Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline runex  
#1 Оставлено : 29 июля 2021 г. 11:26:04(UTC)
runex

Статус: Участник

Группы: Участники
Зарегистрирован: 12.08.2014(UTC)
Сообщений: 19

Добрый день. Встала проблема при проверке подписи: [44] 'Certificate status is unknown or revoked'. Не можем понять в чем дело. Не могли бы вы помочь?
certs.zip (6kb) загружен 2 раз(а).
Offline Андрей *  
#2 Оставлено : 29 июля 2021 г. 11:39:55(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,495
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1573 раз в 1211 постах
Автор: runex Перейти к цитате
Добрый день. Встала проблема при проверке подписи: [44] 'Certificate status is unknown or revoked'. Не можем понять в чем дело. Не могли бы вы помочь?
certs.zip (6kb) загружен 2 раз(а).


Здравствуйте.

Вероятно у Вас проверяется только первый URL, который не доступен?
Каким ПО\код проверяете?


Snimok ehkrana ot 2021-07-29 12-37-54.png (40kb) загружен 9 раз(а).

Snimok ehkrana ot 2021-07-29 12-39-22.png (36kb) загружен 7 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline runex  
#3 Оставлено : 29 июля 2021 г. 11:49:38(UTC)
runex

Статус: Участник

Группы: Участники
Зарегистрирован: 12.08.2014(UTC)
Сообщений: 19

Проверяем оба URL. Используем jcp 2.0.40035:
CAdESSignature signature = new CAdESSignature(sign, data, null);
try {
if (cryptoProCheck) {
signature.verify(Collections.emptySet(), Collections.emptySet());
}
} catch (Exception ex) {
if (ex.getCause().getCause() instanceof CertPathValidatorException) {
tryWithDownloadedCrl(signature, certificate);
} else {
throw ex;
}
}

В tryWithDownloadedCrl - мы выкачиваем все доступные ссылки(если не доступна, пропускаем) и делаем signature.verify(Collections.emptySet(), crlSet);
Offline Андрей *  
#4 Оставлено : 29 июля 2021 г. 11:56:57(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,495
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1573 раз в 1211 постах
Тип подписи? CAdES BES .. XLong1?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#5 Оставлено : 29 июля 2021 г. 12:05:53(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,495
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1573 раз в 1211 постах
Пришлите в архиве log. Уровень all

https://support.cryptopr...nlirovnija-kriptopro-jcp
Техническую поддержку оказываем тут
Наша база знаний
Offline runex  
#6 Оставлено : 29 июля 2021 г. 12:24:22(UTC)
runex

Статус: Участник

Группы: Участники
Зарегистрирован: 12.08.2014(UTC)
Сообщений: 19

signature.txt (5kb) загружен 4 раз(а).

Вот пример прикрепленной подписи. Подойдет?
Offline runex  
#7 Оставлено : 29 июля 2021 г. 13:09:08(UTC)
runex

Статус: Участник

Группы: Участники
Зарегистрирован: 12.08.2014(UTC)
Сообщений: 19

crypto-log (1).zip (10kb) загружен 7 раз(а).

Вот архив с логами
Offline Санчир Момолдаев  
#8 Оставлено : 29 июля 2021 г. 20:39:17(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 758
Российская Федерация

Сказал(а) «Спасибо»: 66 раз
Поблагодарили: 158 раз в 154 постах
Добрый день!
не видно чтобы передавался этот crl
Техническую поддержку оказываем тут
Наша база знаний
Offline runex  
#9 Оставлено : 30 июля 2021 г. 12:14:11(UTC)
runex

Статус: Участник

Группы: Участники
Зарегистрирован: 12.08.2014(UTC)
Сообщений: 19

Указанный вами CRL из промежуточного сертификата, который у нас добавлен в доверенные. Почему нужно прокидывать в ручную CRL доверенного сертификата?
image_2021_07_30T08_51_57_984Z.png (45kb) загружен 5 раз(а).
К тому же в подписи цепочка не указана полностью.
Еще один фактор - подпись сделана при помощи рутокена.
Offline Санчир Момолдаев  
#10 Оставлено : 30 июля 2021 г. 14:10:40(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 758
Российская Федерация

Сказал(а) «Спасибо»: 66 раз
Поблагодарили: 158 раз в 154 постах
Вы же передаете сет crl по которому проверять надо. Туда передают crl от всей цепочки
Цепочка должна строится и проверяться на отзыв полностью

Отредактировано пользователем 30 июля 2021 г. 14:22:43(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline runex  
#11 Оставлено : 30 июля 2021 г. 17:02:08(UTC)
runex

Статус: Участник

Группы: Участники
Зарегистрирован: 12.08.2014(UTC)
Сообщений: 19

У меня тогда 2 вопроса:
1. Как тогда это все работает уже больше года на 200к+ ключей и их подписей?! Мы всегда вызывали сначала без передачи CRL, а если что-то шло не так, качали CRL из сертификата пользователя. В чем тут отличие?
2. Почему в данном случае не происходит проверка "из под капота", когда не указывается явно список CRL?
Offline Евгений Афанасьев  
#12 Оставлено : 30 июля 2021 г. 18:34:57(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,497
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 584 раз в 555 постах
Здравствуйте. Возможно, для crl недавно настроили https и выполняется переадресация с http, а https в провайдере при скачивании crl или сертификатов не поддерживается.
Offline Андрей *  
#13 Оставлено : 30 июля 2021 г. 21:05:38(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,495
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1573 раз в 1211 постах
Автор: Евгений Афанасьев Перейти к цитате
Здравствуйте. Возможно, для crl недавно настроили https и выполняется переадресация с http, а https в провайдере при скачивании crl или сертификатов не поддерживается.



Да, переадресация на https:
Snimok ehkrana ot 2021-07-30 22-04-43.png (16kb) загружен 6 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline Евгений Афанасьев  
#14 Оставлено : 30 июля 2021 г. 21:54:40(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,497
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 584 раз в 555 постах
Автор: Андрей * Перейти к цитате
Автор: Евгений Афанасьев Перейти к цитате
Здравствуйте. Возможно, для crl недавно настроили https и выполняется переадресация с http, а https в провайдере при скачивании crl или сертификатов не поддерживается.



Да, переадресация на https:
Snimok ehkrana ot 2021-07-30 22-04-43.png (16kb) загружен 6 раз(а).

Это ответ на 2 вопроса выше.

Offline runex  
#15 Оставлено : 30 июля 2021 г. 22:53:19(UTC)
runex

Статус: Участник

Группы: Участники
Зарегистрирован: 12.08.2014(UTC)
Сообщений: 19

Выходит официальные(аккредитованные) промежуточные сертификаты не имеют в своих CRL переадресацию и по этому раньше такой ошибки не выявлялось? Я правильно понял?
Offline Андрей *  
#16 Оставлено : 30 июля 2021 г. 22:58:11(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,495
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1573 раз в 1211 постах
Автор: runex Перейти к цитате
Выходит официальные(аккредитованные) промежуточные сертификаты не имеют в своих CRL переадресацию и по этому раньше такой ошибки не выявлялось? Я правильно понял?


Да
Техническую поддержку оказываем тут
Наша база знаний
Offline runex  
#17 Оставлено : 30 июля 2021 г. 23:03:46(UTC)
runex

Статус: Участник

Группы: Участники
Зарегистрирован: 12.08.2014(UTC)
Сообщений: 19

Огромное спасибо за прояснение ситуации)
Offline Евгений Афанасьев  
#18 Оставлено : 31 июля 2021 г. 10:17:08(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,497
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 584 раз в 555 постах
Если используется одна из последних сборок JCP и при этом не используется/не установлен ГОСТ TLS (cpssl.jar), попробуйте задать параметр -Dallow_crl_redirect=true в аргументах java или программно System.setProperty("allow_crl_redirect" , "true") - возможно, поможет.

https://www.cryptopro.ru...aspx?g=posts&t=17026

https://www.cryptopro.ru...aspx?g=posts&t=19596

Отредактировано пользователем 31 июля 2021 г. 10:22:13(UTC)  | Причина: Не указана

thanks 3 пользователей поблагодарили Евгений Афанасьев за этот пост.
Андрей * оставлено 31.07.2021(UTC), Санчир Момолдаев оставлено 31.07.2021(UTC), nickm оставлено 31.07.2021(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.