Расширения сертификата
Жизненный цикл сертификата
Выпуск сертификатов.
1.Заявитель (будущий владелец сертификата) генерирует открытый и закрытый ключи сертификата; 2.Заявитель генерирует запрос на подписание сертификата
(СSR),который содержит наименование субъекта, открытый ключ, запрошенные расширения и подпись CSR. (подписывается закрытым ключем сертификата). 3.Заявитель отправляет CSR в УЦ для подписания.
4. УЦ проверяет личность заявителя.
5.УЦ изготавливает сертификат на основе информации, взятой из CSRи добавляетдругую информацию (наименование издателя, срок действия, расширения) и подписывает сертификат:
6. УЦ отправляет сертификат заявителю, который становится его владельцем или держателем..
Примерная политика использования сертификатов
Срок действия сертификата открытого ключа - 1 год; Срок действия закрытого ключа -10 лет; Срок действия ЭЦП с момента подписания -25 лет.
Секретный ключ используется для подписания деловых контрактов.
Временные периоды использования сертификатов
2020 |
2021 |
2022 |
2029 |
2030 |
2046 |
2047 |
2055 |
2020 |
2021 2022 |
2023 |
2030 |
2046 |
2047 |
2055 |
Работа с сертификатами государственных органов
Новые правила для УЦ (редакция ФЗ № 476 от 27.12.2019)
1. Уставной капитал 1 млрд руб вместо 7 млн руб.
2.Аккредитация в два этапа в том числе работает правительственная комиссия куда входят представители Минцифры. ФНС, ФСБ и др.
3.Аккредитация выдается на 3 года, а не на 5 лет.
4.Введена уголовная ответственность работников УЦ.
5.Ужесточены требования деловой репутации.
ЭЦП имеют право выдавать: -госсектор – казначейство; -банки - Минфин;
- предприниматели и физлица – ФНС.
Сертификаты в веб-сети
Сертификаты необходимы для функционирования протокола TLS и основанном на нем протоколе HTTPS, для доказательства подлинности веб-сайтов, а также в стандартах безопасного обмена S/MIME, в VPN решениях (Open VPN), в смарт-картах, при подписании программ, в протоколе IРsec и др.
Цепочки сертификатов
На практике используют цепочки сертификатов Цепочка сертификатов (цепочка доверия) это упорядоченная последовательность сертификатов, в которой каждый
сертификат подписан следующим по цепочке. Последний сертификат является самоподписанным (корневым)
При проверке сертификатов необходимо удостовериться в истинности двух утверждений:
1.Лицо, предъявившее сертификат, является его владельцем? (доказывается с помощью закрытого ключа сертификата). 2. Предъявленный сертификат действителен? (доказывается с помощью цепочки сертификатов).
Проверка сертификатов в веб-сети основана на доверии!
Проверка сертификата веб-сайта.
Первым в цепочке – сертификат идентифицирующий сайт.
Это сертификакт не подписывает ни какие другие сертификаты. Сертификаты, которыми подписаны другие сертификаты называются сертификатами промежуточных УЦ. Последний в цепочке - самоподписанный сертификат, которым подписывают другие сертификат, называется корневым.