Let’s Encrypt объявил о кросс-сертификации от IdenTrust / Хабр

Технологические процедуры обеспечения кросс-сертификации К технологическим процедурам обеспечения кросс-сертификации относятся

  • процедура формирования запроса на кросс-сертификат;
  • процедура изготовления кросс-сертификата.

Выполнение процедур зависит от модели доверительных отношений, для которой используется кросс-сертификат.

3. Формирования запроса на кросс-сертификат в распределенной модели

Формирование запроса на кросс-сертификат Центра Сертификации может выполняться в любой момент в процессе эксплуатации ПАК «КриптоПро УЦ» после первоначальной установки программного обеспечения Центра Сертификации. Данная процедура выполняется в соответствии с описанием раздела «Формирование запроса на кросс-сертификат Центра Сертификации» ЖТЯИ.

6. Изготовление кросс-сертификата в распределенной модели

Процедура изготовления кросс-сертификата в распределенной модели идентична по выполнению процедуре изготовления кросс-сертификата в иерархической модели. Настройки программного обпеспечения Центра Сертификации и Центра Регистрации, производимые для выполнения процедуры идентичны настройкам, осуществляемым при изготовлении кросс-сертификата в иерархической модели.

Let’s encrypt объявил о кросс-сертификации от identrust

Let's Encrypt объявил о кросс-сертификации от IdenTrust / Хабр

На сайте проекта Let’s Encrypt появилась

информация

, что 19 октября 2021 удостоверяющие центры «Let’s Encrypt Authority X1» и «Let’s Encrypt Authority X2» получили кросс-подписи от IdenTrust. Теперь сертификаты выпущенные Let’s Encrypt стали доверенными для всех основных браузеров. Проверить это можно, зайдя на страницу, защищенную первым сертификатом Let’s Encrypt:

helloworld.letsencrypt.org

. Если ваш браузер не выдает предупреждения, значит, считает сертификат этого домена доверенным.

Корневой УЦ «Let’s Encrypt — ISRG Root X1» будет добавлен в доверенные центры сертификации браузеров позже, однако достижение соответствующих договоренностей не умаляет значимость произведенной кросс-сертификации. Ведь браузеры пользователей должны обновиться, чтобы обновить свои списки доверия. Без этого пользователи какое-то время еще получали бы предупреждения о недоверенном сертификате при посещении всех сайтов защищенных сертификатами Let’s Encrypt.

Про сертификаты:  Оптические модули MLaxLink

«Let’s Encrypt Authority X1» – основной, а «Let’s Encrypt Authority X2» – резервный УЦ, на случай катастрофы и невозможности использования X1. Таким образом была предусмотрена отказоустойчивость выпускающего УЦ.
Закрытые ключи корневого и выпускающих УЦ хранятся на HSM, что гарантирует высокий уровень защиты от кражи ключей или несанкционированного доступа к ним.

об HSM

HSM или Hardware Security Module или Аппаратный Модуль Безопасности, представляет собой устройство, защищенное от постороннего вмешательства, как аппаратного, так и программного. При обнаружении попытки несанкционированного доступа, HSM может необратимо уничтожить данные, хранящиеся на нем. Внутри HSM генерируется и хранится ключевая пара и осуществляются все необходимые криптографические операции. Например, подпись сертификата конечного пользователя производится непосредственно внутри HSM по соответствующей команде, полученной от УЦ. Для доступа к настройкам или, например, запуска HSM требуется одновременная аутентификация нескольких сотрудников — хранителей ключей. Существуют как локально устанавливаемые модули HSM с интерфейсами USB или PCI-X, так и сетевые HSM c Ethernet интерфейсом.

Let’s Encrypt поддерживает технологию Certificate Transparency, поэтому все выпущенные сертификаты можно посмотреть по

логу CT

. Из лога видно, что сертификаты выдаются пока сроком на 3 месяца.

Полноценный запуск проекта назначен на неделю с 16 ноября. Полагаю, ребята из Let’s Encrypt должны хорошенько подготовиться к потенциально большой нагрузке в первые часы и дни после запуска.

Кросс-сертификация новых удостоверяющих центров

«Кросс-сертификация была обусловлена плановой сменой ключей уполномоченного лица, которая проводится один раз в 2 года. Теперь все УЦ, которым выдаются сертификаты для работы в системе «Контур-Экстерн», являются доверенными удостоверяющими центрами сети ФНС», — комментирует Михаил Сродных, главный специалист Удостоверяющего Центра компании СКБ Контур.

На сегодняшний день в структуру УЦ компании СКБ Контур входит 16 компонентов Центра сертификации и один Центр регистрации. Они организованы на одной платформе, с одними и теми же распорядительными документами и регламентом. Каждый Удостоверяющий Центр отвечает за свои конкретные задачи и цели.

Про сертификаты:  Школа игры на барабанах M-GROOVE в Москве, м. Дмитровская

Определение кросс сертификации

В соответствии с рекомендациями Х.509 (ITU-T Rec. X.509 (2000 Е)) сертификаты Центров Сертификации могут быть:

  • самоизданными (Self-issued certificate);
  • кросс-сертификатами (Cross certificate).

Самоизданные сертификаты – это сертификаты в которых поля «Издатель» (Issuer) и «Субъект» (Subject) совпадают и определяют сам Центр Сертификации.

Кросс-сертификаты – это сертификаты, в которых поля «Издатель» и «Субъект» различны и определяют различные Центры Сертификации.

С помощью кросс-сертификатов устанавливаются доверительные отношения между Центрами Сертификации различных удостоверяющих центров.

Установление доверительных отношений может быть основано на двух моделях:

В иерархической модели доверительных отношения (см. Рисунок 4), Центр Сертификации верхнего уровня (головной УЦ) имеет самоизданный сертификат, Центры Сертификации всех подчиненных УЦ имеют кросс-сертификаты, в которых поле «Субъект» определяет Центр Сертификации подчиненного УЦ текущего уровня, поле «Издатель» определяет Центр Сертификации удостоверяющего центра вышестоящего уровня, который издал этот кросс-сертификат.

Оцените статью
Мой сертификат
Добавить комментарий