Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Aleksandr_pro  
#1 Оставлено : 14 апреля 2022 г. 14:09:56(UTC)
Aleksandr_pro

Статус: Участник

Группы: Участники
Зарегистрирован: 13.09.2014(UTC)
Сообщений: 22
Мужчина
Российская Федерация

Сказал «Спасибо»: 6 раз
Поблагодарили: 2 раз в 2 постах
Начнем с того что у нас в компании ежесуточно подписывается от 35 до 40 тысяч документов, по всей России.
Мы используем усиленную квалифицированную подпись CAdES-X Long Type 1, и после происшествия на серверах такскома 27-29 марта (точную дату не помню), когда все ресурсы его лежали несколько часов, мы стали наблюдать массовые проблемы с подписью документов.

Пользователи подписывают документы не по штучно, а пачкой по 10-100 штук по очереди, при этом первые несколько документов 2-10 подписываются успешно а дальше идут ошибки, как правило такие, и все вся оставшаяся пачка уже не подписывается

Процесс отмены не может быть продолжен - проверка сертификатов недоступна. (0x800B010E)

Подпись ведется средствами криптопро браузер плагина, и работаем мы уже далеко не первый год, и до этого все работало как часы.
Изначально мы фиксировали проблемы с доступом до служб OCSP прописанных в сертификатах, например, как самые часто используемые:

http://tax4.tensor.ru/oc...a-2021_gost2012/ocsp.srf
http://tsp2012.taxcom.ru/tsp/tsp.srf
http://pki.skbkontur.ru/tsp2012/tsp.srf

Но это было как то периодически и в общем то все устаканилось за недельку, мы просто переключились на простую подпись, очень не хотелось но деваться не куда, при это обращение в УЦ не дало эффекта, там либо вообще в первые слышат про эти адреса и про TSP и OCSP либо отвечают что все работает штатно.

На текущий момент ситуация не лучше мы наблюдаем что то похожее на защиту от DDOS по адресам, опять же как наиболее часто использующихся:

http://reestr-pki.ru/cdp/guc2021.crl
http://reestr-pki.ru/cdp/guc_gost12.crl
http://company.rt.ru/cdp/guc2021.crl
http://company.rt.ru/cdp/guc_gost12.crl
http://cdp.skbkontur.ru/cdp/skbkontur-q-2021.crl

симптомы такие же - первые несколько документов из пачки подписываются успешно, а дальше все в ошибках выше обозначенных, в подробных логах CAPI2 значатся ошибки следующего содержания
reestr-pki.png
skbkontur.png
rostelekom.png

последнего адреса (rostelecom.ru) видимо вообще уже не существует

бизнес встал :(

мы пробовали программно скачивать и обновлять эти списки отзыва на локальных машинах, но их слишком много (300-500 рабочих мест) и зачастую мешает политика безопасности внутри компаний решение не подошло.

на текущий момент мы через hosts завернули ключевые адреса на свои сервера и там раз в сутки выкачиваем эти списки, решение вообще не хорошее но другого выхода не видим пока.

Есть ли какие то другие пути ?
Может как то через крипто про браузер плагин можно извернуться ?
Может кто то столкнулся с подобным ?

Отредактировано пользователем 14 апреля 2022 г. 23:12:19(UTC)  | Причина: орфография

thanks 1 пользователь поблагодарил Aleksandr_pro за этот пост.
Yuri оставлено 18.04.2022(UTC)
Offline mstdoc  
#2 Оставлено : 14 апреля 2022 г. 16:28:04(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 37

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Подтверждаю каждое слово.
Уже не первый год мучаем поодержку КриптоПро с этой проблемой, но решения до сих пор не получили.

Проблема весьма актуальная, особенно в ситуациях когда подписывается\проверяется большое число документов.
Периодически лежат сервера с crl у всех УЦ, с которыми мы работаем.

Очень часто - как минимум раз в неделю лежат сервера с crl минкомсвязи.
Некоторое время назад от ростелекома словили бан за слишком частые запросы в сторону crl.

У нас подчас подписывается\проверяется до 100 подписей в минуту.

Как сиюминутное решение проблемы используем тот же метод что и автор - выкачиваем crl и заворачиваем
запросы к какому-нибудь http://reestr-pki.ru/cdp/guc2021.crl к себе на локалхост.

Но это настолько убого, что словами не передать.

При этом в некоторых государственных системах (например в госзакупках) есть жесткие требования по времени обработки подписанного сообщения.
Самое жесткое из них - не больше часа.
В случае превышения этого времени мы обязаны платить огромные штрафы за каждое просроченное сообщение.
В ситуации когда лежит сервер ростелекома или минкомсвязи за пару часов таких сообщений мы можем получить десятки и сотни.

Поэтому просто напрашивается возможность выключать проверку сертификата на отзыв и проверять только саму подпись.
По опыту таких ситуаций знаю, что некоторые площадки в такой в принципе отключают проверку подписи в таких уловиях.

В случае использования расширения для php или python есть возможность ручками положить crl в хранилище криптоПро.
В случае jcp даже такой возможности нет и остается только заворачивать запросы на локалхост.
Если в сертификате прописан ocsp и сервер ocsp лежит, то даже локальное зранилище сrl не помогает.

Также стоит упомянуть ситуации, когда сrl условно доступен по ссылке, но отдается так медленно, что имея 10-20 подписей в минуту полностью забивается пул исходящих соединений и jcp вешается намертво.


Уважаемые разрабы КриптоПро, просьба услышать наконец то проблемы реального бизнеса и доработать возможность отключать проверку на отзыв.

Отредактировано пользователем 14 апреля 2022 г. 18:48:48(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил mstdoc за этот пост.
Aleksandr_pro оставлено 14.04.2022(UTC)
Offline Евгений Афанасьев  
#3 Оставлено : 14 апреля 2022 г. 19:23:42(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,601
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 613 раз в 580 постах
Здравствуйте.
Автор: mstdoc Перейти к цитате

В случае использования расширения для php или python есть возможность ручками положить crl в хранилище криптоПро.
В случае jcp даже такой возможности нет и остается только заворачивать запросы на локалхост.
Также стоит упомянуть ситуации, когда сrl условно доступен по ссылке, но отдается так медленно, что имея 10-20 подписей в минуту полностью забивается пул исходящих соединений и jcp вешается намертво.

В случае CAdES.jar (jcp) есть возможность передать список X509CRL в методы создания (addSigner), усовершенствования (enhance) и проверки (verify), а также отключить проверку на отзыв при создании подписей формата BES, T или усовершенствовании BES -> T с помощью
Цитата:

CAdESSignature cAdESSignature = ...
cAdESSignature.setOptions((new Options()).disableCertificateValidation())
cAdESSignature.addSigner(...)
thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
Андрей * оставлено 14.04.2022(UTC)
Offline Максим Коллегин  
#4 Оставлено : 15 апреля 2022 г. 13:38:30(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,171
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 20 раз
Поблагодарили: 636 раз в 563 постах
С самых первых проявлений проблем с CRL ГУЦа мы ведём доработки КриптоПро ЭЦП, надеемся выпустить новый релиз в ближайшие дни.
Пока могу порекомендовать эти CRL устанавливать локально в хранилище CA.
Знания в базе знаний, поддержка в техподдержке
thanks 3 пользователей поблагодарили Максим Коллегин за этот пост.
Aleksandr_pro оставлено 15.04.2022(UTC), nickm оставлено 15.04.2022(UTC), Андрей * оставлено 15.04.2022(UTC)
Offline Новожилова Елена  
#5 Оставлено : 15 апреля 2022 г. 14:25:55(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 899
Женщина
Откуда: Крипто-Про

Поблагодарили: 89 раз в 86 постах
Добрый день!
По нашим наблюдениям (с появления первых проблем с доступностью CRL ГУЦ) - дело в том, что в зависимости от настроек заголовков HTTP, стандартный механизм получения CRL отказывается использовать этот CRL из кэша. Локальная установка CRL решает проблему.

Сейчас вносим необходимые изменения в КриптоПро ЭЦП и в плагин (кэширование CRL). На следующей неделе скорее всего сможем выложить новую версию плагина для тестирования.
thanks 1 пользователь поблагодарил Новожилова Елена за этот пост.
Андрей * оставлено 15.04.2022(UTC)
Offline Aleksandr_pro  
#6 Оставлено : 15 апреля 2022 г. 16:07:26(UTC)
Aleksandr_pro

Статус: Участник

Группы: Участники
Зарегистрирован: 13.09.2014(UTC)
Сообщений: 22
Мужчина
Российская Федерация

Сказал «Спасибо»: 6 раз
Поблагодарили: 2 раз в 2 постах
Спасибо ! Если что готовы поучаствовать в тестировании
Offline Наталья Мовчан  
#7 Оставлено : 28 апреля 2022 г. 12:29:09(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,376
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 10 раз
Поблагодарили: 65 раз в 44 постах
Здравствуйте!
Можно взять сборочку cadesplugin.exe, cadessdk.msi
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
thanks 1 пользователь поблагодарил Наталья Мовчан за этот пост.
Aleksandr_pro оставлено 28.04.2022(UTC)
Offline Aleksandr_pro  
#8 Оставлено : 28 апреля 2022 г. 13:00:36(UTC)
Aleksandr_pro

Статус: Участник

Группы: Участники
Зарегистрирован: 13.09.2014(UTC)
Сообщений: 22
Мужчина
Российская Федерация

Сказал «Спасибо»: 6 раз
Поблагодарили: 2 раз в 2 постах
Спасибо начнем тесты, если что подскажем
Offline Aleksandr_pro  
#9 Оставлено : 10 мая 2022 г. 12:37:19(UTC)
Aleksandr_pro

Статус: Участник

Группы: Участники
Зарегистрирован: 13.09.2014(UTC)
Сообщений: 22
Мужчина
Российская Федерация

Сказал «Спасибо»: 6 раз
Поблагодарили: 2 раз в 2 постах
мы верно понимаем что в этом дистрибутиве сделано кеширование только ответов этого reestr-pki.ru и подобных ресурсов
а как насчет OCSP по поводу проверки сертификата ?
Offline two_oceans  
#10 Оставлено : 11 мая 2022 г. 5:38:00(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,536
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
Как я понимаю, OCSP запрашивается на момент после подписания и просто заверяет, что в конкретный момент (и ранее этого момента) сертификат действовал. Ответ не гарантирует, что сертификат не был отозван позже указанного момента, то есть не имеет сколько-нибудь длительного срока действия. Дата ответа должна быть больше даты подписания и все тут.

Другими словами, ответ OCSP можно закэшировать для проверки подписи, но это сработает только для подписей сделанных конкретным сертификатом ранее момента кэширования ответа. Однако при подписании (и проверке "более новых" чем момент кэширования подписей) все равно будет нужен "свежий" ответ OCSP.

Получается, кэширование ответов OCSP в принципе не очень благодарное дело и напрямую зависит от доли "новых" подписей. Если документы преимущественно короткоживущие (цикл жизни меньше интервала кэширования), то эффекта вообще не заметите - что есть кэширование, что нет. Для случая выполнения 10-20 подписей в минуту (как поднято в этой теме) - аналогично.

С другой стороны, очевидно, что поиск в кэше удлиняет процедуру (ответ для нужного сертификата может найтись в кэше, но не подходить по времени) и может не очень хорошо сказываться на быстродействии. В итоге, от кэширования списка отзыва КПД больше.
Offline basid  
#11 Оставлено : 11 мая 2022 г. 6:51:20(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 900

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 121 раз в 109 постах
OCSP это "запросить статус конкретного сертификата" вместо "проверять по всему списку отзыва".
Ещечасно (ежесуточно) скачивать (обновлённый) список отозванных сертификатов и устанавливать его локально несложно реализуется и вполне закрывает существующую проблему.

P.S.
Насколько я понимаю, OCSP "имеет право" выдать ответ по точно такому же локально доступному списку отзывов.
Offline two_oceans  
#12 Оставлено : 11 мая 2022 г. 7:40:25(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,536
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
Автор: basid Перейти к цитате
P.S.
Насколько я понимаю, OCSP "имеет право" выдать ответ по точно такому же локально доступному списку отзывов.
В принципе да, вот только в идеале OCSP еще и может ловить сертификаты, которые не были выданы соответствующим УЦ, так как это:
1) признак компрометации ключа УЦ (подобрали ключ или открытый ключ случайно сгенерированной пары совпал и кто-то это использовал), то есть надо бить тревогу и перевыпускать сертификат УЦ;
2) неправильно на такой сертификат отвечать "действителен", так как его выдал вообще непонятно кто.

В итоге, надо бы еще проверять по списку сертификатов, выданных УЦ, "а был ли такой сертификат", совпадают ли отпечаток и серийный номер с отпечатком и серийным номером в списке выданных. Хотя, конечно, ситуация компрометации ключа УЦ не самая частая - переполучают сертификаты ежегодно и на начало года всего 40 аккредитованных УЦ, так что "накрайняк" можно и просто по списку отзыва.

Offline Новожилова Елена  
#13 Оставлено : 11 мая 2022 г. 9:59:19(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 899
Женщина
Откуда: Крипто-Про

Поблагодарили: 89 раз в 86 постах
Как правило, служба актуальных статусов сертификатов (OCSP) работает по базе данных центра сертификации, то есть имеет наиболее актуальную информацию об отзыве сертификатов.
Режим работы службы OCSP по CRL может применяться больше для резервирования, или в тестовых целях.


Преимущество использования OCSP-ответов вместо проверки по CRL появляется в случаях использования совместно со штампами времени.
Штамп времени гарантирует, что подпись была создана не позднее определённого момента, а OCSP-ответ - что сертификат действовал на момент получения штампа времени. И даже если через пару минут сертификат отозвали, то есть доказательства действительности подписи.

Для информации о разных форматах подписи можно посмотреть стандарт ETSI TS 101 733 "Electronic Signatures and Infrastructures (ESI); CMS Advanced Electronic Signatures (CAdES)"
Offline Aleksandr_pro  
#14 Оставлено : 11 мая 2022 г. 11:17:44(UTC)
Aleksandr_pro

Статус: Участник

Группы: Участники
Зарегистрирован: 13.09.2014(UTC)
Сообщений: 22
Мужчина
Российская Федерация

Сказал «Спасибо»: 6 раз
Поблагодарили: 2 раз в 2 постах
Да это все понятно, но с учетом того что у основных УЦ служба OCSP сбоит так же как описано в заголовке

Процесс отмены не может быть продолжен - проверка сертификатов недоступна. (0x800B010E)

получается что фактически ее нельзя использовать :(, попробуем добыть доказательства в ближайшее время, что бы не быть голословными
Offline Максим Коллегин  
#15 Оставлено : 11 мая 2022 г. 13:07:54(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,171
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 20 раз
Поблагодарили: 636 раз в 563 постах
Автор: Aleksandr_pro Перейти к цитате
мы верно понимаем что в этом дистрибутиве сделано кеширование только ответов этого reestr-pki.ru и подобных ресурсов
а как насчет OCSP по поводу проверки сертификата ?

Верно понимаете, мы реализовали использование закэшированных СRL при создании CAdES-подписи.

Для сценария проверки цепочки сертификата мы запланировали сделать кэширование OCSP-ответов в capilite, в Windows OCSP-ответы при проверке на отзыв
кэшируются современными ОС.

Для CAdES-сценариев задача кэширования OCSP-ответов требует дополнительных исследований.
Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#16 Оставлено : 11 мая 2022 г. 13:49:32(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,536
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
Автор: Новожилова Елена Перейти к цитате
Как правило, служба актуальных статусов сертификатов (OCSP) работает по базе данных центра сертификации, то есть имеет наиболее актуальную информацию об отзыве сертификатов.
Режим работы службы OCSP по CRL может применяться больше для резервирования, или в тестовых целях.
Да, в идеале полностью с Вами согласен. На практике совсем не так, особенно если вспомнить требования, что база УЦ аккредитованных УЦ должна быть отключена от доступа из интернета, а OCSP очевидно должна быть подключена к интернету. Либо хитрая настройка DMZ минимум с 3 брандмауэрами либо просто разделяют сети физически и сотрудники перетаскивают CRL на носителях.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.