Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline knifetaken  
#1 Оставлено : 9 апреля 2018 г. 10:01:55(UTC)
knifetaken

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.11.2015(UTC)
Сообщений: 6
Российская Федерация
Откуда: Калуга

Сказал(а) «Спасибо»: 1 раз
Добрый день!

В нашей организации доступ в интернет осуществляется через прокси сервер, на адреса добавленные в "белый лист" (разрешенные адреса).
При этом есть несколько информационных систем/порталов, которые используют https.
При попытке подключиться к сайту, такие браузеры как Chrome или Mozilla, выдают сообщение с предупреждением о том, что нет доверия к сертификату сайта и тд.

Насколько я понимаю, это происходит из-за того, что при подключении к сайту автоматически не устанавливаются промежуточные и корневые сертификаты, из-за того что адреса откуда они загружаются отсутствуют в "белом листе" прокси сервера.

Сотрудников в организации много, устанавливать сертификаты каждому вручную - сложный вариант.

Подскажите, пожалуйста, как определить адрес, с которого качаются промежуточные и корневые сертификаты, чтобы разрешить доступ на него?

В самом сертификате, во вкладке "состав", есть строка "Доступ к информации о центрах сертификации", где содержаться адреса с которых можно скачать корневой/промежуточный сертификат, например у Калуга-Астрал это:

[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://ocsp.keydisk.ru/OCSP8892017/OCSP.srf
[2]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://www.dp.keydisk.ru/root/889/astral-889-2017.cer


Достаточно ли будет, если я разрешу доступ до этих двух адресов, ну или просто до домена keydisk.ru ?
Online Максим Коллегин  
#2 Оставлено : 9 апреля 2018 г. 10:57:03(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,373
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 31 раз
Поблагодарили: 702 раз в 611 постах
Корневые сертификаты почти никогда не распространяются автоматически, разве что вместе с браузерами и обновлениями ОС. А промежуточные скачиваются по ссылкам из конечных сертификатов - заранее они неизвестны.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
knifetaken оставлено 09.04.2018(UTC)
Offline knifetaken  
#3 Оставлено : 9 апреля 2018 г. 11:14:24(UTC)
knifetaken

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.11.2015(UTC)
Сообщений: 6
Российская Федерация
Откуда: Калуга

Сказал(а) «Спасибо»: 1 раз
Если я правильно понимаю, то личный сертификат указывает на промежуточный, а промежуточный на корневой? Это я про вкладку "состав", строку "доступ к информации о центрах сертификации". То есть если разрешить эти адреса, они будут автоматом устанавливаться?

Нужно ли таким же образом добавлять адрес из "точки распространения списка отзывов" в исключения прокси? Если этого не сделать (и если СОС не установлены вручную) - сертификат будет считаться недействительным, не смотря на то что цепочка в "пути сертификации" будет полная?
Offline Denxx  
#4 Оставлено : 30 апреля 2019 г. 12:15:28(UTC)
Denxx

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.04.2019(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
А по какой причине может автоматически не устанавливаться промежуточный сертификат УЦ, если ссылки на него в поле "Доступ к информации о центрах сертификации" рабочие?
То есть можно загрузить сертификаты УЦ по этим ссылкам, установить вручную, после чего путь сертификации будет построен.
sertifikat.zip (2kb) загружен 10 раз(а).
Offline kontaria.dim.ka  
#5 Оставлено : 3 мая 2019 г. 18:14:29(UTC)
kontaria.dim.ka

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.01.2017(UTC)
Сообщений: 37
Российская Федерация
Откуда: spb

Поблагодарили: 2 раз в 2 постах
Ну так да, вероятно закрыт доступ к адресам, с которых скачиваются и устанавливаются промежуточные сертификаты. В этом случае их надо вручную.
Offline Denxx  
#6 Оставлено : 6 мая 2019 г. 9:20:54(UTC)
Denxx

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.04.2019(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: kontaria.dim.ka Перейти к цитате
Ну так да, вероятно закрыт доступ к адресам, с которых скачиваются и устанавливаются промежуточные сертификаты. В этом случае их надо вручную.


Не совсем понимаю, я же могу загрузить сертификаты УЦ в браузере по тем же URL, которые указаны в самом сертификате ЭП в поле "Доступ к информации о центрах сертификации" - получается, доступ к ним есть - почему они тогда автоматически не устанавливаются?
Online Максим Коллегин  
#7 Оставлено : 6 мая 2019 г. 11:33:42(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,373
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 31 раз
Поблагодарили: 702 раз в 611 постах
Нам неизвестно приложений, которые бы автоматически устанавливали сертификаты. Промежуточные будут закэшированны и использованы для построения цепочек. Корневой сертификат пользователь или администратор должен устанавливать вдумчиво самостоятельно.
Знания в базе знаний, поддержка в техподдержке
Offline Denxx  
#8 Оставлено : 6 мая 2019 г. 16:57:20(UTC)
Denxx

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.04.2019(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате
Нам неизвестно приложений, которые бы автоматически устанавливали сертификаты. Промежуточные будут закэшированны и использованы для построения цепочек. Корневой сертификат пользователь или администратор должен устанавливать вдумчиво самостоятельно.


С корневым сертификатом ясно. Вопрос с сертификатами Промежуточных центров сертификации.
Не понятно про их кэширование, так как при анализе выявлено следующее:

При просмотре сертификатов ЭП, выпущенных рядом удостоверяющих центров (СКБ Контур, Такском и др.) происходит установка сертификата УЦ в хранилище Промежуточных центров сертификации.
То есть, до открытия файла *.cer, в промежуточных не было сертификата УЦ, а после открытия он там появляется.
Таким образом, в сертификате ЭП строится путь сертификации до корневого.
Такие сертификаты проходят проверку на сервере https://www.justsign.me/...fyqca/VerifyCertificate/ и портале проверки ЭЦП Browser Plugin.

Но есть УЦ, которые выпускают сертификаты, при просмотре которых не происходит установка сертификата УЦ в Промежуточные центры сертификации. Путь сертификации не строится. Проверки на ресурсах КриптоПРО такие сертификаты ЭП не проходят. Хотя сами сертификаты УЦ по URL в сертификатах ЭП, как писалось ранее, доступны.

Хотелось бы понять, в чём причина проблемы.

Требования к подписи - CAdES-X Long Type 1.

Online Максим Коллегин  
#9 Оставлено : 6 мая 2019 г. 17:19:59(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,373
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 31 раз
Поблагодарили: 702 раз в 611 постах
Приложите сертификаты пользователей первого и второго рода.
Под просмотром понимается открытие .cer в проводнике Windows?
Знания в базе знаний, поддержка в техподдержке
Offline Denxx  
#10 Оставлено : 6 мая 2019 г. 17:52:32(UTC)
Denxx

Статус: Новичок

Группы: Участники
Зарегистрирован: 29.04.2019(UTC)
Сообщений: 4
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
sert_bez_avtoustanovki.zip (2kb) загружен 6 раз(а). Sert_s_avtoustanovkojj.zip (2kb) загружен 7 раз(а).
Автор: Максим Коллегин Перейти к цитате
Приложите сертификаты пользователей первого и второго рода.
Под просмотром понимается открытие .cer в проводнике Windows?


Открытие в проводнике Windows либо в оснастке "Сертификаты" консоли управления MMC
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.