63-ФЗ Статья 18 п.2 "2. При обращении в аккредитованный удостоверяющий центр заявитель указывает на ограничения использования квалифицированного сертификата (если такие ограничения устанавливаются ..." формально , если вы как заявитель не просили, то вам не должны были их вписать. Но по жизни, каждый делает что хочет, пока ещё ни кого не наказывали :-)

Попробуйте сами обратиться в Роскомнадзор с претензией к УЦ, но боюсь у вас результата не будет, поскольку УЦ скажет что он есть коммерческая организация и у них такие правила вписывать что то своё в сертификат, если не нравится - идете в другой УЦ. А вообще то, если уж совсем формально говорить, то у нас ни один квалифицированный сертификат (чтобы не говорили) не может считаться квалифицированным, как минимум, в виду того, что МКС построило PKI домен не выполнив п. 24 Приказа ФСБ 795 в части указания поля authorityCertSerialNumber на промежутке сертификат конечного пользователя - кросс-сертификат, выданный в МКС. Т.е. в сертификате пользователя указывается НЕ серийник от кросса, а серийный номер от самоподписанного издателя УЦ. Все это знают и ни чего не происходит к исправлению ситуации, наказанию виновных в этом и т.д. и т.п. А это означает, что если вдруг дело дойдёт до суда возможно оспорить вид сертификата, и чем это может закончится в реальном бизнесе представить крайне сложно.

Трактовка очень простая есть головной УЦ он по ст. 8 п. 2 "2) осуществляет функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров." читаем что такое головной УЦ - Ст. 13 п.5 "5. Удостоверяющий центр, указанный в части 4 настоящей статьи, по отношению к доверенным лицам является головным удостоверяющим центром ..." смотрим п.4: "4. Удостоверяющий центр вправе наделить третьих лиц (далее - доверенные лица) полномочиями по созданию и выдаче сертификатов ключей проверки электронных подписей от имени удостоверяющего центра, подписываемых электронной подписью, основанной на сертификате ключа проверки электронной подписи, выданном доверенному лицу этим удостоверяющим центром."
Мы должны иметь на выходе в итоге по этим формулировкам и по Приказу 795 и по RFC5280 (на которую есть ссылка из Приказа):
Головной УЦ создает сертификат для аккредитованного УЦ в котором authorityCertSerialNumber == номер головного УЦ.
Аккредитованный УЦ берёт сертификат полученный от головного и от него создаёт сертификат конечного пользователя в котором authorityCertSerialNumber == номер сертификата аккредитованного УЦ. Так должно быть.
На самом деле имеем:
Головной УЦ создаёт сертификат во исполнение 63-ФЗ и Приказа и отдаёт в УЦ, а УЦ для изготовления сертификатов конечных пользователей использует не этот полученный из головного УЦ сертификат, а другой - самоподписанный, и при выпуске пользовательских сертификатов в authorityCertSerialNumber указывает серийник именно этого самоподписанного, а не тот который он получил от головного УЦ.
Вот если бы в статье 4 было написано не "... подписываемых электронной подписью, основанной на сертификате ключа проверки электронной подписи, выданном доверенному лицу ...", а "... подписываемых электронной подписью, основанной на закрытом ключе, парном открытому из сертификата выданного доверенному лицу ..." то вопросов бы не было, а так получаются формально в УЦ СЕРТИФИКАТЫ различные те что дали в головном и те от которых пекут пользовательские.
Ну или если бы в Приказе не было слов про authorityCertSerialNumber.
Вот как то так.

Эта отмазка в МКС была ещё год назад. Вся беда в том, что про не доверенных лиц в 63-ФЗ не написано. А как раз про головной УЦ написано явно - см. п. 4, если не выполнять п. 4 ты уже не головной УЦ по отношению к аккредитованным или аккредитованные уже не аккредитованные. То что объясняет МКС формально это ничего не означает, им ни кто не давал права на интерпретацию закона, это прерогатива только суда. Ну а поскольку в суд идти ни кто не хочет, так эта кривизна и ползёт ... И следом уже ФСБ начинает запрещать аккредитованным УЦ выпускать НЕ квалифицированные сертификаты, что абсолютно правильно в нынешней ситуации, поскольку отличить квалифицированный от не квалифицированного при таком подходе МКС невозможно, т.к. цепочку сертификации до головного УЦ не построить по двум причинам, во-первых, из за кривого применения authorityCertSerialNumber (т.е. стандарты PKI говорят что так такая цепочка не строится), во-вторых, если в хранилище лежит самоподписанный, то цепочка закончится на нём. Вот вам и последствия ...

Отредактировано пользователем 28 мая 2013 г. 15:47:10(UTC)  | Причина: Не указана

1. Конечно - иерархия, так и задумывалось.
2. "При иерархической модели обычно даже корневой сертификат выпускает головной УЦ" - это я вообще не понял что вы написали. При иерархии - якорем (точкой доверия в PKI домене) является самоподписанный сертификат головного УЦ. На практике реализована не пойми какая моделя на односторонних кроссах, обычно такие конструкции рождают когда хотят построить звезду, в нашей же ситуации звезда не подходит поскольку предполагается общение между конечными пользователями различных аккредитованных УЦ. Т.е. технически выбрана не та модель доверия в PKI домене. Матчасть короче надо было читать тем кто это строил и представлять последствия, поскольку на сейчас не исполнителями закона являются УЦ , а МКС в стороне, поскольку она то сертификат во исполнении п. 4 выдала как положено, а вот УЦ не от того сертификата печёт ЕЕ-сертификаты - это его ответственность, прописанная в 63-ФЗ о неверном составе сертификата, к слову если пройдут поправки МКС То это уже будет сумма в 50 лимонов.
3. Про сложности с СОС я тоже не понял. Цепочки (а значит и анализировать СОС) строить по любому при каждой проверке ЭЦП - или вы что не планируете кроссы проверять на отозванность?
4. ФСБ запрещает не только на одном ПАК выпускать квалифицированные и не квалифицированные (это как раз то правильно - поскольку требования у вас должны быть разные к разного класса системам), а в рамках одного юридического лица!!! Поскольку отличить самоподписанный от которого издаются квалифицированные сертификаты и самоподписанный от которого будут издаваться НЕ квалифицированные сертификата сложновато - они могут иметь одинаковый CN что может привести к фальсификациям и коллизиям в системах.
Это явно озвученная позиция представителя ФСБ на круглом столе в Думе 21 мая. И это есть не урегулированная позиция между МКС и ФСБ.

Отредактировано пользователем 28 мая 2013 г. 16:58:03(UTC)  | Причина: Не указана