Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline docregistry  
#1 Оставлено : 28 декабря 2019 г. 17:21:31(UTC)
docregistry

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.12.2019(UTC)
Сообщений: 1
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Здравствуйте!
Имеем сервис проверки CAdES реализованный на jcp-2.0.39014
Получили на проверку CAdES BES с проблемным EndEntity-сертификатом:
[1]Точка распределения списка отзыва (CRL)
URL=http://srv-oibdb-ca-2.bankspb.ru/cdp/76c1cfa3fab7221bbaa44050a3ed8b8c12efa67f.crl
[2]Точка распределения списка отзыва (CRL)
URL=http://bspb.ru/ca/ra/cdp/76c1cfa3fab7221bbaa44050a3ed8b8c12efa67f.crl

Здесь первый CRLDP недоступен; а по второму почаем 301 Moved Permanently
Второй CRLDP действительно доступен по https

В имплентации используем ru.CryptoPro.CAdES#verify и не передаем CRL в аргументах,
то есть CRL выкачивает JCP.
В Wireshark видим, что последним запросом является
HTTP/1.1 301 Moved Permanently
Location: https://www.bspb.ru/ca/r...4050a3ed8b8c12efa67f.crl

В логах
ru.CryptoPro.AdES.certificate.BaseCertificateChainValidatorImpl validate
FINE: Verify the certificate chain by use of CRL (online).
INFO Could not determine revocation status: unable to find valid certification path to requested target

Примечание: проверка этой ЭП проходит, если в CAdES#verify передать аргументом готовый объект CRL

Пожалуйста, ответьте на вопросы:
1. Допустимо ли, что УЦ не поддерживает ни один из CRLDP, указанных в выданном сертификате?
2. Допустимо ли, что УЦ перенес CRLDP с http на https ?
3. Предположим, мы скорректируем имплементацию своего сервиса - будем сами выкачивать CRL и передавать объектом в JCP.
Будет ли правомерным выкачивать CRL по адресу отличному от указанного в CRLDP (https вместо http)
4. "сами выкачивать CRL и передавать объектом в JCP" - есть ли другое решение нашей проблемы?

Заранее спасибо за ответы!
Offline Евгений Афанасьев  
#2 Оставлено : 28 декабря 2019 г. 17:33:44(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Здравствуйте
Автор: docregistry Перейти к цитате

1. Допустимо ли, что УЦ не поддерживает ни один из CRLDP, указанных в выданном сертификате?
2. Допустимо ли, что УЦ перенес CRLDP с http на https ?
3. Предположим, мы скорректируем имплементацию своего сервиса - будем сами выкачивать CRL и передавать объектом в JCP.
Будет ли правомерным выкачивать CRL по адресу отличному от указанного в CRLDP (https вместо http)
4. "сами выкачивать CRL и передавать объектом в JCP" - есть ли другое решение нашей проблемы?

1. Должен быть минимум один доступный http-адрес.
2. Допустимо, есть есть хотя бы один доступный http-адрес помимо https.
3. Эти адреса предоставляет сам УЦ, поэтому единственный вариант - скачивать по ним.
4. К сожалению, нет.

thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
docregistry оставлено 30.12.2019(UTC)
Offline dbubb  
#3 Оставлено : 30 декабря 2019 г. 9:00:40(UTC)
dbubb

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.02.2011(UTC)
Сообщений: 43
Мужчина
Откуда: Екатеринбург

Сказал «Спасибо»: 14 раз
Поблагодарили: 1 раз в 1 постах
Сталкивались с похожей проблемой для сертификатов Росэлторг - можно почитать историю здесь:
https://www.cryptopro.ru...aspx?g=posts&t=17026
thanks 1 пользователь поблагодарил dbubb за этот пост.
docregistry оставлено 30.12.2019(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.