logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

12 Страницы«<101112
Опции
К последнему сообщению К первому непрочитанному
Offline x09  
#221 Оставлено : 18 декабря 2018 г. 4:38:45(UTC)
x09

Статус: Участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 11
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Автор: two_oceans Перейти к цитате
Цитата:
т.е. проблема может быть на стороне сервера, а не клиента?
Проблема скорее на клиенте.

Просто в ряде случаев проблемы на клиенте с построением цепочки могут быть из-за конфликта сертификатов УЦ. Например, есть другой действительный сертификат этого же удостоверяющего центра и издатель в конечном сертификате в точности совпадает с полем субъект в сертификате этого УЦ, но значение идентификатора ключа УЦ отличается. Пусть при этом верного сертификата УЦ у клиента не установлено. В этом случае при построении цепочки некоторыми программами может быть проигнорировано отличие идентификатора ключа и построена неверная цепочка к совсем другому корневому сертификату. На человеческий взгляд это практически неотличимо пока не сравните идентификаторы ключей. Далее цифровая подпись конечного сертификата будет считаться неверной при проверке ключом УЦ из другого сертификата УЦ и конечный сертификат будет считаться поврежденным. Это очень актуальная проблема если Вы несколько лет пользуетесь сертификатами одного и того же УЦ и у клиентов множество "прошлогодних" сертификатов этого УЦ (выдаются они дольше чем на 1 год и еще действуют), но нет "свежего" сертификата.

Указание всех промежуточных сертификатом самим сервером значительно ослабляет проблему построения неверной цепочки для сертификата сервера. Обратите внимание, что для наилучшего эффекта промежуточные сертификаты не просто должны передаваться сервером по отдельности, а должны быть расположены по порядку и уже связаны в цепочку. Полностью проблема не снимается, так как корневой сертификат должен быть установлен у клиента и в связи промежуточного сертификата с корневым также возможна аналогичная ошибка, но в целом указание промежуточных сертификатов сервером стабилизирует построение цепочек клиентами.


Ух ты ж.. я мало что понял, но покажу картинку. Это какие сертификаты есть у меня и какая ошибка. Никаких старых нет. Что делать, непонятно.

2018-12-18_09-36.png (131kb) загружен 19 раз(а).
Offline two_oceans  
#222 Оставлено : 18 декабря 2018 г. 7:02:49(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 214
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 13 раз
Поблагодарили: 51 раз в 50 постах
Итак, зашел на сайт по адресу из скриншота, выдало ошибку, просмотрел сертификат, нашел ссылку на сертификат промежуточного УЦ и посмотрел цепочку сертификатов. Итак, смотрим:
1) Головной удостоверяющий центр - идентификатор ключа субъекта (SubjectKeyID на Вашем скриншоте из позапрошлого поста) 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d - на скриншотах он присутствует.
2) ГКУ ТО "ЦИТТО" - идентификатор ключа субъекта 45 38 78 29 52 e3 aa 4e 11 d0 23 86 ff 8c 4f a6 8b 15 83 b4 - на скриншоте Криптопро он отсутствует, но что-то присутствует на последнем скриншоте хотя не видно ни одного идентификатора чтобы сверить тот же самый или нет. Идентификатор ключа УЦ - 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d, совпадает с Головной удостоверяющий центр. Сертификат 2018 года. Скачал его с https://citto.ru/subsections/2 "Корневой сертификат 2018 (cer)" и установил в промежуточные удостоверяющие центры. Отпечаток SHA-1: ‎75 d7 db f7 3f 8f 28 7e 53 9c d4 29 24 ff 48 f7 da 8d dd d1.
3) *.admtyumen.ru - Идентификатор ключа УЦ - 45 38 78 29 52 e3 aa 4e 11 d0 23 86 ff 8c 4f a6 8b 15 83 b4 совпадает с ГКУ ТО "ЦИТТО". Правильная цепочка построена. На мой взгляд в последнем не хватает нескольких оидов для всевозможных использований сайта, но на госуслуги вроде бы и так переходит, а после авторизации выдает "Вы не зарегистрированы в ППУ".

В тоже время у Вас на скриншоте есть самоподписанный сертификат ГКУ ТО Центр информационных технологий Тюменской области 2015 года и сертификат выданный ГКУ ТО Центр информационных технологий Тюменской области - Головным удостоверяющим центром через УЦ 1 ИС ГУЦ 2016 года. Оба сертификата с отличающимися идентификаторами ключа субъекта. В итоге, как раз вышеописанная мной ситуация когда есть 2 "прошлогодних" сертификата, но нет "свежего". Правда в этом случае наименование прошлогодних и свежего не совпадает, так что цепочка не строится вообще. Как видите все достаточно просто, нужно выбрать правильный промежуточный сертификат и установить его.

Отредактировано пользователем 18 декабря 2018 г. 9:05:21(UTC)  | Причина: Не указана

Offline x09  
#223 Оставлено : 18 декабря 2018 г. 7:47:25(UTC)
x09

Статус: Участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 11
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Автор: two_oceans Перейти к цитате
Итак, зашел на сайт по адресу из скриншота, выдало ошибку, просмотрел сертификат, нашел ссылку на сертификат промежуточного УЦ и посмотрел цепочку сертификатов. Итак, смотрим:
1) Головной удостоверяющий центр - идентификатор ключа субъекта (SubjectKeyID на Вашем скриншоте из позапрошлого поста) 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d - на скриншотах он присутствует.
2) ГКУ ТО "ЦИТТО" - идентификатор ключа субъекта 45 38 78 29 52 e3 aa 4e 11 d0 23 86 ff 8c 4f a6 8b 15 83 b4 - на скриншоте Криптопро он отсутствует, но что-то присутствует на последнем скриншоте хотя не видно ни одного идентификатора чтобы сверить тот же самый или нет. Идентификатор ключа УЦ - 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d, совпадает с Головной удостоверяющий центр. Сертификат 2018 года. Скачал его с https://citto.ru/subsections/2 "Корневой сертификат 2018 (cer)" и установил в промежуточные удостоверяющие центры. Отпечаток SHA-1: ‎75 d7 db f7 3f 8f 28 7e 53 9c d4 29 24 ff 48 f7 da 8d dd d1.
3) *.admtyumen.ru - Идентификатор ключа УЦ - 45 38 78 29 52 e3 aa 4e 11 d0 23 86 ff 8c 4f a6 8b 15 83 b4 совпадает с ГКУ ТО "ЦИТТО". Правильная цепочка построена. На мой взгляд в последнем не хватает нескольких оидов для всевозможных использований сайта, но на госуслуги вроде бы и так переходит, а после авторизации выдает "Вы не зарегистрированы в ППУ".

В тоже время у Вас на скриншоте есть самоподписанный сертификат ГКУ ТО Центр информационных технологий Тюменской области 2015 года и сертификат выданный ГКУ ТО Центр информационных технологий Тюменской области - Головным удостоверяющим центром через УЦ 1 ИС ГУЦ 2016 года. Оба сертификата с отличающимися идентификаторами ключа субъекта. В итоге, как раз вышеописанный мной ситуация когда есть 2 "прошлогодних" сертификата, но нет "свежего". Правда в этом случае наименование прошлогодних и свежего не совпадает, так что цепочка не строится вообще. Как видите все достаточно просто, нужно выбрать правильный промежуточный сертификат и установить его.


Вроде завелось у меня.. действительно сертификата не хватало ((
Offline x09  
#224 Оставлено : 26 декабря 2018 г. 4:51:01(UTC)
x09

Статус: Участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 11
Российская Федерация

Поблагодарили: 1 раз в 1 постах
А есть возможность выкладывать srpm ?
Offline Дмитрий Пичулин  
#225 Оставлено : 26 декабря 2018 г. 7:41:09(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 713
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 109 раз в 94 постах
Автор: x09 Перейти к цитате
А есть возможность выкладывать srpm ?

Зачем? Все исходники известно где.

Плюс, если в оригинальном репозитории Chromium-а нет такого типа сборки, то точно нет.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
12 Страницы«<101112
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.