admin / 11.01.2018
Модуль OCSP к программе «КриптоАРМ Стандарт» поддерживает работу с сервисом Службы актуальных статусов российского разработчика средств криптографической защиты информации — компании «Крипто-Про».
!«КриптоАРМ Старт» НЕ поддерживает работу со Службой актуальных статусов.
Что такое Служба актуальных статусов
Служба актуальных статусов — это доверенный субъект Инфраструктуры открытых ключей (PKI), который предназначен для онлайновой проверки статуса сертификатов на основе протокола OCSP (Online Certificate Status Protocol).
Протокол OCSP. Краткое описание
Служба OCSP распространяет информацию о статусах сертификатов и имеет следующие преимущества по сравнению со списками отзыва сертификатов (СОС):
информация о статусе сертификатов всегда актуальна. Служба может получать информацию об изменении статусов сертификатов в реальном времени и распространять её клиентам.
меньший объём OCSP-ответа. Объём ответа службы фиксирован и сравнительно мал, в то время как списки отзыва сертификатов могут иметь большой объём. Это позволяет уменьшить время реакции приложений и может иметь решающее значение при создании долговременного архива документов с ЭЦП для уменьшения объёма единиц хранения.
Подлинность электронной подписи
Проверка электронной подписи на подлинность требует наличия дополнительных данных, называемых доказательствами подлинности. «Доказательства Подлинности» включают
сертификаты ЦС наряду со статусом отзыва, в форме СОС или же в форме информации о статусе сертификата (OCSP), предоставляемые через онлайн-услуги
свидетельство того, что подпись была создана заведомо до определенного момента времени.
Содержание
В качестве такового может выступать штамп времени или привязанные ко времени учетные записи в протоколах (time — marking).
«Доказательства подлинности» могут собираться подписывающей и/или проверяющей стороной. Явное присутствие идентификатора регламента подписи должно быть обусловлено требованиями этого регламента.
!Подробнее об усовершенствованной электронной подписи
Дополнительно читайте о том, какие параметры доступа в службу OCSP необходимо настроить для успешного получения улучшенной подписи.
Что требуется для работы с модулем OCSP?
Работа с OCSP службой потребует ПО КриптоАРМ Стандарт и Модуль OCSP/ КриптоАРМ Стандарт+
Для работы с данным ПО необходимо приобрести лицензии на
— КриптоАРМ Стандарт с модулем OCSP / КриптоАРМ Стандарт+
— КриптоПро OCSP Client (поставляется вместе с лицензией на модуль OCSP)
В случае работы со сторонним сервисом актуальных статусов дополнительно устанавливать ничего не требуется. Если же требуется использование собственного сервиса актуальных статусов, то необходима покупка сервера службы, например, от компании «КриптоПро» — КриптоПро OCSP Server.
Если планируется использовать ГОСТ алгоритмы, то необходима покупка ГОСТ-ового криптопровайдера КриптоПро CSP или Signal COM CSP
Устранение ошибок сертификатов |
Обмен письмами с владельцем сертификата (инспекцией / спецоператором связи) возможен только в том случае, если сертификат, который установлен в карточке его владельца на закладке «Сертификаты«, имеет статус «действителен«.
Если у сертификата на закладке «Сертификаты» в поле «Статус» появляется любое другое сообщение, это означает, что сертификат непригоден.
При получении писем от владельца данного сертификата возникнет ошибка «Невозможно определить отправителя!« и письмо окажется в реестре проблемной почты (т.е. не будет получено). При отправке документов в адрес владельца данного сертификата возникнет ошибка «У лица <Название владельца сертификата> не найдено действительного сертификата для шифрования« и документ не будет отправлен.
В каких случаях определяется непригодность сертификата?
Сертификаты выдаются центрами сертификации на определённый срок. Когда срок действия сертификата истекает, использование данного сертификата в системе электронной отчётности автоматически прекращается. В этом случае у сертификата в карточке его владельца в поле «Статус» появляется сообщение «Один из сертификатов удостоверяющей цепи не подходит по дате«.
Как правило, когда подходит завершение срока действия какого-то сертификата, спецоператор связи в своей базе устанавливает в карточку владельца сертификата сертификат с новым сроком действия и рассылает этот сертификат в адрес других абонентов системы. Получение сертификата на стороне абонента-получателя происходит в обычные сеансы документооборота, как только сертификат получен, он автоматически устанавливается в карточку его владельца на закладку «Сертификаты«.
Как только сертификат вступает в действие, он автоматически начинает использоваться вместо того сертификата, срок действия которого истёк. Этот порядок используется как при истечении срока действия сертификатов ИФНС, так и при истечении срока действия сертификата спецоператора связи.
Если сертификат с новым сроком действия вы получили на дискете или средствами обычной почтовой программы, в этом случае вам необходимо открыть карточку владельца сертификата и добавить сертификат на закладку «Сертификаты» из файла сертификата, который вы получили. Для этого необходимо выполнить ряд несложных действий:
1. В справочнике организаций откройте соответствующую карточку.
2. Перейдите на закладку «Сертификаты» и нажмите клавишу <Ins>, выберите добавление сертификата «Из файла», далее укажите полученный файл сертификата.
Если системе удалось считать сертификат, его реквизиты открываются в окне «Сертификат«:
Рис. 15-17 – Реквизиты сертификата
Убедитесь, что ключ подписи соответствует данному налогоплательщику и что он действителен. Название владельца указано в поле «Кому выдан«, текущий статус ключа отображается в поле «Статус«.
3. Закройте окно с реквизитами сертификата («Сохранить«). В таблице на закладке «Сертификаты» появляется новая запись.
Удостоверяющие центры могут аннулировать и прекращать действие сертификатов, которые им были выданы (отзыв сертификатов). Списки отозванных сертификатов (списки отзыва) периодически публикуются удостоверяющими центрами. Эти списки регулярно рассылаются специализированными операторами связи системы в адрес своих абонентов.
Получение списка отзыва на стороне абонента происходит автоматически, в обычные сеансы доставки почты (вместе с документами с отчётностью).
Как только список отзыва получен, он автоматически устанавливается в реестр отозванных сертификатов («Главное меню/ Сервис/ Обновления/ Списки отзыва сертификатов» в задаче «Администратор«). Как только в этот список попадает отозванный сертификат, его статус меняется с «действителен» на «отозван«. Доставка документов владельцев данных сертификатов автоматически прекращается.
Порядок рассылки спецоператорами связи новых сертификатов взамен отозванных такой же, как и при истечении срока действия сертификатов.
Подлинность сертификатов, которые используются в системе, подтверждают сертификаты удостоверяющих центров, которыми они были изготовлены. Сертификаты всех удостоверяющих центров – изготовителей сертификатов отправителей и получателей писем, должны быть установлены в хранилище корневых сертификатов Windows на рабочей станции, на которой производится доставка документов, и иметь статус «действителен«.
Система работает с корневым сертификатом автоматически, без участия пользователя. Если сертификат соответствующего удостоверяющего центра отсутствует в корневом хранилище или непригоден (например, просрочен), использование сертификатов, изготовленных данным центром сертификации, прекращается.
В этом случае в карточках владельцев соответствующих сертификатов в поле «Статус» появляется сообщение: «Цепь сертификатов не закончена» и доставка документов владельцев данных сертификатов прекращается.
Для устранения проблемы следует обратиться в спецоператору связи или в соответствующий удостоверяющий центр, получить действительный сертификат и установить его в корневое хранилище с помощью Мастера импорта сертификатов Windows (подробные инструкции приводятся в приложении «Импорт корневого сертификата«).
Как только действительный сертификат удостоверяющего центра окажется в хранилище, статус сертификатов в карточках соответствующих организаций изменится на «Действителен«.
При доставке документов для работы с ключами подписи и сертификатами используется программа СКЗИ «КриптоПроCSP«. Система работает с КриптоПро CSP автоматически, без участия пользователя. Если СКЗИ «КриптоПро CSP» не установлено или непригодно, прекращается доставка документов всех отправителей.
В этом случае у всех сертификатов в карточках организаций в поле «Статус» появляется сообщение «Один из сертификатов удостоверяющей цепи не имеет правильной подписи«, «Не найден подходящий криптопроцессор!» и доставка почты прекращается.
Для устранения проблемы необходимо переустановить СКЗИ «КриптоПро CSP» (подробные инструкции приводятся в приложении «Переустановка программ криптозащиты«). После переустановки КриптоПро CSP статус сертификатов в карточках организаций изменится на «Действителен«.
Будет произведена проверка выполнения нижеперечисленных условий использования сервиса.
На последнем шаге проверки Вам будет предложено указать (выбрать) сертификат ключа проверки электронной подписи (далее — СКПЭП), выданный удостоверяющим центром, аккредитованным Минкомсвязи России, и ввести пароль к хранилищу ключей.
Вы используете операционную систему, отличную от Microsoft Windows. Рекомендуется использовать ОС Windows XP SP3 или выше.
К сожалению, Вы не сможете воспользоваться сервисом.
Вы используете интернет обозреватель, отличный от Microsoft Internet Explorer. Рекомендуется использовать Microsoft Internet Explorer версии 8.0 или выше.
К сожалению, Вы не сможете воспользоваться сервисом.
К сожалению, проверка возможности защищенного соединения к серверу окончилась неудачно. Это могло случиться по одной из следующих причин:
К сожалению, проверка возможности авторизации с использованием сертификата ключа подписи окончилась неудачно. Это могло случиться по одной из следующих причин:
Все проверки завершились успешно. Вы можете начать работу с сервисом.
(Продолжаем криптографическую серию заметок.) Оказывается, в Firefox версии 26 включили поддержку OCSP staplig. Что это такое? OCSP (Online Certificate Status Protocol) – это протокол, позволяющий клиенту (браузеру) в режиме онлайн проверить не был ли представленный сервером SSL-сертификат отозван. Напомню, что отзыв сертификата – это специальная процедура, позволяющая исключить из списка доверенных сертификат, срок действия которого ещё не истёк. Это требуется, например, в том случае, если скомпрометирован закрытый ключ, соответствующий сертификату.
Логика OCSP довольно проста: получив сертификат, браузер обращается с запросом, содержащим серийный номер сертификата, по адресу специального ответчика (“респондера”), обычно работающего на серверах удостоверяющего центра (УЦ), и может получить ответ о том, не отозван ли этот сертификат. А может и не получить – дело в том, что ответчики OSCP некоторых УЦ работают не так надёжно, как хотелось бы. У OCSP есть и ещё одна особенность: владельцы ответчика получают информацию о том, какие пользователи ходят на сайты, где установлены соответствующие сертификаты (очевидно, что эту информацию передают браузеры, запрашивающие проверку отзыва сертификата).
OCSP stapling позволяет побороть оба неприятных аспекта, упомянутых в предыдущем абзаце. Ответ OCSP содержит электронную подпись, поэтому браузеру всё равно, по какому каналу этот ответ получен, главное, чтобы там была валидная подпись. Подпись действует некоторое время, соответственно, копию ответа может передавать веб-сервер, в момент установления TLS-соединения. Веб-сервер получает ответ OCSP от удостоверяющего центра, независимо от запросов посетителей веб-сайта. Просто и логично. OCSP имеет особое значение для так называемых сертификатов с расширенной проверкой (сертификаты EV), так что технология, прежде всего, актуальна именно для них, а точнее – для сайтов, их использующих.
Я некоторое время назад наладил демонстрационный сервер под доменом 1d.pw, там поддерживается и OCSP stapling – только сертификат там не EV, а простой. Посмотреть на работу OCSP stapling можно при помощи OpenSSL, вот так:
$ openssl s_client -connect 1d.pw:443 -tlsextdebug -status
В выдаче отыскиваем строки, следующие за “OCSP response”:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
()
FILED UNDER : IT