Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline runex  
#1 Оставлено : 17 декабря 2020 г. 13:05:43(UTC)
runex

Статус: Участник

Группы: Участники
Зарегистрирован: 12.08.2014(UTC)
Сообщений: 21

Добрый день. Мы проверяем прикрепленную подпись, используя JCP-2.0.40035. Столкнулись с одним случаем при котором на порталах гос услуг и т.д. подпись проходит, а у нас нет.
Подпись прикрепляю ниже. Предполагалось, что сертификат выпущен в промежутках издания списка отозванных, но такое объяснение видимо неверное.
Не могли бы вы сказать что мы делаем не так или что с сертификатом не так?
signature.txt (9kb) загружен 12 раз(а).
Offline Санчир Момолдаев  
#2 Оставлено : 17 декабря 2020 г. 21:35:57(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 808
Российская Федерация

Сказал(а) «Спасибо»: 70 раз
Поблагодарили: 165 раз в 161 постах
Добрый день!
проблема в клиентском сертификате.
в нем Идентификатор ключа ЦС=752b9e01b7057f44396608758084fa55669ea9fa
в расширениях указан сертификат ЦС
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://imc63.ru/uc/imc20196320.cer
если скачать и посмотреть идентификатор ключа по этой ссылке
то он =4c69f4e31643859c44bc21144c294d8936b14f4f.

т.е. если идет автоматическое построение цепочки, то сертификат клиента имеет не правильную подпись, т.к. в сведениях об УЦ указан другой сертификат ЦС.
решения два:
1. передавать все сертификаты АУЦ при проверке (скорее всего так работают госуслуги)
2. сказать клиенту чтобы УЦ перевыпустил ему сертификат с правильными ссылками на корневые сертификаты.

Отредактировано пользователем 17 декабря 2020 г. 21:36:42(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline Евгений Афанасьев  
#3 Оставлено : 18 декабря 2020 г. 10:07:05(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,540
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 596 раз в 566 постах
Здравствуйте.

Складывается странная ситуация, наверно, вам потребуется обратиться к клиенту и, возможно, УЦ, издавшему его сертификат.

В приложенной подписи есть цепочка сертификатов, ее длина составляет 3 сертификата:
ООО "ФОРМУЛА ШИН" -> ООО "ИМЦ" -> Минкомсвязь России

При этом промежуточный ООО "ИМЦ" имеет:

номер - 43 2d 0a 1f 00 00 00 00 04 e7
отпечаток - b0 94 55 b0 d6 2a ab e7 7b 6f 56 ab e8 74 7c 4f b1 46 ad 0e

Цепочка клиента с ним успешно строится, но не проверяется - неверна подпись CRL для проверки сертификата клиента.

В сертификате клиента ООО "ФОРМУЛА ШИН" есть несколько ссылок на CRL ("Точка распределения списка отзыв") для проверки статуса сертификата, обычно CRL подписаны УЦ-издателем самого сертификата клиента, то есть ООО "ИМЦ", но CRL по ссылкам из клиентского сертификата -

http://imc63.ru/uc/imc20196320.crl
http://www.sama.ru/~imc/uc/imc20196320.crl
http://tlt.imc63.ru/uc/imc20196320.crl

не проверяются на ключе того сертификата ООО "ИМЦ", что вложен в подпись и с которым строится цепочка клиента - с ним подпись CRL неверна.

В клиентском сертификате имеется прямая ссылка ("Доступ к сведениям центра сертификации") на промежуточный сертификат ООО "ИМЦ" - http://imc63.ru/uc/imc20196320.cer но она ведет к другому ООО "ИМЦ":

номер - 78 0f 80 0c 00 00 00 00 02 f2
отпечаток - 1f 31 ae 43 a9 aa 91 4f 5b 5d 8f bd 6a 9b 92 ff b7 ce 33 a4

И с помощью этого ООО "ИМЦ" №2 подпись в CRL, входящем в CRLDP клиентского сертификата, проверяется успешно.

То есть получается, CRL изданы и подписаны одним ООО "ИМЦ" (№2), а сертификат клиента - другим ООО "ИМЦ" (№1), они имеют разные серийные номера, ключи, даты выпуска и т.п.

Отредактировано пользователем 18 декабря 2020 г. 10:08:17(UTC)  | Причина: Не указана

Offline runex  
#4 Оставлено : 22 декабря 2020 г. 19:00:02(UTC)
runex

Статус: Участник

Группы: Участники
Зарегистрирован: 12.08.2014(UTC)
Сообщений: 21

Спасибо огромное за столь подробный разбор проблемы) Передадим информацию клиенту)
Offline runex  
#5 Оставлено : 7 января 2021 г. 17:17:02(UTC)
runex

Статус: Участник

Группы: Участники
Зарегистрирован: 12.08.2014(UTC)
Сообщений: 21

Опять здраствуйте, все та же ошибка, но с другим УЦ signature (2).txt (4kb) загружен 6 раз(а).. На первый взгляд все выглядит вполне нормально, не могли бы подсказать в чем проблема?
Online Андрей *  
#6 Оставлено : 7 января 2021 г. 21:45:43(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,645
Мужчина
Российская Федерация

Сказал «Спасибо»: 393 раз
Поблагодарили: 1611 раз в 1238 постах
Автор: runex Перейти к цитате
Опять здраствуйте, все та же ошибка, но с другим УЦ signature (2).txt (4kb) загружен 6 раз(а).. На первый взгляд все выглядит вполне нормально, не могли бы подсказать в чем проблема?


в сертификате указаны:
http://212.3.135.212:8777/ocsp
http://ca.icvibor.ru:8777/ocsp

возможно в этом проблема...


а так - без проблем проверяется
20210701.png (31kb) загружен 13 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline Санчир Момолдаев  
#7 Оставлено : 9 января 2021 г. 8:08:34(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 808
Российская Федерация

Сказал(а) «Спасибо»: 70 раз
Поблагодарили: 165 раз в 161 постах
Автор: runex Перейти к цитате
Опять здраствуйте, все та же ошибка, но с другим УЦ signature (2).txt (4kb) загружен 6 раз(а).. На первый взгляд все выглядит вполне нормально, не могли бы подсказать в чем проблема?


Добрый день!
crl протух: действителен до ‎6 ‎января ‎2021 ‎г. 23:06:49
обратитесь в УЦ ООО ИЦ "Выбор"
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.