Количество сертификатов электронной подписи зависит от числа сотрудников, работающих в сервисе ЭДО

Что такое ssl-сертификат?

SSL-сертификат – это цифровой сертификат, удостоверяющий подлинность веб-сайта и позволяющий использовать зашифрованное соединение. Аббревиатура SSL означает Secure Sockets Layer – протокол безопасности, создающий зашифрованное соединение между веб-сервером и веб-браузером.

Компаниям и организациям необходимо добавлять SSL-сертификаты на веб-сайты для защиты онлайн-транзакций и обеспечения конфиденциальности и безопасности клиентских данных.

SSL обеспечивает безопасность интернет-соединений и не позволяет злоумышленникам считывать или изменять информацию, передаваемую между двумя системами. Если в адресной строке рядом с веб-адресом отображается значок замка, значит этот веб-сайт защищен с помощью SSL.

С момента создания протокола SSL около 25 лет назад, он был доступен в нескольких версиях. При использовании каждой из этих версий в определенный момент возникали проблемы безопасности. Затем появилась обновленная переименованная версия протокола – TLS (Transport Layer Security), которая используется до сих пор. Однако аббревиатура SSL прижилась, поэтому новая версия протокола по-прежнему часто называется старым именем.

Что происходит по истечении срока действия ssl-сертификата?

Срок действия SSL-сертификатов истекает, он не длится вечно. Центр сертификации / Форум браузеров, который де-факто выступает в качестве регулирующего органа для индустрии SSL, заявляет, что срок действия SSL-сертификатов не должен превышать 27 месяцев.

Срок действия SSL-сертификатов истекает, поскольку, как и при любой другой форме аутентификации, информацию необходимо периодически перепроверять и убеждаться в ее актуальности. В интернете все очень быстро меняется, покупаются и продаются компании и веб-сайты.

Раньше SSL-сертификаты могли выдаваться на срок до пяти лет, который впоследствии был сокращен до трех лет, а в последнее время до двух лет плюс возможность использовать дополнительные три месяца. В 2020 году Google, Apple и Mozilla объявили, что будут применять годовые SSL-сертификаты, несмотря на то, что это предложение было отклонено Центрами сертификации / Форумом браузеров.

Когда срок действия SSL-сертификата истекает, соответствующий сайт становится недоступным. Когда пользователь открывает веб-сайт в браузере, в течение нескольких миллисекунд проверяется действительность SSL-сертификата (в рамках подтверждения SSL-соединения).

У пользователей есть возможность продолжить, однако не рекомендуется делать это, учитывая связанные риски кибербезопасности, в том числе вероятность столкнуться с вредоносными программами. Это существенно влияет на показатель отказов при посещении веб-сайта, поскольку пользователи быстро покидают его.

Осведомленность о сроке истечения SSL-сертификатов является проблемой для крупных предприятий. В то время как малые и средние предприятия имеют один или несколько SSL-сертификатов, крупные предприятия, работающие на различных рынках и имеющие множество веб-сайтов и сетей, имеют также множество SSL-сертификатов.

Поэтому причиной того, что компания допустила истечение срока действия своего SSL-сертификата, обычно является недосмотр, а не отсутствие компетентности. Лучший способ для крупных компаний поддерживать осведомленность об истечении срока действия SSL-сертификатов – использовать платформу управления сертификатами.

На рынке представлены различные продукты, которые можно найти с помощью онлайн-поиска. Это позволит компаниям просматривать цифровые сертификаты и управлять ими в рамках всей инфраструктуры. При использовании такой платформы важно регулярно входить в систему и проверять, когда необходимо продлить обновления.

Если срок действия сертификата истечет, сертификат станет недействительным, и выполнять безопасные транзакции на веб-сайте станет невозможно. Центр сертификации предложит обновить SSL-сертификат до истечения срока его действия.

Все центры сертификации и службы SSL, используемые для получения SSL-сертификатов, отправляют уведомления об истечении срока действия сертификата с заданной периодичностью, обычно начиная с 90 дней до окончания срока действия сертификата. Постарайтесь, чтобы эти уведомления отправлялись на несколько адресов электронной почты, а не одному человеку, который к моменту отправки уведомления может покинуть компанию или перейти на другую должность. Убедитесь, что соответствующие сотрудники компании включены в список рассылки и своевременно получат уведомление.

Ii. порядок формирования и ведения единого реестра

3. Функции по формированию и ведению единого реестра осуществляет подведомственное национальному органу по аккредитации федеральное государственное учреждение (далее – учреждение).

Формирование и ведение единого реестра включают в себя сбор переданных органами по сертификации документов и сведений о сертификатах соответствия, внесение в единый реестр таких документов и сведений о сертификатах соответствия, их хранение, систематизацию, актуализацию и изменение, в том числе текущий статус сертификата соответствия, а также защиту содержащейся в едином реестре информации.

4. Формирование и ведение единого реестра осуществляются в электронном виде как части федеральной государственной информационной системы в области аккредитации (далее – федеральная система в области аккредитации), в том числе с учетом совместимости и взаимодействия с иными информационными системами и информационно-телекоммуникационными сетями, в условиях, обеспечивающих предотвращение несанкционированного доступа к нему.

В целях защиты сведений и документов, содержащихся в едином реестре и составляющих коммерческую, иную охраняемую законом тайну, других сведений, доступ к которым ограничен федеральными законами, обеспечивается предотвращение несанкционированного доступа к указанной информации и (или) передачи такой информации лицам, не имеющим права на доступ к этой информации.

Должностные лица национального органа по аккредитации, должностные лица и работники учреждения при исполнении настоящего Положения обеспечивают сохранность сведений, ставших им известными в связи с выполнением ими должностных (служебных) обязанностей, в том числе связанных с деятельностью национального органа по аккредитации, составляющих коммерческую, иную охраняемую законом тайну, и несут установленную законодательством Российской Федерации ответственность за разглашение этих сведений.

5. Формирование и ведение единого реестра осуществляются с учетом сведений об аккредитованных лицах, о результатах их деятельности, содержащихся в федеральной системе в области аккредитации.

6. Сведения и электронные образы (скан-копии) документов, передаваемые в единый реестр органом по сертификации для внесения, представляются в электронном виде с использованием информационно-телекоммуникационной сети “Интернет” и подписываются и (или) заверяются усиленной квалифицированной электронной подписью уполномоченного лица органа по сертификации.

7. Внесение сведений и электронных образов (скан-копий) документов в единый реестр, а также формирование записи о сертификате соответствия осуществляются с применением структурного, форматно-логического и иных видов контроля соответствия включаемых в записи о сертификатах соответствия сведений и документов требованиям настоящего Положения, законодательства Российской Федерации и права Евразийского экономического союза, направленных на обеспечение качества государственных данных и сервисов.

При осуществлении указанных структурного, форматно-логического и иных видов контроля обеспечивается проверка соответствия вносимых в единый реестр сведений об аккредитованных лицах и результатах их деятельности сведениям, содержащимся в федеральной системе в области аккредитации.

Сведения и электронные образы (скан-копии) документов, переданные органами по сертификации для внесения в единый реестр, вносятся в единый реестр в течение одного рабочего дня с даты их поступления по итогам проверки средствами структурного, форматно-логического и иных видов контроля.

8. В случае выявления средствами структурного, форматно-логического и иных видов контроля несоответствия переданных для внесения в единый реестр сведений и электронных образов (скан-копий) представленных документов требованиям, предъявляемым к сведениям и документам, содержащимся в записи о выданном органом по сертификации сертификате соответствия, сертификат соответствия не подлежит регистрации, а сведения о сертификате соответствия не подлежат внесению в единый реестр, о чем орган по сертификации, осуществивший передачу сведений, уведомляется в электронном виде при помощи функциональных возможностей федеральной системы в области аккредитации.

9. Основанием для внесения в единый реестр сведений о сертификатах соответствия являются принятые в установленном порядке решения:

а) о выдаче сертификата соответствия;

б) о приостановлении, возобновлении, продлении или прекращении действия сертификата соответствия;

в) о результатах периодической оценки сертифицированной продукции (инспекционного контроля) и (или) об изменении даты (периода) проведения инспекционного контроля (в случае, если его проведение предусмотрено схемой сертификации, техническими регламентами, документами по стандартизации).

10. При внесении сведений о сертификате соответствия в единый реестр на основании решения о выдаче сертификата соответствия сертификат соответствия считается выданным с момента внесения сведений о нем в единый реестр.

Срок действия сертификата соответствия определяется соответствующим техническим регламентом, документом по стандартизации и исчисляется со дня внесения сведений о сертификате соответствия в единый реестр.

В случае внесения в единый реестр сведений о принятых решениях о приостановлении, возобновлении, продлении или прекращении действия сертификата соответствия сертификат соответствия считается соответственно приостановленным, возобновленным, продленным или прекращенным с момента внесения в единый реестр сведений о соответствующих решениях.

11. В единый реестр передаются и вносятся сведения о выданных в рамках обязательного подтверждения соответствия:

а) сертификатах соответствия, удостоверяющих соответствие продукции требованиям технических регламентов Российской Федерации;

б) сертификатах соответствия на продукцию, включенную в Единый перечень продукции, подлежащей обязательной сертификации;

в) сертификатах соответствия продукции требованиям технических регламентов Евразийского экономического союза (технических регламентов Таможенного союза);

г) сертификатах соответствия на продукцию, включенную в единый перечень продукции, подлежащей обязательному подтверждению соответствия с выдачей сертификатов соответствия и деклараций о соответствии по единой форме.

12. В единый реестр наряду со сведениями о сертификатах соответствия передаются и вносятся сведения и электронные образы (скан-копии) документов о результатах проведения органами по сертификации инспекционного контроля (планового и внепланового) за объектами сертификации (в случае, если его проведение предусмотрено схемой сертификации, техническими регламентами, документами по стандартизации), сведения о датах (периоде), на которые запланировано его проведение, информация о периодичности его проведения в соответствии с требованиями технических регламентов, документов по стандартизации, а также сведения о переносе даты (периода) его проведения с указанием соответствующей причины.

13. В единый реестр не передаются и не вносятся сведения о сертификатах соответствия на продукцию (работы, услуги), поставляемую для федеральных государственных нужд по государственному оборонному заказу, на продукцию, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также на продукцию (работы, услуги), используемую в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, и на продукцию (работы, услуги), сведения о которой составляют государственную тайну.

14. Сведения о сертификатах соответствия передаются органами по сертификации:

в течение одного рабочего дня со дня принятия органом по сертификации решения о выдаче сертификата соответствия;

в течение одного рабочего дня со дня принятия решения органа по сертификации о приостановлении, возобновлении, продлении или прекращении действия выданного сертификата соответствия;

в течение одного рабочего дня со дня оформления органом по сертификации акта инспекционного контроля, принятия решения о переносе даты (периода) проведения планового или внепланового инспекционного контроля.

В исключительных случаях указанные сроки передачи сведений о сертификатах соответствия органами по сертификации могут быть продлены, если причиной невозможности их соблюдения явились факты проведения технических работ в федеральной системе в области аккредитации, влекущих невозможность передачи органом по сертификации указанных сведений.

В этом случае сроки передачи сведений о сертификатах соответствия продлеваются пропорционально времени, затраченному на проведение технических работ. Сведения о времени, затраченном на проведение технических работ, а также информация о запланированном проведении таких работ публикуются на официальном сайте национального органа по аккредитации в информационно-телекоммуникационной сети “Интернет”.

15. Доступ к функциям единого реестра с целью внесения органами по сертификации сведений в отношении выданных сертификатов соответствия предоставляется с использованием федеральной государственной информационной системы “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме”.

16. Сведения о сертификате соответствия не подлежат внесению в единый реестр в случае поступления в национальный орган по аккредитации сведений об отсутствии информации о заявителе, являющемся изготовителем, зарегистрированным в установленном порядке на территории Российской Федерации, в реестре уведомлений, в который уполномоченными органами осуществляется внесение сведений в соответствии с Правилами представления уведомлений о начале осуществления отдельных видов предпринимательской деятельности и учета указанных уведомлений, утвержденными постановлением Правительства Российской Федерации от 16 июля 2009 г.

N 584 “Об уведомительном порядке начала осуществления отдельных видов предпринимательской деятельности”, а также в случае поступления соответствующей информации и сведений, обрабатываемых автоматически средствами федеральной системы в области аккредитации, в распоряжение национального органа по аккредитации.

17. Для внесения в единый реестр сведений о сертификате соответствия в единый реестр передаются следующие сведения и электронные образы (скан-копии) документов:

а) регистрационный номер выданного сертификата соответствия, который формируется автоматически, срок действия, учетный (индивидуальный) номер бланка, на котором оформлен выданный сертификат соответствия (номер бланка не требуется в случае оформления сертификата соответствия в электронной форме в соответствии с законодательством Российской Федерации о техническом регулировании);

б) сведения о приложении (приложениях) к сертификату соответствия (типографский номер бланка приложения, количество листов в приложении (типографский номер бланка приложения не требуется в случае, если приложение оформлено в электронной форме в соответствии с законодательством Российской Федерации о техническом регулировании), а также информация, содержащаяся в приложении (при наличии приложения);

в) фамилии, имена и отчества (при наличии) руководителя (уполномоченного лица) органа по сертификации и эксперта (эксперта-аудитора) (экспертов (экспертов-аудиторов) органа по сертификации, подписавших сертификат соответствия;

г) сведения о проведении инспекционного контроля за сертифицируемой продукцией, в том числе сведения о периодичности и сроках его проведения, об изменении сроков, электронные образы (скан-копии) доказательственных материалов, подтверждающих, что продукция продолжает соответствовать установленным требованиям (в том числе требованиям, связанным с требованиями к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, установленным законодательством государств – членов Евразийского экономического союза) (в случае, если проведение инспекционного контроля предусмотрено схемой сертификации, техническими регламентами, документами по стандартизации);

д) дата и причина приостановления, возобновления или прекращения действия сертификата соответствия с приложением электронного образа (скан-копии) документа, подтверждающего соответствующее решение органа по сертификации;

е) дата, срок продления действия сертификата соответствия и основание для его продления с приложением электронного образа (скан-копии), документа, подтверждающего соответствующее решение органа по сертификации;

ж) регистрационный номер таможенной декларации или иных документов, оформляемых при таможенном декларировании на продукцию, ввезенную для проведения исследований и испытаний в качестве проб (образцов) для целей подтверждения соответствия, или сведения о причинах, по которым таможенная декларация в соответствии с правом Евразийского экономического союза, законодательством Российской Федерации о таможенном регулировании не оформляется;

з) сведения о заявителе, а также контактные данные, в том числе для потребителей, включающие в себя:

для юридического лица – полное наименование заявителя, адрес юридического лица и адрес (адреса) места осуществления деятельности (в случае, если указанные место и адрес различаются), фамилию, имя и отчество (при наличии) руководителя (уполномоченного представителя) юридического лица, а также идентификационный номер налогоплательщика либо регистрационный или учетный (индивидуальный, идентификационный) номер заявителя, присваиваемый при государственной регистрации в соответствии с законодательством государств – членов Евразийского экономического союза, номер телефона и адрес электронной почты;

для физического лица, зарегистрированного в качестве индивидуального предпринимателя, – фамилию, имя и отчество (при наличии), адрес регистрации по месту жительства (месту пребывания) и адрес (адреса) места осуществления деятельности (в случае, если указанные место и адрес различаются), а также идентификационный номер налогоплательщика либо регистрационный или учетный (индивидуальный, идентификационный) номер заявителя, присваиваемый при государственной регистрации физического лица, зарегистрированного в качестве индивидуального предпринимателя, в соответствии с законодательством государств – членов Евразийского экономического союза, номер телефона и адрес электронной почты;

и) наименование и место нахождения изготовителя продукции, адрес (адреса) места осуществления деятельности по изготовлению продукции, в том числе с указанием глобального номера местоположения GLN (Global Location Number) в случае сертификации продукции, произведенной за пределами территории Российской Федерации и территории стран – членов Евразийского экономического союза;

к) наименование и место нахождения органа по сертификации, выдавшего сертификат соответствия;

л) информация об объекте сертификации, позволяющая его идентифицировать, в том числе сведения о продукции, включая:

наименование и обозначение продукции и (или) иное условное обозначение, присвоенное изготовителем продукции (при наличии);

наименование продукции (при наличии);

глобальный идентификационный номер торговой единицы (GTIN) (при наличии, по выбору заявителя);

иные сведения о продукции, обеспечивающие ее идентификацию (товарный знак, размещенный на продукции (ее упаковке), модель, артикул, сорт и иные сведения) (при наличии);

обозначение и наименование документа (документов), в соответствии с которым изготовлена продукция (стандарт, стандарт организации, технические условия или иной документ) (при наличии);

наименование объекта сертификации (серийный выпуск, партия или единичное изделие). Для продукции серийного выпуска производится запись “серийный выпуск”. Для партии продукции указывается размер партии, для единичного изделия – заводской номер изделия.

Для партии продукции указываются реквизиты товаросопроводительной документации, идентифицирующей партию продукции, идентификатор партии, размер партии, а также наименование единицы измерения размера партии. Для единичного изделия – реквизиты товаросопроводительной документации, идентифицирующей единичное изделие, заводской номер изделия, дата изготовления единицы продукции, дата истечения срока годности единицы продукции;

м) код (коды) продукции в соответствии с единой Товарной номенклатурой внешнеэкономической деятельности Евразийского экономического союза и (или) код (коды) продукции в соответствии с Общероссийским классификатором продукции по видам экономической деятельности;

н) наименование и обозначение (в зависимости от вида сертификата соответствия, указанного в пункте 11 настоящего Положения, в отношении которого представляются сведения):

технического регламента (технических регламентов), на соответствие требованиям которого проводилась сертификация;

нормативных документов с указанием разделов (пунктов, подпунктов), на соответствие требованиям которых проведена сертификация (при внесении в единый реестр сведений допускается не указывать разделы (пункты, подпункты) нормативных документов в случае применения нормативных документов в целом);

нормативных документов с указанием разделов (пунктов, подпунктов), на соответствие требованиям которых проведена сертификация и которые предусмотрены единым перечнем продукции, подлежащей обязательному подтверждению соответствия с выдачей сертификатов соответствия и деклараций о соответствии по единой форме (при внесении в единый реестр сведений допускается не указывать разделы (пункты, подпункты) нормативных документов в случае применения нормативных документов в целом);

о) сведения о документах, подтверждающих соответствие продукции требованиям технического регламента (технических регламентов) либо требованиям нормативных документов, документов по стандартизации (в зависимости от вида сертификата соответствия, указанного в пункте 11 настоящего Положения, в отношении которого представляются сведения), электронные образы (скан-копии) документов, включая:

протоколы исследований (испытаний) и измерений с указанием номера, даты, наименования испытательной лаборатории (центра), а в случае, если это предусмотрено схемой сертификации, – наименования аккредитованной испытательной лаборатории (центра), включенной в единый реестр органов по оценке соответствия Евразийского экономического союза, уникального номера записи об аккредитации в реестре аккредитованных лиц;

акт анализа состояния производства (в случаях, предусмотренных схемой сертификации) с указанием номера и даты, периода времени и места проведения обследования, фамилии, имени, отчества (при наличии) подписавшего его эксперта (эксперта-аудитора);

сертификат системы менеджмента (в случаях, предусмотренных схемой сертификации) с указанием номера, даты, наименования органа по сертификации систем менеджмента, выдавшего сертификат системы менеджмента, уникального номера записи об аккредитации в реестре аккредитованных лиц;

заключение об исследовании проекта продукции (в случаях, предусмотренных схемой сертификации) с указанием номера и даты оформления;

заключение об исследовании типа продукции (в случаях, предусмотренных схемой сертификации) с указанием номера и даты оформления;

другие документы, представленные заявителем в качестве доказательства соответствия продукции требованиям технического регламента (технических регламентов), нормативных документов и документов по стандартизации;

п) сведения о примененной схеме сертификации;

р) сведения, представленные в сертификате соответствия в качестве дополнительной информации:

обозначение и наименование стандарта, включенного в перечень международных и региональных (межгосударственных) стандартов, а в случае их отсутствия – национальных (государственных) стандартов, в результате применения которых на добровольной основе обеспечивается соблюдение требований технического регламента (технических регламентов), или обозначение разделов (пунктов, подпунктов) и наименование такого стандарта, если соблюдение требований технического регламента (технических регламентов) может быть обеспечено применением отдельных разделов (пунктов, подпунктов) этого стандарта, а не стандарта в целом (в случае их применения);

иные стандарты и документы (в случае их применения);

условия и срок хранения продукции (в случаях, предусмотренных техническими регламентами, нормативными документами, документами по стандартизации);

срок службы (годности) или ресурс продукции (в случаях, предусмотренных техническими регламентами, нормативными документами и документами по стандартизации);

иная информация, в том числе сведения об отборе образцов с приложением скан-копии акта отбора образцов (при наличии), дате изготовления отобранных образцов (проб) продукции, прошедших исследования (испытания) и измерения (при наличии);

с) сведения о зарегистрированном заявлении (заявке) на сертификацию продукции с указанием заявителя, даты регистрации заявления (заявки), объекта подтверждения соответствия с указанием наименования продукции, группы (вида) продукции, производителя продукции с приложением электронного образа (скан-копии) заявления (заявки) и прилагаемых к нему документов в соответствии со схемами оценки соответствия (за исключением тех прилагаемых документов, сведения о которых внесены в единый реестр на основании подпунктов “б”, “г”, “е”, “о”, “р” и “т” настоящего пункта);

т) электронные образы (скан-копии) документов (договор с аккредитованным органом по сертификации (аккредитованной испытательной лабораторией (центром) и (или) письмо от аккредитованного лица), подтверждающих необходимое количество (вес и объем) ввозимых проб (образцов) продукции.

18. Орган по сертификации, действие аккредитации которого приостановлено, обязан вносить в единый реестр сведения:

а) о сроках проведения и результатах инспекционного контроля за объектами сертификации, если такой контроль предусмотрен соответствующей схемой обязательной сертификации и (или) договором с заявителем по сертификации и осуществлен в период действия аккредитации органа по сертификации, с приложением электронного образа (скан-копии) подтверждающего (подтверждающих) документа (документов);

б) о принятых решениях о приостановлении или прекращении действия выданных этим органом по сертификации сертификатов соответствия с приложением электронного образа (скан-копии) документа, подтверждающего соответствующее решение.

19. Не допускается внесение в единый реестр сведений о выдаче органом по сертификации сертификата соответствия в случае, если дата поступления таких сведений в национальный орган по аккредитации приходится на период приостановления, сокращения области аккредитации, соответствующей объекту сертификации, либо прекращения действия аккредитации органа по сертификации.

20. Для предотвращения утраты сведений о сертификатах соответствия, содержащихся в едином реестре, формируется его резервная копия.

21. Сертификатам соответствия, сведения о которых внесены в единый реестр, автоматически присваиваются следующие статусы:

а) “действует” – действует с момента внесения в единый реестр сведений о принятом решении о выдаче сертификата соответствия, возобновлении, продлении его действия и до момента внесения сведений о принятом решении о приостановлении, прекращении действия сертификата соответствия, истечения запланированного срока его действия, перевода сведений о сертификате соответствия в архивную часть единого реестра;

б) “приостановлен” – действует с момента внесения в единый реестр сведений о принятом решении о приостановлении действия сертификата соответствия и до момента внесения сведений о принятом решении о возобновлении, прекращении действия сертификата соответствия;

в) “прекращен” – действует с момента внесения в единый реестр сведений о принятом решении о прекращении действия сертификата соответствия;

г) “архивный” – действует с момента перевода сведений о сертификате соответствия в архивную часть единого реестра, истечения запланированного срока его действия.

22. Федеральные органы исполнительной власти, уполномоченные на осуществление государственного контроля (надзора) за соблюдением требований технических регламентов Евразийского экономического союза (технических регламентов Таможенного союза), вносят в единый реестр сведения о направлении информации о необходимости приостановления или прекращения действия сертификата соответствия в выдавший его орган по сертификации, о чем заявителю направляется уведомление, формируемое федеральной системой в области аккредитации в автоматическом режиме, на адрес электронной почты, указанный при внесении сведений о сертификате соответствия в единый реестр.

Внесение указанных сведений осуществляется в течение одного рабочего дня с даты принятия соответствующего решения по итогам их проверки средствами структурного, форматно-логического и иных видов контроля. Указанный срок в том числе исчисляется исходя из наличия или отсутствия факта проведения технических работ в федеральной системе в области аккредитации, влекущих невозможность внесения указанных сведений в единый реестр на дату принятия соответствующего решения и в предусмотренный для этого срок.

Запись о внесении в единый реестр сведений о направлении уполномоченным органом государственного контроля информации о необходимости приостановления или прекращения действия сертификата соответствия заверяется усиленной квалифицированной электронной подписью должностного лица органа государственного контроля, осуществившего внесение указанных сведений.

23. Финансовое обеспечение расходов, связанных с формированием и ведением единого реестра, осуществляется в порядке, определяемом национальным органом по аккредитации.

Iii. предоставление сведений о сертификатах соответствия, содержащихся в едином реестре

24. Органам государственной власти, органам местного самоуправления, юридическим лицам, а также физическим лицам (далее – заинтересованные лица) обеспечивается бесплатный свободный доступ к сведениям о сертификатах соответствия, содержащимся в едином реестре, за исключением сведений, составляющих государственную, коммерческую, иную охраняемую законом тайну, других сведений, доступ к которым ограничен в соответствии с федеральными законами.

25. Предоставление сведений о сертификатах соответствия, содержащихся в едином реестре, органам государственной власти осуществляется с использованием единой системы межведомственного электронного взаимодействия и подключаемых к ней региональных систем межведомственного электронного взаимодействия.

26. Предоставление сведений о сертификатах соответствия осуществляется посредством их публикации на официальном сайте национального органа по аккредитации в информационно-телекоммуникационной сети “Интернет”, за исключением электронных образов (скан-копий) документов, передача и внесение которых в единый реестр предусмотрены настоящим Положением, а также посредством формирования электронной выписки (в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и законодательством Российской Федерации в области персональных данных), сформированной федеральной системой в области аккредитации в автоматическом режиме по запросу заинтересованных лиц.

Предоставление сведений о сертификатах соответствия, содержащихся в едином реестре, национальным органом по аккредитации на бумажном носителе не осуществляется.

27. Использование сведений о сертификатах соответствия, содержащихся в едином реестре, в ущерб правам и законным интересам заинтересованных лиц влечет ответственность, предусмотренную законодательством Российской Федерации.

28. Плата за предоставление сведений о сертификатах соответствия, содержащихся в едином реестре, не взимается.

Выдано рекордное количество сертификатов электронной цифровой подписи

Другие виды сертификатов

Напоследок хотелось бы сказать, что помимо обозначенной градации сертификатов — DV, OV, EV — существуют и другие типы сертификатов. Например, сертификаты могут отличаться по количеству доменов, на которые они выдаются. Однодоменные сертификаты (Single Certificate) привязываются к одному домену, указываемому при покупке.

сертификаты (типа Subject Alternative Name, Unified Communications Certificate, Multi Domain Certificate) будут действовать уже для большего числа доменных имен и серверов, но за каждое наименование, включаемое в список сверх обозначенного количества, придется доплачивать отдельно.

Еще существуют поддоменные сертификаты (типа WildCard), которые охватывают все поддомены указанного при регистрации доменного имени. Иногда могут потребоваться сертификаты, которые будут одновременно включать помимо доменов несколько поддоменов.

В таких случаях стоит приобретать сертификаты типа Comodo PositiveSSL Multi-Domain Wildcard и Comodo Multi-Domain Wildcard SSL. Отметим, что в этом случае можно также приобрести обычный мультидоменный сертификат, в котором просто указать необходимые поддомены.

Получить SSL-сертификат можно и самостоятельно: пара ключей для этого получается через любой генератор, например, бесплатный OpenSSL. Такие защищенные каналы связи можно с легкостью использовать для внутренних нужд компании: для обмена между устройствами сети или приложениями.

P.S. Несколько материалов по теме из нашего блога:

Как обеспечить безопасность онлайн-сеанса

Личные данные и платежные реквизиты можно указывать только на веб-сайтах, защищенных сертификатами с расширенной проверкой или сертификатами, подтверждающие организацию. Сертификаты, подтверждающие домен, не подходят для сайтов электронной коммерции.

Сайты, защищенные сертификатами с расширенной проверкой или сертификатами, подтверждающими организацию, можно определить, посмотрев на адресную строку. Для сайтов, защищенных сертификатами с расширенной проверкой, название организации отображается в адресной строке.

Ознакомьтесь с политикой конфиденциальности веб-сайта. Это позволяет понять, как будут использоваться ваши данные. Законопослушные компании обычно прозрачно описывают сбор и действия с данными.

Обратите внимание на сигналы и индикаторы, вызывающие доверие к веб-сайту.
Наряду с SSL-сертификатами, это могут быть логотипы или значки, показывающие репутацию и соответствие веб-сайта определенным стандартам безопасности. Другие признаки, по которым можно оценить сайт, включают проверку физического адреса и номера телефона, ознакомление с политикой возврата товаров и средств, проверку правдоподобности цен – ведь бесплатный сыр может оказаться в мышеловке.

Как работают ssl-сертификаты?

Использование SSL гарантирует, что данные, передаваемые между пользователями и веб-сайтами или между двумя системами, невозможно прочитать сторонним лицам или системам. SSL использует алгоритмы для шифрования передаваемых данных, что не позволяет злоумышленникам считать их при передаче через зашифрованное соединение.

Процесс работает следующим образом:

1. Браузер или сервер пытается подключиться к веб-сайту (веб-серверу), защищенному с помощью SSL.
2. Браузер или сервер запрашивает идентификацию у веб-сервера.
3. В ответ веб-сервер отправляет браузеру или серверу копию своего SSL-сертификата.
4. Браузер или сервер проверяет, является ли этот SSL-сертификат доверенным. Если это так, он сообщает об этом веб-серверу.
5. Затем веб-сервер возвращает подтверждение с цифровой подписью и начинает сеанс, зашифрованный с использованием SSL.
6. Зашифрованные данные используются совместно браузером или сервером и веб-сервером.

Этот процесс иногда называют подтверждением SSL-соединения. Хотя по описанию этот процесс выглядит длительным, в реальности он занимает миллисекунды.

Количество сертификатов электронной подписи зависит от числа сотрудников, работающих в сервисе эдо

Откуда берутся сертификаты?

Еще совсем недавно было всего 2 способа заполучить X.509 сертификат, но времена меняются и с недавнего времени есть и третий путь.

1. Создать свой собственный сертификат и самому же его подписать. Плюсы — это бесплатно, минусы — сертификат будет принят лишь вами и, в лучшем случае, вашей организацией.

   

2. Приобрести сертификат в УЦ. Это будет стоить денег в зависимости от различных его характеристик и возможностей, указанных выше.
3. Получить бесплатный сертификат LetsEncrypt, доступны только самые простые DV сертификаты.

Для первого сценария достаточно пары команд и чтобы 2 раза не вставать создадим сертификат с алгоритмом эллиптических кривых. Первым шагом нужно создать закрытый ключ. Считается, что шифрование с алгоритмом эллиптических кривых дает больший выхлоп, если измерять в тактах CPU, либо байтах длины ключа. Поддержка ECC не определена однозначно в TLS < 1.2.

openssl ecparam -name secp521r1 -genkey -param_enc explicit -out private-key.pem

Далее, создает CSR — запрос на подписание сертификата.

openssl req -new -sha256 -key private.key -out server.csr -days 730

И подписываем.

openssl x509 -req -sha256 -days 365 -in server.csr -signkey private.key -out public.crt

Результат можно посмотреть командой:

openssl x509 -text -noout -in public.crt

Openssl имеет огромное количество опций и команд. Man страница не очень полезна, справочник удобнее использовать так:

openssl -help
openssl x509 -help
openssl s_client -help

Ровно то же самое можно сделать с помощью java утилиты keytool.

keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity 360 -keysize 2048

Следует серия вопросов, чтобы было чем запомнить поля owner и issuer

What is your first and last name?
What is the name of your organizational unit?
What is the name of your organization?
What is the name of your City or Locality?
What is the name of your State or Province?
What is the two-letter country code for this unit?
Is CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU correct?

Конвертируем связку ключей из проприетарного формата в PKCS12.

keytool -importkeystore -srckeystore keystore.jks -destkeystore keystore.jks -deststoretype pkcs12

Смотрим на результат:

Alias name: selfsigned
Creation date: 20.01.2021
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Issuer: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Serial number: 1f170cb9
Valid from: Sat Jan 20 18:33:42 MSK 2021 until: Tue Jan 15 18:33:42 MSK 2021
Certificate fingerprints:
     MD5:  B3:E9:92:87:13:71:2D:36:60:AD:B5:1F:24:16:51:05
     SHA1: 26:08:39:19:31:53:C5:43:1E:ED:2E:78:36:43:54:9B:EA:D4:EF:9A
     SHA256: FD:42:C9:6D:F6:2A:F1:A3:BC:24:EA:34:DC:12:02:69:86:39:F1:FC:1B:64:07:FD:E1:02:57:64:D1:55:02:3D

Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 30 95 58 E3 9E 76 1D FB   92 44 9D 95 47 94 E4 97  0.X..v...D..G...
0010: C8 1E F1 92                                        ....
]
]

Значению ObjectId: 2.5.29.14 соответствует определение ASN.1, согласно RFC 3280 оно всегда non-critical. Точно так же можно узнать смысл и возможные значения других ObjectId, которые присутствуют в сертификате X.509.

subjectKeyIdentifier EXTENSION ::= {
    SYNTAX SubjectKeyIdentifier
    IDENTIFIED BY id-ce-subjectKeyIdentifier
}

SubjectKeyIdentifier ::= KeyIdentifier

Словарный запас

Определение X.509 сертификатов есть в архиве ITU-T

Certificate  ::=  SEQUENCE  {
     tbsCertificate       TBSCertificate,
     signatureAlgorithm   AlgorithmIdentifier,
     signatureValue       BIT STRING  }

TBSCertificate  ::=  SEQUENCE  {
     version         [0]  EXPLICIT Version DEFAULT v1,
     serialNumber         CertificateSerialNumber,
     signature            AlgorithmIdentifier,
     issuer               Name,
     validity             Validity,
     subject              Name,
     subjectPublicKeyInfo SubjectPublicKeyInfo,
     issuerUniqueID  [1]  IMPLICIT UniqueIdentifier OPTIONAL,
                          -- If present, version MUST be v2 or v3

Для того, чтобы досконально понять обозначения и синтаксис, придется читать спеки X.680 редакции 2008 г., где есть полное описание ASN.1. В понятиях ASN.1SEQUENCE обозначает примерно то же самое, что и struct в Си. Это может сбить с толку, ведь по семантике оно должно было соответствовать скорее массиву. И тем не менее.

Стандарт X.690 определяет следующие правила кодирования структур данных, созданных в соответствии с ASN.1: BER (Basic Encoding Rules), CER (Canonical Encoding Rules), DER (Distinguished Encoding Rules). Есть даже XER (XML Encoding Rules), который на практике мне никогда не встречался.

Да, но для чего нужны сертификаты X.509, которые доставляют столько головной боли? Первая и основная функция сертификатов X.509 — служить хранилищем открытого или публичного ключа PKI (public key infrastructure). К этой функции нареканий нет, а вот со второй не все так однозначно.

Вторая функция сертификатов X.509 заключается в том, чтобы предъявитель сего был принят человеком, либо программой в качестве истинного владельца некоего цифрового актива: доменного имени, веб сайта и пр. Это получается по-разному, далеко не все сертификаты имеют высокую ликвидность, если пользоваться финансовой терминологией.