Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.07.2014(UTC) Сообщений: 107  Откуда: Москва Сказал(а) «Спасибо»: 24 раз
|
Здравствуйте. Мучаю СКЗИ КриптоПРО версии 4.0.9944 под Windows 7. При помощи команды: netsh advfirewall firewall add rule name="block_out_tcp" protocol=TCP dir=out localport=any action=block - отключил все исходящие TCP/IP подключения. Команда отработала без ошибок, возможность скачивать данные из интернета – пропала. Ожидалось, что после этого утилита «certutil» с флажками «-verify -urlfetch» начнет отрабатывать без пауз и сравнительно быстро. Но оно всё равно «задумывается». Можете объяснить почему? Вот на таких сертификатах делаю проверки:  certs.zip (7kb) загружен 3 раз(а).certutil -verify -urlfetch rep.cer certutil -verify -urlfetch rep-512.cer certutil -verify -urlfetch unep-test.cer certutil -verify -urlfetch esia.cer certutil -verify -urlfetch C02273FADB6A52ADE5DDFD2AC1DFAC0591110C1B.cer С какой целью это делается: найти способ отключить скачивание данных из «интернета» для СКЗИ, чтобы не замедлялась проверка сертификатов: если нет данных в локальном хранилище (СОС-ов или сертификатов УЦ), то НЕ надо пытаться скачивать их (лишняя и никому не нужная пауза), а надо возвращать ошибку проверки (как можно быстрее). Локальное хранилище СКЗИ наполняется другим внешним процессом, работающим на другом сервере. Может есть настроечный параметр, который запрещает СКЗИ тратить время на скачивание данных из интернета? С уважением, Константин Ткачук. P.S. На всякий случай, для любопытных граждан, убрать блокировку можно при помощи команды: netsh advfirewall firewall delete rule name="block_out_tcp"
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,677
Сказал(а) «Спасибо»: 618 раз
Поблагодарили: 460 раз в 434 постах
|
Какая связь между утилитой certutil от "Microsoft" и СКЗИ "КриптоПро CSP" от одноимённого разработчика?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.07.2014(UTC) Сообщений: 107 Откуда: Москва Сказал(а) «Спасибо»: 24 раз
|
А как по вашему утилита certutil обрабатывает сертификаты ГОСТ? Неужели совсем без СКЗИ КриптоПРО?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,764  Сказал «Спасибо»: 579 раз
Поблагодарили: 2307 раз в 1807 постах
|
Автор: idtks  А как по вашему утилита certutil обрабатывает сертификаты ГОСТ? Неужели совсем без СКЗИ КриптоПРО? Так какая связь с сетевыми функциями? Включите трассировку winhttp + смотрите запросы через DebugView, у меня утилита долго отрабатывает - 10 с. для квалифицированного сертификата (+перебирает CDP) при блокировке через правило. При этом другие приложения - сразу выдают про сетевой сбой. traceall_x64.zip (1kb) загружен 0 раз(а). Snimok ehkrana ot 2025-07-13 21-43-02.png (96kb) загружен 2 раз(а).и 0.15 с. лишь, если сеть отключить) Snimok ehkrana ot 2025-07-13 21-44-29.png (84kb) загружен 1 раз(а). |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,764 Сказал «Спасибо»: 579 раз
Поблагодарили: 2307 раз в 1807 постах
|
Автор: idtks
С какой целью это делается: найти способ отключить скачивание данных из «интернета» для СКЗИ, чтобы не замедлялась проверка сертификатов: если нет данных в локальном хранилище (СОС-ов или сертификатов УЦ), то НЕ надо пытаться скачивать их (лишняя и никому не нужная пауза), а надо возвращать ошибку проверки (как можно быстрее). Локальное хранилище СКЗИ наполняется другим внешним процессом, работающим на другом сервере. Может есть настроечный параметр, который запрещает СКЗИ тратить время на скачивание данных из интернета? вопрос - причем тут certutil от MS? Через неё сделано или утверждается, что СКЗИ её вызывает...чтобы... проверить? Функционал из СКЗИ + CAdES используется? |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,764 Сказал «Спасибо»: 579 раз
Поблагодарили: 2307 раз в 1807 постах
|
+ утилита имеет дополнительные опции:
-seconds -v |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,764 Сказал «Спасибо»: 579 раз
Поблагодарили: 2307 раз в 1807 постах
|
+ сколько тратится на локальные хранилища сертификатов\crl - был замер? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.07.2014(UTC) Сообщений: 107 Откуда: Москва Сказал(а) «Спасибо»: 24 раз
|
Насколько я знаю, утилита certutil при проверке сертификата пытается построить для него цепочку доверия до корневого само-подписанного сертификата и проверить на отзыв стартовый сертификат и сертификаты промежуточных УЦ. Делается эта операция через вызов соответствующей функции API СКЗИ («CertGetCertificateChain»). Если в хранилище сертификатов и СОС-ов есть «свежие СОС-ы», то обращение «во вне» (к серверам УЦ) за свежей версией СОС-ов не происходит и проверка делается быстро (менее 10 миллисекунд). Но если у СКЗИ каких-то данных не хватает (или еще по каким-то не известным мне причинам), то идет попытка скачивания нужных данных из внешнего источника. Скачивание данных «из вне» это всегда долго (особенно долго, если источник не доступен). При не удаче этой операции СКЗИ возвращает ошибку вроде «не могу установить отозван сертификат или нет».
Отключая доступ к внешним подключениям, я ожидал, что СКЗИ на этапе «скачивания необходимых данных» тормозить НЕ будет и сразу вернет ошибку «не могу установить отозван сертификат или нет». Однако этого НЕ происходит. Почему?
Пожалуйста, не обижайтесь. Но поскольку Вы не знаете «причем здесь certutil» и не понимаете, что мы не можем отключить наше ПО от сети «совсем» (входящие запросы на проверку сертификатов оно принимать должно), то позовите кого-нибудь, кто это знает и понимает. Очень прошу Вас.
Еще раз: Вы уже повторили проблему с утилитой certutil у себя локально, но продолжаете задавать странные вопросы мне. Зачем? Привлеките компетентного специалиста.
Я надеюсь, Вы не будете утверждать, что разработчики Microsoft настолько тупые, что паузы в десять секунд возникают вне вызова функции API СКЗИ «CertGetCertificateChain» из-за ошибок в их коде?
Константин Ткачук.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,764 Сказал «Спасибо»: 579 раз
Поблагодарили: 2307 раз в 1807 постах
|
Автор: idtks
Мучаю СКЗИ КриптоПРО версии 4.0.9944 под Windows 7. Обновите ОС и СКЗИ. В актуальных - 0с. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,764 Сказал «Спасибо»: 579 раз
Поблагодарили: 2307 раз в 1807 постах
|
Автор: idtks Насколько я знаю, утилита certutil при проверке сертификата пытается построить для него цепочку доверия до корневого само-подписанного сертификата и проверить на отзыв стартовый сертификат и сертификаты промежуточных УЦ. Делается эта операция через вызов соответствующей функции API СКЗИ («CertGetCertificateChain»). Если в хранилище сертификатов и СОС-ов есть «свежие СОС-ы», то обращение «во вне» (к серверам УЦ) за свежей версией СОС-ов не происходит и проверка делается быстро (менее 10 миллисекунд). Но если у СКЗИ каких-то данных не хватает (или еще по каким-то не известным мне причинам), то идет попытка скачивания нужных данных из внешнего источника. Скачивание данных «из вне» это всегда долго (особенно долго, если источник не доступен). При не удаче этой операции СКЗИ возвращает ошибку вроде «не могу установить отозван сертификат или нет».
Отключая доступ к внешним подключениям, я ожидал, что СКЗИ на этапе «скачивания необходимых данных» тормозить НЕ будет и сразу вернет ошибку «не могу установить отозван сертификат или нет». Однако этого НЕ происходит. Почему?
Пожалуйста, не обижайтесь. Но поскольку Вы не знаете «причем здесь certutil» и не понимаете, что мы не можем отключить наше ПО от сети «совсем» (входящие запросы на проверку сертификатов оно принимать должно), то позовите кого-нибудь, кто это знает и понимает. Очень прошу Вас.
Еще раз: Вы уже повторили проблему с утилитой certutil у себя локально, но продолжаете задавать странные вопросы мне. Зачем? Привлеките компетентного специалиста.
Я надеюсь, Вы не будете утверждать, что разработчики Microsoft настолько тупые, что паузы в десять секунд возникают вне вызова функции API СКЗИ «CertGetCertificateChain» из-за ошибок в их коде?
Константин Ткачук. Вы лог трассировки свой уже посмотрели? Заметили сколько тратилось времени и на что? Оптимизации в СКЗИ были, дальше что? Вы не подумали проверить RSA сертификат? Вы не подумали удалить КриптоПРО CSP и проверить утверждения? Представляете, а Я это всё сделал в ночь на понедельник, хотя мог отложить на рабочее время. Результаты интересуют? Или будете ждать более компетентных специалистов? 14.4 секунд certutil от MS отрабатывал с RSA при блокировке правилом. (ой, а может это трассировка у меня столько отнимает?). Использовал сертификат с форума. Windows 7, без КриптоПРО CSP !Заставлять проверять в актуальных ОС и СКЗИ уже не имеет смысла же? Лог и сертификат в архиве. Удачи! Snimok ehkrana ot 2025-07-13 23-16-14.png (93kb) загружен 2 раз(а). cryptopro.ru.zip (10kb) загружен 1 раз(а). |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
