Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
63-ФЗ. Форматы сертификатов физических и юридических лиц
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675   Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Нет, доверять никому не надо. Одно дело обещания (договора) на уровне организации (УЦ), и абсолютно другое дело - действия отдельных сотрудников УЦ.
Как-раз сотрудникам доверять нужно с большой опаской.
Насчет безопасности - как правильно уже заметили делайте запросы на сертификат, там закрытого ключа нет совсем. И никак это "просто не обоходится" (пока). |
С уважением,
Юрий Строжевский |
 1 пользователь поблагодарил Юрий за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2013(UTC) Сообщений: 74 Сказал(а) «Спасибо»: 50 раз
|
Автор: lboikov  Т. е. вы не доверяете сотрудникам УЦ, в который пришли?
Они сами своими действиями себя и УЦ полностью "Ппц..." Автор: lboikov
А ограничения в сертификатах, прописанные либо через OID в расширенном использовании ключа, либо через политики сертификата, никоим образом не влияют на безопасность ключевого носителя.
После подобного опыта начинаешь читать Закон (регламент-то у них хороший, похож на другие регламенты УЦ). И по Закону находишь единственную для себя защиту: ограничения. Но не тут-то было)). УЦ все как на подбор отказываются вводить ограничения, так что отзывать у них лицензию по суду??? Как у не исполняющих закон?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2013(UTC) Сообщений: 74 Сказал(а) «Спасибо»: 50 раз
|
Автор: Юрий Нет, доверять никому не надо. Одно дело обещания (договора) на уровне организации (УЦ), и абсолютно другое дело - действия отдельных сотрудников УЦ.
Да, на бумаге красиво и все правильно, тока не выполняется)). Расскажу чуть дальше: - Приходишь домой, начинаешь смотрерь, что тебе записали и, о боже! Записали не тот контейнер. Просил же конкретно для определенного сайта, где используется определенное сертифицированное ПО, но на деле записан контейнер для несертифицированного и не рекомендованного ПО, мылишь, спрашиваешь почему и как?, обещают переделать, сообщат по мылу когда будет готово... Дальше еще больше Ппц... )) Получаешь мыло, приходишь с флешкой, операция передачи примерно та же, только с вариацией: вместо Васи контейнер копирует с флешки на флешку "Иван". Боже! Неужели все? Не тут-то было... Приходишь домой, прописываешь, устанавливаешь, настраиваешь, отсылаешь сертифика, чтобы дали доступ, ждешь, получаешь доступ, осваиваешь причуды на новом сайте, пытаешься работать, но ..., выясняется, что в сертификате ошибки..., ну Ппц... опять заказываешь певыпуск, но дальше больше Ппц... Отредактировано пользователем 12 февраля 2014 г. 11:16:25(UTC)
| Причина: дополнены мытарства))
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2013(UTC) Сообщений: 74 Сказал(а) «Спасибо»: 50 раз
|
Автор: Laroux Я возмущен.
Ну если так, то наши службы, разработчики и УЦ в каком-то глобальном подпольном сговоре и Вам (пользователям) остается только... смирится и принять как есть
Зачем возмущаться, достаточно открыть определенный закон и ознакомиться, а по нему кое... кто... обязан "стучать"  .
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Автор: Lvovich Автор: Sergey M. Murugov 63-ФЗ Статья 18 п.2 "2. При обращении в аккредитованный удостоверяющий центр заявитель указывает на ограничения использования квалифицированного сертификата (если такие ограничения устанавливаются ..." формально , если вы как заявитель не просили, то вам не должны были их вписать.
А какие ограничения использования сертификата возможно указать? Любые по выбору заявителя ?Несет ли ответственность УЦ за искажение информации в сертификате? Я эту ветку в общем случае не читаю, но тут решил добраться до первоначального вопроса. Под "ограничениями использования" в законе понимаются так называемые политики применения сертификата. В свою очередь данные политики применения обуславливаются как технической документацией на ИС, в рамках которой эти политики будут применяться, так и набором OID, который прописывается в сертификате. То есть в принципе возможно внутри отдельной фирмы ООО "Пупкин" сделать документ по эксплуатируемой ИС, где написать, что в данной ИС корректными признаются только сертификаты с OID 2.5555555.888888 и никакие другие. Потом пользователь вправе сделать запрос на выдачу сертификата, где будет включен именно данный OID. И теоретически УЦ обязан выпустить сертификат именно с данным, нужным пользователю, OID-ом. Однако в настоящий момент есть ещё такое понятие как политика УЦ по выпуску сертификатов. И вот там и может быть запрет на выпуск сертификатов с OID, которые не входят в список разрешенных. Вот именно здесь и может быть проблема - УЦ могут отказаться выпускать нужный пользователю сертификат. Но если закон всё же окончательно встанет на сторону пользователей, то конечный пользователь может окончательно уйти от необходимости платить просто за то, чтобы ему включили какой-то OID в требуемый сертификат, как это есть сейчас (вроде "хочешь участвовать в торгах - тогда плати дополнительные деньги"). Этот вопрос я где-то на форуме уже обсуждал, и вроде все сошлись на том, что это плохо, но такова система именно сейчас. |
С уважением,
Юрий Строжевский |
2 пользователей поблагодарили Юрий за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
А насчет "а можно ли внести OID который бы ограничивал применение данного сертификата": нет, практически такое невозможно.
И невозможно это только потому, что область применения сертификатов ограничивается только софтом, который данный сертификат использует.
То есть только разработчик софта может применить какие-то правила или ограничить использование каких-то сертификатов.
Сделать так, чтобы сертификат с каким-то определённым OID был запрещен к использованию во всех программах - такое практически не реализуемо. |
С уважением,
Юрий Строжевский |
2 пользователей поблагодарили Юрий за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2013(UTC) Сообщений: 74 Сказал(а) «Спасибо»: 50 раз
|
Автор: Юрий
Сделать так, чтобы сертификат с каким-то определённым OID был запрещен к использованию во всех программах - такое практически не реализуемо.
Нельзя согласиться. Впечатление, что не подготовлен и не утвержден соот. подзаконный акт (регламент, гост, ту и т.п.). Если прописать все в одном месте и постоянно дополнять и исправлять, то все реально... Сертифицировать только то ПО (версию), которое отвечает подобному подзаконному документу на момент сертификации. Тогда если разработчик хочет, чтобы его по сертифицировали, то он доработает и обновит. Приказ фсб отстал от закона и требует доработки. Так?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Автор: Lvovich Автор: Юрий
Сделать так, чтобы сертификат с каким-то определённым OID был запрещен к использованию во всех программах - такое практически не реализуемо.
Нельзя согласиться. Впечатление, что не подготовлен и не утвержден соот. подзаконный акт (регламент, гост, ту и т.п.). Если прописать все в одном месте и постоянно дополнять и исправлять, то все реально... Сертифицировать только то ПО (версию), которое отвечает подобному подзаконному документу на момент сертификации. Тогда если разработчик хочет, чтобы его по сертифицировали, то он доработает и обновит. Приказ фсб отстал от закона и требует доработки. Так? В таком законе необходимо держать список OID, которые соответствуют ограничениям. И, как ни странно, этот список будет постоянно изменяться (например добавляться новыми OID). И ранее сертифицированное ПО уже будет некорректным. То есть и в ПО нужно будет придусматривать нечто вроде онлайн проверки списка "запрещаемых" OID. И, следовательно, исключается возможность делать ПО, которые бы работало без подключения к Интернет. То есть ваши предложения теоретически возможны, практически - нет. |
С уважением,
Юрий Строжевский |
1 пользователь поблагодарил Юрий за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2013(UTC) Сообщений: 74 Сказал(а) «Спасибо»: 50 раз
|
Автор: Юрий
Под "ограничениями использования" в законе понимаются так называемые политики применения сертификата.
Если вас не затруднит, подскажите, пожалуйста, где подобное толкование обсуждаемого закона прописано? Или это ваше личное толкование закона? без обид))
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Автор: Lvovich Автор: Юрий
Под "ограничениями использования" в законе понимаются так называемые политики применения сертификата.
Если вас не затруднит, подскажите, пожалуйста, где подобное толкование обсуждаемого закона прописано? Или это ваше личное толкование закона? без обид)) X.509 Без обид :) |
С уважением,
Юрий Строжевский |
1 пользователь поблагодарил Юрий за этот пост.
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
63-ФЗ. Форматы сертификатов физических и юридических лиц
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
