Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
63-ФЗ. Форматы сертификатов физических и юридических лиц
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2013(UTC) Сообщений: 74  Сказал(а) «Спасибо»: 50 раз
|
Кто-то готов помочь мне попытаться разрешить данную проблему добровольно в судебном порядке?
Отредактировано пользователем 12 февраля 2014 г. 12:26:56(UTC)
| Причина: цвет
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2013(UTC) Сообщений: 74 Сказал(а) «Спасибо»: 50 раз
|
Автор: Юрий  Автор: Lvovich
А что? Разве уже возможно проверить подпись без подключения к Интернет???
Уже разработали??
CRL - не, не слышали? :) Слышал, но: данный список не статичный, ежевременно обновляется, и без проверок актуальности не обойтись, и без Интернета соответственно.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.03.2008(UTC) Сообщений: 142  Сказал «Спасибо»: 18 раз
Поблагодарили: 22 раз в 17 постах
|
Автор: Lvovich И по Закону находишь единственную для себя защиту: ограничения. Но не тут-то было)). УЦ все как на подбор отказываются вводить ограничения, так что отзывать у них лицензию по суду??? Как у не исполняющих закон? Да, закон предусматривает ограничения. Но чтобы эти ограничения "работали" все участники (пользователи, УЦ, ПО) должны знать об этих ограничениях. В сертификате что-либо можно "написать" только указав OID в соответствующем расширении. Законодатель/УФО не определили ни сущность "ограничений" (известные всем OIDы), ни их место (конкретное расширение сертификата). А разработчики всех программ для работы с подписью должны реализовать (минимум) информирование пользователя о наличии ограничения в сертификате. УЦ не отказываются "вводить ограничения"! Для УЦ нет никакой юридической и технической проблемы ввести в какое-либо расширение сертификата, даже в EKU, еще один OID ("ограничивающий"). Только это сегодня не имеет никакого практического смысла, т.к. все программы будут отображать неизвестный им OID лишь в виде набора "каких-то непонятных" цифр. Вы хотите потом судиться с контрагентом, который не разобрался с "набором цифр" в Вашем сертификате? Автор: Lvovich Кто-то готов помочь мне попытаться разрешить данную проблему добровольно в судебном порядке? Вы хотите судиться с УФО, что он не определил виды ограничений по 63-ФЗ и их техническую реализацию в квалифицированных сертификатах? :-)
|
 1 пользователь поблагодарил Mayshev Vadim за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Автор: Lvovich Автор: Юрий Автор: Lvovich
А что? Разве уже возможно проверить подпись без подключения к Интернет???
Уже разработали??
CRL - не, не слышали? :) Слышал, но: данный список не статичный, ежевременно обновляется, и без проверок актуальности не обойтись, и без Интернета соответственно. Список статичный, имеющий период обновления на другой статичный список. Без Интернета можно обойтись, например, следующими путями: 1) Придти в УЦ и забрать CRL на флешке; 2) На компе с Интернетом загрузить CRL и на флешке переписать его на компьютер без Интернета; Также как вариант "проверки без Интернета" можно упомянуть CAdES. Там вообще нужны только CRL корневых сертификатов для OCSP и TSP серверов. Так как эти сертификаты корневые, то их перевыпуск достаточно редок. Насчет "решить проблему добровольно в судебном порядке": так у вам же есть уже прецедент с каким-то нехорошим УЦ, в котором отказались делать сертификат по закону. Вот с ними в добровольно-принудительном порядке и решайте эту проблему. |
С уважением,
Юрий Строжевский |
1 пользователь поблагодарил Юрий за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2013(UTC) Сообщений: 74 Сказал(а) «Спасибо»: 50 раз
|
Автор: Mayshev Vadim Для УЦ нет никакой юридической и технической проблемы ввести в какое-либо расширение сертификата, даже в EKU, еще один OID ("ограничивающий"). Только это сегодня не имеет никакого практического смысла, т.к. все программы будут отображать неизвестный им OID лишь в виде набора "каких-то непонятных" цифр.
Если проблем нет, то почему ни один УЦ не соглашается вписать ограничения просто буковками?? Клиент будет рад. Его будет греть хоть кака надежда. Отредактировано пользователем 12 февраля 2014 г. 14:30:33(UTC)
| Причина: дополнение
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2013(UTC) Сообщений: 74 Сказал(а) «Спасибо»: 50 раз
|
Автор: Юрий Автор: Lvovich Слышал, но: данный список не статичный, ежевременно обновляется, и без проверок актуальности не обойтись, и без Интернета соответственно. Список статичный, имеющий период обновления на другой статичный список. Без Интернета можно обойтись, например, следующими путями: 1) Придти в УЦ и забрать CRL на флешке; 2) На компе с Интернетом загрузить CRL и на флешке переписать его на компьютер без Интернета; Спасибо, что подсказали, но: упустили третий способ - отправлять инфу почтой России. Вы в серьез про первый способ??? Есть такие кто на одиннадцатом номер ездят за инфой??)) Как прикол, очень даже!!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 675 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 95 раз в 68 постах
|
Автор: Lvovich Автор: Юрий Автор: Lvovich Слышал, но: данный список не статичный, ежевременно обновляется, и без проверок актуальности не обойтись, и без Интернета соответственно. Список статичный, имеющий период обновления на другой статичный список. Без Интернета можно обойтись, например, следующими путями: 1) Придти в УЦ и забрать CRL на флешке; 2) На компе с Интернетом загрузить CRL и на флешке переписать его на компьютер без Интернета; Спасибо, что подсказали, но: упустили третий способ - отправлять инфу почтой России. Вы в серьез про первый способ??? Есть такие кто на одиннадцатом номер ездят за инфой??)) Как прикол, очень даже!! Мне этот пост напоминает восклицание вроде "Что?!!! Кто-то ещё пользуется дискетами?!!!". Да, пользуется. И таки да, ездят за инфой, если нужно. Кстати про Почту России тоже интересный способ, действительно вылетело из головы :) |
С уважением,
Юрий Строжевский |
1 пользователь поблагодарил Юрий за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2013(UTC) Сообщений: 74 Сказал(а) «Спасибо»: 50 раз
|
Автор: Юрий Насчет "решить проблему добровольно в судебном порядке": так у вам же есть уже прецедент с каким-то нехорошим УЦ, в котором отказались делать сертификат по закону. Вот с ними в добровольно-принудительном порядке и решайте эту проблему.
Если добровольцев не найду, то обязательно воспользуюсь вашим советом. Спасибо!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.03.2008(UTC) Сообщений: 142 Сказал «Спасибо»: 18 раз
Поблагодарили: 22 раз в 17 постах
|
Автор: Lvovich Автор: Mayshev Vadim Для УЦ нет никакой юридической и технической проблемы ввести в какое-либо расширение сертификата, даже в EKU, еще один OID ("ограничивающий"). Только это сегодня не имеет никакого практического смысла, т.к. все программы будут отображать неизвестный им OID лишь в виде набора "каких-то непонятных" цифр.
Если проблем нет, то почему ни один УЦ не соглашается вписать ограничения просто буковками?? Буковками невозможно, только конкретный OID в конкретное расширение! OID даже можете сами себе "придумать" (зарегистрировав как положено подкорень в "российском" или "едином пространстве"), и тогда УЦ (не вдаваясь в его сущность, а воспринимая как иную информацию о владельце квалифицированного сертификата (по требованию заявителя), включаемую в сертификат) за допплату сможет его зарегистрировать у себя и изготовить с ним сертификат.
|
1 пользователь поблагодарил Mayshev Vadim за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.11.2010(UTC)
Сообщений: 162
Откуда: НН
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 13 постах
|
Автор: Юрий А насчет "а можно ли внести OID который бы ограничивал применение данного сертификата": нет, практически такое невозможно.
И невозможно это только потому, что область применения сертификатов ограничивается только софтом, который данный сертификат использует.
То есть только разработчик софта может применить какие-то правила или ограничить использование каких-то сертификатов.
Сделать так, чтобы сертификат с каким-то определённым OID был запрещен к использованию во всех программах - такое практически не реализуемо. можно бы было это сделать на уровне криптопровайдера сертифицируемого по 63ФЗ
|
1 пользователь поблагодарил pharaon за этот пост.
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
63-ФЗ. Форматы сертификатов физических и юридических лиц
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
