уважением, Сергей |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
Автор: Юрий Автор: ssm_2005 Но вот сроки действия в сертификате может указывать ТОЛЬКО УЦ. А сертификат - это документ! Имеет ли право УЦ в сертификате ключа обмена ставить срок, превышающий указанные выше требования? Есть два способа использовать сертификат: 1) Шифрование/цифровая подпись (срок до 1 года 3 месяца); 2) Проверка подписи (срок до 15-ти лет); УЦ не знает как будет использоваться сертификат, так что может делать срок действия сертификата вплоть до 15-ти лет. УЦ очень даже хорошо осведомлен о том, как будет использоваться сертификат. Кто же кроме УЦ может включить в сертификат область применения "Проверка подлинности клиента"? Шаблоны-то серитификатов как создаются? Отредактировано пользователем 11 июля 2013 г. 12:56:52(UTC)
| Причина: Не указана |
С уважением, Сергей |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: ssm_2005 Автор: Юрий Автор: ssm_2005 Но вот сроки действия в сертификате может указывать ТОЛЬКО УЦ. А сертификат - это документ! Имеет ли право УЦ в сертификате ключа обмена ставить срок, превышающий указанные выше требования? Есть два способа использовать сертификат: 1) Шифрование/цифровая подпись (срок до 1 года 3 месяца); 2) Проверка подписи (срок до 15-ти лет); УЦ не знает как будет использоваться сертификат, так что может делать срок действия сертификата вплоть до 15-ти лет. УЦ очень даже хорошо осведомлен о том, как будет использоваться сертификат. Кто же кроме УЦ может включить в сертификат назначение "Проверка подлинности клиента"? Шаблоны-то серитификатов как создаются? Сертификат - это только декларативный документ. Всякие ограничения использования - только искуственно привнесенные элементы. Предположим, что УЦ выдаст сертификат с один только вариантом использования "Использовать только в случае ядерной войны". И что, никто теперь не сможет использовать его по другому назначению? Поймите раз и навсегда - используются не сертификаты, используются только ключи из ключевых контейнеров. И обязанность контроля за их использованием целиком лежит на конечных пользователях и используемых ими программных средствах. |
С уважением, Юрий Строжевский |
1 пользователь поблагодарил Юрий за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
При чем тут ядерная война? Я задаю вопрос об одной конкретной области применения - "Проверка подлинности клиента". Ясно всем, что для этого должны использоваться ключи обмена. Но для этих ключей разработчик СКЗИ установил ограничение по срокам. На каком основании УЦ будет в сертификатах таких ключей указывать срок, превышающий установленный разработчиком? |
С уважением, Сергей |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: ssm_2005 При чем тут ядерная война? Я задаю вопрос об одной конкретной области применения - "Проверка подлинности клиента". Ясно всем, что для этого должны использоваться ключи обмена. Но для этих ключей разработчик СКЗИ установил ограничение по срокам. На каком основании УЦ будет в сертификатах таких ключей указывать срок, превышающий установленный разработчиком? Ну так покажите на каком основании УЦ должен сам ограничивать эти сроки :) Документы, факты :) Скандалы, интриги, расследования. Ещё раз напомню: ограничения на ключи касается исключительно их эксплуатации. Так что эти ограничения для УЦ не действуют (точнее они ими неукоснительно соблюдаются). |
С уважением, Юрий Строжевский |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз Поблагодарили: 3 раз в 3 постах
|
На том же самом основании, по которому УЦ не превышают сроков действия сертификатов ключей подписи. Если УЦ выполняют это требование разработчика СКЗИ к сертификатам ключей подписи, то почему они игнорируют требования разработчика СКЗИ к сертификатам ключей обмена? Отредактировано пользователем 11 июля 2013 г. 14:16:20(UTC)
| Причина: Не указана |
С уважением, Сергей |
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: ssm_2005 На том же самом основании, по которому УЦ не превышают сроков действия сертификатов ключей подписи. Если УЦ выполняют это требование разработчика СКЗИ к сертификатам ключей подписи, то почему они игнорируют требования разработчика СКЗИ к сертификатам ключей обмена? Какие требования то? Покажите :) В незнай-какой-раз говорю: требования разработчика СКЗИ относятся к эксплуатации криптографических ключей. Ничего про сертификаты и как их выпускать тут нет. |
С уважением, Юрий Строжевский |
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Срок действия сертификата для SSL
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close