Как отозвать эцп у организации. Как аннулировать сертификат ключа электронной подписи

Как отозвать эцп у организации. Как аннулировать сертификат ключа электронной подписи Сертификаты
На чтение 17 мин. Просмотров 9 Опубликовано
Содержание
  1. Что сказали в налоговой
  2. Что будет, если не отозвать электронную подпись
  3. Что делать если поврежден личный ключ или забыли пароль?
  4. Ocsp must-staple
  5. Причина № 3. массовый бухгалтер
  6. Формат списка аннулированных сертификатов
  7. Частичный сбой

Что сказали в налоговой

Возмущенная до глубины души бухгалтер незамедлительно обратилась в ИФНС за разъяснениями. Налоговики пояснили, что никакого запроса на отзыв ЭЦП не отправляли, а письмо, адресованное Тензору, носило исключительно информационный характер. При этом в ИФНС добавили, что по их мнению компания сдает недостоверные отчеты, поэтому и сделан вывод о компроментации ЭЦП.

Круг замкнулся. ИФНС и Тензор кивают друг на друга, а бухфирма не имеет возможности отправлять отчеты своих клиентов, то есть практически лишена возможности вести бизнес.

Про Тензор. (эт тот, который СБИС, если кто не в курсе). В качестве предисловия, немного о себе: я занимаюсь отправкой отчетности по ТКС и использую соответствующую программу от Сбиса. Вчерась, когда ничего не предвещало так сказать, получаю письмо от Тензора:

Уведомляем вас, что по письменному запросу от госорганов отозвана ваша ЭЦП.Упс.. звоню менеджеру, ну да, говорит, было письмецо от МИ ФНС по камеральному контролю, звоните, дескать, туда. Звоню, мне поясняют, что да, писали, но ничего отзывать не просили, дескать письмо носило информационный характер да и только.

Звоню в Тензор просьбой прокомментировать ситуацию. Как бы это так по мягче написать, не знаю даже, но никто мне так из Тензора не перезвонил и ничего не объяснил, хотя им названивала весь божий день, и в Москву и в Ярославль. Сегодня, после моего письменного обращения, мне все таки перезвонили, и сказали, что нет, мы не можем вам выпустить новый сертификат, т.к. вы в реестре у налоговой (в каком реестре???).

А теперь внимание, следите за руками:1) Мы отозвали у вас сертификат по черт знает какому письму. 2) Мы не можем вам выпустит новый, т.к. налоговая нам не велит!И это отвечает компания, одна из крупнейших в области оказания таких услуг.Кстати, перл, от представителя МИ ФНС: у вас ключ скомпрометирован потому, что вы сдаете недостоверные отчеты! Я аж опешила, и даже не смогла как следует ответить на такоэ.— Елена Душина

Что будет, если не отозвать электронную подпись

Злоумышленники редко охотятся за электронными подписями физлиц, поскольку риск быть пойманным очень высок, а суммы махинаций сравнительно небольшие. Однако с такой подписью они могут открыть фиктивные фирмы или ИП, оформить кредит и подписать любые документы вместо владельца.

Раньше мошенники также могли украсть квартиру с помощью ЭП, однако теперь это невозможно. С 12 августа 2021 года электронная продажа квартир, которыми владеют физлица, запрещена по умолчанию. Чтобы провести сделку онлайн, собственник должен сначала передать свое согласие в Росреестр — лично или по почте. Нет согласия на электронные сделки — нет возможности украсть недвижимость с помощью подписи.

Для юридических лиц последствия кражи электронной подписи более серьезные. Чаще всего мошенникам интересны ЭП руководителя, бухгалтера или сотрудника с генеральной доверенностью — с ними можно провести махинации на большие суммы:

  • Вывести деньги со счета компании или продать ее имущество.
  • Незаконно возместить НДС.
  • Оформить микрозайм на компанию и вывести эти деньги.
  • Выиграть торги, но не заключить контракт и испортить репутацию.
  • Сменить руководителя компании или добавить нового учредителя. Это рискованный и неприбыльный для мошенников сценарий, но им могут воспользоваться конкуренты, чтобы навредить компании.

Чтобы минимизировать эти риски или полностью избежать их, нужно отзывать сертификат ЭП, как только стало известно о краже или утере электронного ключа.

Помните, что действия мошенников с ЭП можно аннулировать. Суды часто встают на сторону потерпевших и признают недействительным договор, подписанный украденной электронной подписью. Также благодаря тому, что мошенник «засветился» в УЦ при получении незаконной ЭП, полиция с высокой вероятностью найдет его и поможет возместить ущерб.

Получить электронную подпись

Что делать если поврежден личный ключ или забыли пароль?

Согласно ст. 7 Закона № 852-IV и пп. 3.4.6 Договора о предоставлении услуг электронной цифровой подписи, утвержденного приказом ИСД ДФС от 29 ноября 2021 г. № 150, в случае изменения регистрационных данных, указанных в сертификате электронного ключа и (или) регистрационной карточке необходимо сообщить центру сертификации ключей об изменениях и предоставить новые, правильные данные.

Поэтому, если у субъекта хозяйствования или физлица изменился адрес места учета, то нужно обратиться в тот АЦСК, где получали электронную цифровую подпись.

В центре сертификации нужно будет:

  • написать заявление с целью отмены усиленных сертификатов со старым адресом
  • оформить новые сертификаты. Для этого нужно будет подать пакет регистрационных документов (какие документы лучше уточнить именно в центре)

Усиленные сертификаты ключей подписантов (налогоплательщиков), которые получили услуги электронной цифровой подписи (ЭЦП) от в любом аккредитованном центре сертификации ключей (АЦСК), передаются в органы ДФС автоматически при подписании договора «О признании электронных документов» (), используя для этого специальные программы, онлайн сервисы, в том числе предоставленные компаниями участниками Меморандума по улучшению процесса представления отчетности, внедрения электронных сервисов и развития электронного документооборота — т.

Таким образом предоставлять в органы ДФС усиленные сертификаты не нужно. Сертификаты ключей используются органами ДФС во время проверки электронной отчетности и идентификации лиц, которые ее подписали.

Про сертификаты:  Сертификат на электросварные фитинги - скачать или распечатать

Пунктом 3 Правил усиленной сертификации, утвержденных приказом Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины (далее – ДСТСЗИ СБУ) от 13.01.2005 № 3 (в редакции приказа ДСТСЗИ СБУ от 10.05.2006 № 50) определено, что порядок и процедура обслуживания сертификатов подписчиков, перечень сфер, в которых разрешается использование сертификатов и ограничения по их использованию устанавливается Регламентом работы аккредитованного центра сертификации ключей.

Так согласно пункта 3.1 Регламента Аккредитованного центра сертификации ключей АЦСК ИСД осуществляет обслуживание усиленных сертификатов открытых ключей, сформированных для органов государственной власти, органов местного самоуправления, предприятий, учреждений и организаций всех форм собственности, физических лиц, независимо от сферы их использования.

Сферой использования усиленных сертификатов АЦСК ИСД является организация электронного документооборота с использованием электронной цифровой подписи, в том числе представления электронной отчетности, осуществления электронной переписки, заключения договоров в электронной форме.

Следовательно, налогоплательщики имеют право использовать усиленные сертификаты открытых ключей, полученные в АЦСК ИСД для заключения договоров в электронной форме с другими субъектами хозяйствования.

В других АЦСК есть специальные пакеты услуг, предназначенные для физических лиц, нотариусов и др. Стоимость услуг и сферу применения этих ЭЦП можно уточнить на официальных сайтах центров.

Личный ключ электронной цифровой подписи имеет жестко определенное название – «Key-6.dat», которая изменению не подлежит. Изменение названия личного ключа приведет к невозможности его использования. Название сертификата может быть изменено по желанию клиента, за исключением расширения файла «*.cer».

Личные ключи подписчиков могут быть свободно скопированы или перемещены на любые носители, в том числе и на жесткий диск компьютера. Но для избежания злоупотреблений с личными ключами электронной цифровой подписи и предупреждения их компрометации, специализированное программное обеспечение Аккредитованного центра сертификации ключей Информационно-справочного департамента осуществляет поиск и считывание личного ключа исключительно из корневого каталога съемного носителя ключевой информации (флеш-носитель, CD/DVD — диск).

Если подписант потерял (повредил) личный ключ или забыл пароль защиты личного ключа, то он должен обратиться в представительство АЦСК, в котором получал услугу электронной цифровой подписи и повторно пройти процедуру регистрации с одновременным представлением заявления на отмену усиленного сертификата и пакета регистрационных документов для соответствующей категории налогоплательщика перечень которых определен в Регламенте АЦСК.

Для того чтобы проверить наличие личного ключа электронной цифровой подписи на носителе нужно включить функцию просмотра скрытых файлов. В частности, если у вас установлена операционная система Windows 7 нужно выполнить следующие действия:

  • открыть «Мой компьютер» и на вкладке «Упорядочить» нажать пункт «Параметры папок и поиска» ;

Если у вас установлена операционная система Windows XP нужно выполнить следующие действия:

  • открыть «Мой компьютер» и на вкладке «Сервис»нажать пункт «Свойства папки» ;
  • в окне «Параметры папок» на вкладке «Вид» нужно поставить метку «Показывать скрытые файлы, папки и диски» и нажать кнопку «Применить»

Итак, для проверки наличия личного ключа электронной цифровой подписи на носителе необходимо включить функцию просмотра скрытых файлов. Результатом проверки является отображение файла «Key-6.dat». При этом для правильной работы личного ключа электронной цифровой подписи менять имя указанного файла запрещается.

Электронная подпись – аналог собственноручной подписи человека, который создается для выполнения юридически значимых операций. Это очень удобный, современный механизм, но иногда возникают ситуации, когда просто необходимо аннулированиесертификатаключа.

Итак, как аннулировать ЭЦП? Прежде чем рассмотреть, как происходит аннулирование ЭЦПнеобходимо разобраться с причинами, по которым прекращается действие электронной подписи.

  1. Собственное желание пользователя.
  2. Истечение срока действия ключа.
  3. Отзыв доверенности пользователя УЦ.
  4. Истечение сроков приостановленного сертификата безопасности.

Выбрать подпись

Первая ситуация содержит в себе массу причин, по которым владелец ключа отказывается им пользоваться, например:

  • Увольнение работника, на которого была оформлена подпись.
  • Изменение данных о пользователе сертификата.
  • Утеря ключа, его кража, иная компрометация.
  • Поломка носителя цифровой криптографической подписи, обнаружение в нем ошибок.
  • Простое нежелание пользователя работать далее с электронными документами.

В случае собственного желания пользователем должна быть обязательно подана заявка на аннулирование сертификата ключа подписи.
Без нее прекращение ЭП невозможно. Она подается в оригинальном бумажном виде в УЦ, выдавший такую электронно-цифровую подпись. Заявка на то, чтобы прекратить действие сертификата
электронной криптографической подписи, подписывается подписью лица-пользователя сертификата
от руки. Форма заявления устанавливается удостоверяющим центром, который выдал ключ.

В случае истечения срока ключа никакое заявление на аннулирование ЭЦПне требуется. Удостоверяющий центрсамостоятельно аннулирует ЦП. Компания вправе отозвать сертификат, который был получен его представителем по заявлению. В нем должна быть обязательно указана причина такого отзыва.

Процедура того, как аннулировать электронную подпись,довольна проста. Главное, что в первую очередь нужно знать: прекратить действие цифровой подписи в настоящее время может только УЦ. Случаи, когда аннулируется ключ, были описаны выше, и это — исчерпывающий перечень причин.

Как отозвать сертификат ЭЦП?В основном для этого требуется только подача заявления в удостоверяющий центр. Написать его не сложно. Форму вам выдадут при личном обращении в удостоверяющую организацию. Заявлениебудет выглядеть примерно так:

Про сертификаты:  Промокоды ТехПорт на скидку 55 % • декабрь 2021

Аннулирование электронной подписи –это не моментальная процедура. Она может занять какое-то время. Это следует учитывать при подаче отчетов и иной работе с ЭЦП, для которой важно соблюдение сроков. Время (период) аннулирования сертификатавключает в себя: само аннулирование, внесение сведений о нем в реестр, оповещение пользователя.

Замена считается плановой, если просто истекает срок действия сертификата, при этом ключевой носитель (токен) не утерян, а реквизиты ваших юридических документов и личных данных не поменялись. Удостоверяющий центр СКБ Контур заранее присылает уведомление о необходимости получить новый сертификат.

При плановой замене вы получите новый сертификат электронной подписи (), обратившись в свой удостоверяющий центр по той же схеме, что и при первичном получении сертификата:

  • Шаг 1. Написать заявление на выпуск. Если срок действия сертификата электронной подписи не истек, нужно будет написать заявление на его отзыв, чтобы прекратить действие старого.
  • Шаг 2. Прийти в с оригиналами документов или их юридически заверенными копиями. При плановой замене все сведения о владельце сертификата должны совпадать со сведениями в старом сертификате.
  • Шаг 3. Оплатить выставленный счет и выслать специалисту сканы документов (список можно уточнить у специалистов).
  • Шаг 4. Получить новый сертификат на токен.

Внеплановой можно назвать такую ситуацию:

  • Утерян или сломался ключевой носитель, при этом не сделана копия в реестре или на другой носитель.
  • Подпись скомпрометирована: есть риск, что ключ электронной подписи стал доступен злоумышленнику.
  • Изменились данные в сертификате (ФИО и/или должность владельца сертификата, наименование, ИНН, ОГРН организации, юридический адрес организации, и т. д.).

Ocsp must-staple

Чтобы объяснить, что такое OCSP Must-Staple, нужно сначала вкратце разобраться, что такое OCSP Stapling. Я не хочу здесь вдаваться в лишние подробности, вы можете получить всестороннюю информацию из моего блога по

, но вот суть. OCSP Stapling избавляет браузер от необходимости отправлять запрос OCSP, выдавая ответ OCSP вместе с самим сертификатом. Это называется OCSP Stapling, потому что сервер должен «скрепить» (staple) ответ OCSP с сертификатом и выдать их вместе.

На первый взгляд это кажется немного странным, потому что сервер как будто «сам удостоверяет» собственный сертификат как неотозванный, но всё работает правильно. Ответ OCSP действует только короткий промежуток времени и подписан CA точно так же, как сертификат.

Так что если браузер может удостовериться, что сертификат подписан CA, то точно так он может удостовериться, что ответ OCSP тоже подписан этим CA. Это устраняет большую проблему приватности и избавляет клиента от бремени выполнять внешний запрос. Лучший вариант!

Но на самом деле не лучший, извините. OCSP Stapling — отличная вещь, и все мы должны поддерживать эту технологию на своих сайтах, но действительно ли мы думаем, что её будет поддерживать злоумышленник? Нет, я так не думаю, конечно же он не будет этого делать.

Что нам на самом деле нужно — так это заставить сервер поддерживать OCSP Stapling, и вот для чего нужен OCSP Must-Staple. При запросе нашего сертификата у CA мы просим его установить на нём флаг OCSP Must-Staple. Этот флаг указывает браузеру, что сертификат должен поставляться с откликом OCSP или он будет отвергнут. Установить флаг легко.

После установки этого флага мы должны гарантировать, что используется OCSP Staple, иначе браузер отвергнет сертификат. В случае компрометации, если злоумышленник получит наш ключ, ему также придётся использовать OCSP Staple вместе с нашим сертификатом, а если он не включит OCSP Staple, то ответ OCSP скажет, что сертификат отозван, и браузер его не примет. Тада!

Причина № 3. массовый бухгалтер

Налоговики могут лишить подписи главбухов, которые сдают отчетность нескольких организаций. Например, компаний одной отрасли. Инспекторы решат, что все организации зависимые, а бухгалтер обслуживает участников схемы. Но сначала проверяющие запросят пояснения.

Нет ничего удивительного в том, что бухгалтер обслуживает компании из одной сферы. Объясните налоговикам, что найти специалистов в некоторых отраслях компаниям бывает трудно в силу специфики. Например, в строительстве или сельском хозяйстве. Поэтому многие компании одного вида деятельности обращаются к одному и тому же специалисту.

Аннулировать подпись инспекторы также могут, если представитель визирует документы подписью директора компании, а не своей. Но узнать об этом ревизоры смогут только на допросе директора. Тогда инспекторы аннулирую подпись именно руководителя.

Не пользуйтесь подписью руководителя компании. Безопаснее, если бухгалтер заверяет отчеты своей подписью по доверенности.

Довольно частая ситуация в Казахстане, когда требуется отменить используемые ранее сертификаты ЭЦП, обычно возникающая после смены ключевых сотрудников имеющих доступ к электронно цифровой подписи предприятия.

ЭЦП выдается и хранится в большинстве случаев, в виде файлов на компьютере или флешке пользователя, что делает незаметным процесс копирования ключей.И легким, незаконное использование чужой ЭЦП (получение различных справок о состоянии предприятия, отправка заведомо ложных форм налоговой отчетности).

Способов «контролировать» и «навредить» с каждым годом становится все больше и больше.

Про сертификаты:  Скачать сертификаты на кросс оптический | - Сертификаты соответствия

На данный момент проблем с незаконным использованием ЭЦП в Казахстане немного и большинство их не доходит до суда, но помимо вопроса «кому предоставлять доступ к ЭЦП предприятия» должен быть и вопрос, «Как перевыпустить ключи ЭЦП и прекратить действие старых ключей», которые могли быть скомпрометированы в случае изменения ключевых сотрудников предприятия.

Например, чем может грозить попадание ЭЦП физического лица в чужие руки:

  • Получение адреса прописки физ.лица
  • Получение данных по имеющемся имуществу
  • Получение данных о судимостях
  • Получение суммы пенсионных накоплений, вместе с списком рабочих мест

Например, чем может грозить попадание ЭЦП юридического лица в чужие руки:

  • Получение данных о зарегистрированном имуществе
  • Доступ к налоговой истории
  • Намеренная сдача неверных отчетов в различные надзорные органы

Не допускайте попадания ЭЦП в посторонние руки!

На вопрос: Как перевыпустить ЭЦП, ответит — .

А вопрос аннулирования устаревших ключей будет разобран в видео уроке:

Формат списка аннулированных сертификатов

Формат списка аннулированных сертификатов определен в рекомендациях Международного Союза по телекоммуникациям ITU (X.509) и документах PKIX [167]. Существуют две различные версии САС, первая версия описывалась в первых спецификациях X.509.

Сейчас списки САС первой версии не используются, поскольку они не позволяют решать проблемы масштабируемости и добавлять необходимые функции, а также не способны противостоять атакам подмены. В настоящее время общепринята вторая версия списков САС (см. табл. 8.1), в которой перечисленные проблемы решены при помощи дополнений.

Дополнения могут быть помечены как критичные и некритичные. Некритичные дополнения могут быть проигнорированы, если доверяющая сторона их не понимает (без каких-либо действий с ее стороны). Критичные дополнения должны обрабатываться доверяющей стороной и быть понятны ей.

Даже если некоторые дополнения не распознаются, доверяющая сторона должна, по крайней мере, понимать, что сертификаты, перечисленные в списке, аннулированы. Однако без распознавания определенных дополнений невозможно оценить, является ли САС полным.

Список аннулированных сертификатов (Certificate Revocation List – CRL) представляет собой структурированную двоичную запись в формате абстрактной синтаксической нотации ASN.1.

  1. первое поле tbs Cert List – это заверенное цифровой подписью содержание списка аннулированных сертификатов, который должен быть подписан (tbs – сокращение от английского выражения “to-be-signed”, означающего “быть подписанным”);
  2. второе поле Signature Algorithm содержит идентификатор алгоритма цифровой подписи, который применил издатель САС для подписания этого списка. Идентификатор алгоритма задается при помощи соответствующего идентификатора объекта (OID). Значение поля должно совпадать со значением идентификатора алгоритма, указываемого в соответствующем поле САС ;
  3. третье поле Signature Value содержит значение цифровой подписи, вычисленной на основе содержания САС ; значение подписи – это строка битов в формате ASN.1.

После этой структуры следует непосредственно содержание списка, который подписывается. САС состоит из набора обязательных полей и нескольких опциональных дополнений. В содержании всегда указывается идентификатор алгоритма цифровой подписи, имя издателя и дата выпуска САС.

В соответствии со стандартом RFC 3280 [167] рекомендуется включать дату выпуска нового САС, несмотря на то, что поле Next Update (следующее обновление) считается необязательным, а использование этого поля значительно усложняет валидацию сертификата.

Частичный сбой

На самом деле сегодня браузеры выполняют так называемую проверку отзыва сертификата с частичным сбоем. То есть браузер попытается проверить статус сертификата, но если ответ не пришёл совсем или не пришёл за короткий промежуток времени, то браузер просто забывает об этом. Ещё хуже, что Chrome даже не пытается проверить сертификат. Да, вы прочитали правильно, Chrome даже

не пытается

проверить статус сертификата, который ему поступает. Вы можете найти это странным, но я полностью согласен с их подходом и я рад сообщить, что Firefox тоже, вероятно, скоро начнёт работать так же. Позвольте объяснить. Проблема с полным сбоем очевидна:

если у CA плохой день, то у нас тоже он будет, вот так мы пришли к логике частичного сбоя. Браузер теперь пытается осуществить проверку сертификата на предмет отзыва, но полностью отказывается от неё, если она занимает слишком много времени или если кажется, что CA ушёл в офлайн.

Если вы осуществляете атаку MiTM, то вам нужно всего лишь блокировать запрос на проверку сертификата и создать впечатление, что CA не работает. Браузер тогда столкнётся с частичным сбоем проверки и продолжит радостно использовать отозванный сертификат.

Если вас никто не атакует, то каждый раз при проверке этого конкретного сертификата вы тратите время и ресурсы на проверку, что сертификат не отозван. И один раз, когда вас атакуют — тот единственный раз, когда вам по-настоящему нужна такая проверка — злоумышленник просто блокирует соединение, и браузер проходит через частичный сбой.

Адам Лэнгли из Google лучше всех описал, что такое отзыв сертификата: это ремень безопасности, который рвётся в момент аварии, и он прав. Вы каждый день садитесь в машину и пристёгиваете ремень безопасности — и он даёт вам приятное и комфортное ощущение безопасности.

Certificate Transparency Chrome CRL Firefox HTTPS let's encrypt OCSP отзыв сертификата Сертификаты центра сертификации
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат