admin / 11.01.2018

КриптоПро | КриптоПро OCSP

Модуль OCSP к программе «КриптоАРМ Стандарт» поддерживает работу с сервисом Службы актуальных статусов российского разработчика средств криптографической защиты информации — компании «Крипто-Про».

!«КриптоАРМ Старт» НЕ поддерживает работу со Службой актуальных статусов.

Что такое Служба актуальных статусов

Служба актуальных статусов — это доверенный субъект Инфраструктуры открытых ключей (PKI), который предназначен для онлайновой проверки статуса сертификатов на основе протокола OCSP (Online Certificate Status Protocol).

Протокол OCSP. Краткое описание

Служба OCSP распространяет информацию о статусах сертификатов и имеет следующие преимущества по сравнению со списками отзыва сертификатов (СОС):

  • информация о статусе сертификатов всегда актуальна. Служба может получать информацию об изменении статусов сертификатов в реальном времени и распространять её клиентам.

  • меньший объём OCSP-ответа. Объём ответа службы фиксирован и сравнительно мал, в то время как списки отзыва сертификатов могут иметь большой объём. Это позволяет уменьшить время реакции приложений и может иметь решающее значение при создании долговременного архива документов с ЭЦП для уменьшения объёма единиц хранения.

Подлинность электронной подписи

Проверка электронной подписи на подлинность требует наличия дополнительных данных, называемых доказательствами подлинности. «Доказательства Подлинности» включают

«Доказательства подлинности» могут собираться подписывающей и/или проверяющей стороной. Явное присутствие идентификатора регламента подписи должно быть обусловлено требованиями этого регламента.

!Подробнее об усовершенствованной электронной подписи

Дополнительно читайте о том, какие параметры доступа в службу OCSP необходимо настроить для успешного получения улучшенной подписи.

Что требуется для работы с модулем OCSP?

Работа с OCSP службой потребует ПО КриптоАРМ Стандарт и Модуль OCSP/ КриптоАРМ Стандарт+

Для работы с данным ПО необходимо приобрести лицензии на
— КриптоАРМ Стандарт с модулем OCSP / КриптоАРМ Стандарт+
— КриптоПро OCSP Client  (поставляется вместе с лицензией на модуль OCSP)

В случае работы со сторонним сервисом актуальных статусов дополнительно устанавливать ничего не требуется. Если же требуется использование собственного сервиса актуальных статусов, то необходима покупка сервера службы, например, от компании «КриптоПро» — КриптоПро OCSP Server.

Если планируется использовать ГОСТ алгоритмы, то необходима покупка ГОСТ-ового криптопровайдера КриптоПро CSP или Signal COM CSP

Устранение ошибок сертификатов

Обмен письмами с владельцем сертификата (инспекцией / спецоператором связи) возможен только в том случае, если сертификат, который установлен в карточке его владельца на закладке «Сертификаты«, имеет статус «действителен«.

Если у сертификата на закладке «Сертификаты» в поле «Статус» появляется любое другое сообщение, это означает, что сертификат непригоден.

При получении писем от владельца данного сертификата возникнет ошибка  «Невозможно определить отправителя!« и письмо окажется в реестре проблемной почты (т.е. не будет получено). При отправке документов в адрес владельца данного сертификата возникнет ошибка «У лица <Название владельца сертификата> не найдено действительного сертификата для шифрования« и документ не будет отправлен.

В каких случаях определяется непригодность сертификата?

Истек срок действия сертификата

Сертификаты выдаются центрами сертификации на определённый срок. Когда срок действия сертификата истекает, использование данного сертификата в системе электронной отчётности автоматически прекращается. В этом случае у сертификата в карточке его владельца в поле «Статус» появляется сообщение «Один из сертификатов удостоверяющей цепи не подходит по дате«.

Как правило, когда подходит завершение срока действия какого-то сертификата, спецоператор связи в своей базе устанавливает в карточку владельца сертификата сертификат с новым сроком действия и рассылает этот сертификат в адрес других абонентов системы. Получение сертификата на стороне абонента-получателя происходит в обычные сеансы документооборота, как только сертификат получен, он автоматически устанавливается в карточку его владельца на закладку «Сертификаты«.

Как только сертификат вступает в действие, он автоматически начинает использоваться вместо того сертификата, срок действия которого истёк. Этот порядок используется как при истечении срока действия сертификатов ИФНС, так и при истечении срока действия сертификата спецоператора связи.

Если сертификат с новым сроком действия вы получили на дискете или средствами обычной почтовой программы, в этом случае вам необходимо открыть карточку владельца сертификата и добавить сертификат на закладку «Сертификаты» из файла сертификата, который вы получили. Для этого необходимо выполнить ряд несложных действий:

1.  В справочнике организаций откройте соответствующую карточку.

2.  Перейдите на закладку «Сертификаты» и нажмите клавишу <Ins>, выберите добавление сертификата «Из файла», далее укажите полученный файл сертификата.

Если системе удалось считать сертификат, его реквизиты открываются в окне «Сертификат«:

Рис. 15-17 – Реквизиты сертификата

Убедитесь, что ключ подписи соответствует данному налогоплательщику и что он действителен. Название владельца указано в поле «Кому выдан«, текущий статус ключа отображается в поле «Статус«.

3.  Закройте окно с реквизитами сертификата («Сохранить«). В таблице на закладке «Сертификаты» появляется новая запись.

Сертификат был отозван

Удостоверяющие центры могут аннулировать и прекращать действие сертификатов, которые им были выданы (отзыв сертификатов). Списки отозванных сертификатов (списки отзыва) периодически публикуются удостоверяющими центрами. Эти списки регулярно рассылаются специализированными операторами связи системы в адрес своих абонентов.

Получение списка отзыва на стороне абонента происходит автоматически, в обычные сеансы доставки почты (вместе с документами с отчётностью).

Как только список отзыва получен, он автоматически устанавливается в реестр отозванных сертификатов («Главное меню/ Сервис/ Обновления/ Списки отзыва сертификатов» в задаче «Администратор«). Как только в этот список попадает отозванный сертификат, его статус меняется с «действителен» на «отозван«. Доставка документов владельцев данных сертификатов автоматически прекращается.

Порядок рассылки спецоператорами связи новых сертификатов взамен отозванных такой же, как и при истечении срока действия сертификатов.

Непригоден / отсутствует корневой сертификат

Подлинность сертификатов, которые используются в системе, подтверждают сертификаты удостоверяющих центров, которыми они были изготовлены. Сертификаты всех удостоверяющих центров – изготовителей сертификатов отправителей и получателей писем, должны быть установлены в хранилище корневых сертификатов Windows на рабочей станции, на которой производится доставка документов, и иметь статус «действителен«.

Система работает с корневым сертификатом автоматически, без участия пользователя. Если сертификат соответствующего удостоверяющего центра отсутствует в корневом хранилище или непригоден (например, просрочен), использование сертификатов, изготовленных данным центром сертификации, прекращается.

В этом случае в карточках владельцев соответствующих сертификатов в поле «Статус» появляется сообщение: «Цепь сертификатов не закончена» и доставка документов владельцев данных сертификатов прекращается.

Для устранения проблемы следует обратиться в спецоператору связи или в соответствующий удостоверяющий центр, получить действительный сертификат и установить его в корневое хранилище с помощью Мастера импорта сертификатов Windows (подробные инструкции приводятся в приложении «Импорт корневого сертификата«).

Как только действительный сертификат удостоверяющего центра окажется в хранилище, статус сертификатов в карточках соответствующих организаций изменится на «Действителен«.

Непригодно СКЗИ «КриптоПро CSP»

При доставке документов для работы с ключами подписи и сертификатами используется программа СКЗИ «КриптоПроCSP«. Система работает с КриптоПро CSP автоматически, без участия пользователя. Если СКЗИ «КриптоПро CSP» не установлено или непригодно, прекращается доставка документов всех отправителей.

В этом случае у всех сертификатов в карточках организаций в поле «Статус» появляется сообщение «Один из сертификатов удостоверяющей цепи не имеет правильной подписи«, «Не найден подходящий криптопроцессор!» и доставка почты прекращается.

Для устранения проблемы необходимо переустановить СКЗИ «КриптоПро CSP» (подробные инструкции приводятся в приложении «Переустановка программ криптозащиты«). После переустановки КриптоПро CSP статус сертификатов в карточках организаций изменится на «Действителен«.

Проверка условий использования сервиса

Будет произведена проверка выполнения нижеперечисленных условий использования сервиса.

На последнем шаге проверки Вам будет предложено указать (выбрать) сертификат ключа проверки электронной подписи (далее — СКПЭП), выданный удостоверяющим центром, аккредитованным Минкомсвязи России, и ввести пароль к хранилищу ключей.

  • Операционная система — Microsoft Windows
  • Интернет обозреватель — Microsoft Internet Explorer
  • Возможно защищенное соединение с сервером с использованием алгоритмов ГОСТ 28147-89 и ГОСТ Р 34.10-2001
  • Установлен сертификат ключа подписи, выданный удостоверяющим центром, аккредитованным Минкомсвязи России

Проверка операционной системы

Вы используете операционную систему, отличную от Microsoft Windows. Рекомендуется использовать ОС Windows XP SP3 или выше.

К сожалению, Вы не сможете воспользоваться сервисом.

Проверка интернет обозревателя

Вы используете интернет обозреватель, отличный от Microsoft Internet Explorer. Рекомендуется использовать Microsoft Internet Explorer версии 8.0 или выше.

К сожалению, Вы не сможете воспользоваться сервисом.

Проверка защищенного соединения с сервером с использованием алгоритмов ГОСТ 28147-89 и ГОСТ Р 34.10-2001

К сожалению, проверка возможности защищенного соединения к серверу окончилась неудачно. Это могло случиться по одной из следующих причин:

  • Антивирус блокирует защищенное соединение, выполните проверки с отключенным антивирусом (чаще всего относится к бесплатным антивирусным ПО).
  • На Вашем компьютере не установлены криптосредства, совместимые с КриптоПро (КриптоПро CSP не ниже версии 3.6 R4).
  • На Вашем компьютере нет корневого сертификата УЦ ФНС РФ. Вы можете установить его с сайта УЦ ФНС РФ (сертификат УЦ ФНС России должен быть установлен в папку «Доверенных корневых центров сертификации»).
  • В браузере не разрешено TLS соединение. Зайдите в меню «Сервис» — «Свойства обозревателя». Перейдите на закладку «Дополнительно» и установите галочку «TLS 1.0»
  • Недоступен порт 443. Доступ может быть запрещён системным администратором организации. Доступность порта уточните у системного администратора.

Проверка авторизации с использованием сертификата ключа подписи, выданного удостоверяющим центром, аккредитованным в сети доверенных УЦ ФНС России

К сожалению, проверка возможности авторизации с использованием сертификата ключа подписи окончилась неудачно. Это могло случиться по одной из следующих причин:

  • На Вашем компьютере не установлен сертификат ключа подписи, совместимый с КриптоПро (соответствующий ГОСТ 28147-89 и ГОСТ Р 34.10-2001).
  • Срок действия Вашего сертификата ключа подписи истек.
  • Используемый Вами сертификат ключа подписи выдан удостоверяющим центром, не аккредитованным Минкомсвязи России.
  • Ваш сертификат ключа подписи включен в список отозванных.

Все проверки завершились успешно. Вы можете начать работу с сервисом.

Antananarivo

(Продолжаем криптографическую серию заметок.) Оказывается, в Firefox версии 26 включили поддержку OCSP staplig. Что это такое? OCSP (Online Certificate Status Protocol) – это протокол, позволяющий клиенту (браузеру) в режиме онлайн проверить не был ли представленный сервером SSL-сертификат отозван. Напомню, что отзыв сертификата – это специальная процедура, позволяющая исключить из списка доверенных сертификат, срок действия которого ещё не истёк. Это требуется, например, в том случае, если скомпрометирован закрытый ключ, соответствующий сертификату.

Логика OCSP довольно проста: получив сертификат, браузер обращается с запросом, содержащим серийный номер сертификата, по адресу специального ответчика (“респондера”), обычно работающего на серверах удостоверяющего центра (УЦ), и может получить ответ о том, не отозван ли этот сертификат. А может и не получить – дело в том, что ответчики OSCP некоторых УЦ работают не так надёжно, как хотелось бы. У OCSP есть и ещё одна особенность: владельцы ответчика получают информацию о том, какие пользователи ходят на сайты, где установлены соответствующие сертификаты (очевидно, что эту информацию передают браузеры, запрашивающие проверку отзыва сертификата).

OCSP stapling позволяет побороть оба неприятных аспекта, упомянутых в предыдущем абзаце. Ответ OCSP содержит электронную подпись, поэтому браузеру всё равно, по какому каналу этот ответ получен, главное, чтобы там была валидная подпись. Подпись действует некоторое время, соответственно, копию ответа может передавать веб-сервер, в момент установления TLS-соединения. Веб-сервер получает ответ OCSP от удостоверяющего центра, независимо от запросов посетителей веб-сайта. Просто и логично. OCSP имеет особое значение для так называемых сертификатов с расширенной проверкой (сертификаты EV), так что технология, прежде всего, актуальна именно для них, а точнее – для сайтов, их использующих.

Я некоторое время назад наладил демонстрационный сервер под доменом 1d.pw, там поддерживается и OCSP stapling – только сертификат там не EV, а простой. Посмотреть на работу OCSP stapling можно при помощи OpenSSL, вот так:

$ openssl s_client -connect 1d.pw:443 -tlsextdebug -status

В выдаче отыскиваем строки, следующие за “OCSP response”:

OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)

()

FILED UNDER : IT

Submit a Comment

Must be required * marked fields.

:*
:*