Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Срок действия сертификата для SSL
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671   Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Автор: ssm_2005  Автор: Юрий К сожалению, пока ваши ответы с моей точки зрения выглядят не убедительно. Вы противоречите иногда сами себе. Вот объясните, пожалуйста, почему вы сами признаете, что УЦ нарушат требования, если выпустят сертификат сроком более 15 лет? На каком основании? Я объясню ещё один раз. Вспомните всё, что я уже говорил ранее. Итак, сертификат можно использовать для двух основных направлений: 1) Шифрование/цифровая подпись; 2) Проверка подписи; Первое действие можно осуществлять 1 год 3 месяца, второе - 15 лет. УЦ предварительно ничего не знает и не обязан знать о способе применения сертификата. Поэтому может выдавать сертификаты сроком до 15-ти лет. Если у вас иное мнение насчет того, что УЦ почему-то обязан делать сертификаты основываясь на каких-то расширениях сертификатов (как то "вариантах использования"), то приведите документы, регламентирующие эти сроки для УЦ. Поймите, что в сертификате можно написать любые OID'ы в качестве расширений, это просто цифры. Контролировать использование сертификатов обязаны конечные пользователи и программы. |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,772 Сказал «Спасибо»: 580 раз
Поблагодарили: 2307 раз в 1807 постах
|
Автор: ssm_2005 А если я захочу срок действия ключа подписи 3 года? Кто запрещает (по логике Юрия)? Тогда вы мне выпустите сертификат на 18 лет? Хотеть не вредно, есть только вот что: Цитата:максимальный срок действия закрытого ключа ЭП (ключа ЭП) - 1 год 3 месяца;
максимальный срок действия открытого ключа ЭП (ключа проверки ЭП) - 15 лет;
максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
|
Автор: Юрий УЦ предварительно ничего не знает и не обязан знать о способе применения сертификата. Поэтому может выдавать сертификаты сроком до 15-ти лет.
Хорошо. Задаю совсем простой вопрос - почему только до 15-ти лет? |
С уважением,
Сергей |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,772 Сказал «Спасибо»: 580 раз
Поблагодарили: 2307 раз в 1807 постах
|
Автор: ssm_2005 Автор: Юрий УЦ предварительно ничего не знает и не обязан знать о способе применения сертификата. Поэтому может выдавать сертификаты сроком до 15-ти лет.
Хорошо. Задаю совсем простой вопрос - почему только до 15-ти лет? Игнорируете 796 Приказ ФСБ? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
|
Автор: Андрей * Автор: ssm_2005 А если я захочу срок действия ключа подписи 3 года? Кто запрещает (по логике Юрия)? Тогда вы мне выпустите сертификат на 18 лет? Хотеть не вредно, есть только вот что: Цитата:максимальный срок действия закрытого ключа ЭП (ключа ЭП) - 1 год 3 месяца;
максимальный срок действия открытого ключа ЭП (ключа проверки ЭП) - 15 лет;
максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца. Вот именно! Вы сами сейчас признали, что все таки вы выполняете требования разработчика СКЗИ! На последнюю строку-то взгляните. Почему вы ее игнорируете? Почему вы так уверенно говорите, что выпустите сертификат ключа обмена хоть на 3, хоть на 5 лет? |
С уважением,
Сергей |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,772 Сказал «Спасибо»: 580 раз
Поблагодарили: 2307 раз в 1807 постах
|
Автор: ssm_2005 Автор: Андрей * Автор: ssm_2005 А если я захочу срок действия ключа подписи 3 года? Кто запрещает (по логике Юрия)? Тогда вы мне выпустите сертификат на 18 лет? Хотеть не вредно, есть только вот что: Цитата:максимальный срок действия закрытого ключа ЭП (ключа ЭП) - 1 год 3 месяца;
максимальный срок действия открытого ключа ЭП (ключа проверки ЭП) - 15 лет;
максимальный срок действия закрытых и открытых ключей обмена – 1 год 3 месяца. Вот именно! Вы сами сейчас признали, что все таки вы выполняете требования разработчика СКЗИ! На последнюю строку-то взгляните. Почему вы ее игнорируете? Почему вы так уверенно говорите, что выпустите сертификат ключа обмена хоть на 3, хоть на 5 лет? Сообщите, где была речь про выпуск: сертификат ключа обменаp.s. я свои ответы не правил. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
|
Автор: Андрей * Автор: ssm_2005 Автор: Юрий УЦ предварительно ничего не знает и не обязан знать о способе применения сертификата. Поэтому может выдавать сертификаты сроком до 15-ти лет.
Хорошо. Задаю совсем простой вопрос - почему только до 15-ти лет? Игнорируете 796 Приказ ФСБ? Почитайте внимательно приказ 796. Там говорится о том, что разница в сроках ключа и сертификата не должна превышать 15 лет. А срок именно 15 лет ограничивает разработчик! Получается, что для ключей подписи вы выполняете требования разработчика, а для ключей обмена почему-то не считаете обязательным! |
С уважением,
Сергей |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
|
Автор: Андрей * Сообщите, где была речь про выпуск: сертификат ключа обмена
p.s. я свои ответы не правил. Андрей, ну так вся тема об этой проблеме, о ключах обмена. А какими ключами еще можно SSL поднять? |
С уважением,
Сергей |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Пока я занят, так что ответьте, пожалуйста, на 2 вопроса:
1) Возможно ли запросить УЦ сделать сертификат строго на ключе AT_KEYEXCHANGE?
2) Если это возможно то различается ли публичный ключ для сертификата с AT_SIGNATURE и сертификата с AT_KEYEXCHANGE? |
С уважением,
Юрий Строжевский |
 1 пользователь поблагодарил Юрий за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
|
Автор: Юрий Пока я занят, так что ответьте, пожалуйста, на 2 вопроса:
1) Возможно ли запросить УЦ сделать сертификат строго на ключе AT_KEYEXCHANGE?
2) Если это возможно то различается ли публичный ключ для сертификата с AT_SIGNATURE и сертификата с AT_KEYEXCHANGE? Я пока тоже занят  , но все же отвечу. 1. Да, возможно. Для формирования запроса пользователь использует шаблон сертификата. Естественно, он знает назначение этого шаблона. А при формировании шаблона сертификата на УЦ обязательно указывается его назначение (см. вкладку "Политики" свойств модуля доступа Центра Регистрации). 2. Это второй сложный вопрос, который я хотел обсудить позднее. Но раз уж он возник, то поясню мое видение проблемы. Если изготавливается ключ для обмена и подписи, то это означает, что ключевой контейнер содержит две пары ключей - пара для обмена и пара для подписи. А сертификат выпускается ОДИН! Как в этом случае выполнить требование разработчика относительно максимальных сроков? |
С уважением,
Сергей |
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Срок действия сертификата для SSL
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
