- Технологические процедуры обеспечения кросс-сертификации К технологическим процедурам обеспечения кросс-сертификации относятся
- 3. Формирования запроса на кросс-сертификат в распределенной модели
- 6. Изготовление кросс-сертификата в распределенной модели
- Let’s encrypt объявил о кросс-сертификации от identrust
- Кросс-сертификация новых удостоверяющих центров
- Определение кросс сертификации
Технологические процедуры обеспечения кросс-сертификации К технологическим процедурам обеспечения кросс-сертификации относятся
- процедура формирования запроса на кросс-сертификат;
- процедура изготовления кросс-сертификата.
Выполнение процедур зависит от модели доверительных отношений, для которой используется кросс-сертификат.
3. Формирования запроса на кросс-сертификат в распределенной модели
Формирование запроса на кросс-сертификат Центра Сертификации может выполняться в любой момент в процессе эксплуатации ПАК «КриптоПро УЦ» после первоначальной установки программного обеспечения Центра Сертификации. Данная процедура выполняется в соответствии с описанием раздела «Формирование запроса на кросс-сертификат Центра Сертификации» ЖТЯИ.
6. Изготовление кросс-сертификата в распределенной модели
Процедура изготовления кросс-сертификата в распределенной модели идентична по выполнению процедуре изготовления кросс-сертификата в иерархической модели. Настройки программного обпеспечения Центра Сертификации и Центра Регистрации, производимые для выполнения процедуры идентичны настройкам, осуществляемым при изготовлении кросс-сертификата в иерархической модели.
Let’s encrypt объявил о кросс-сертификации от identrust

На сайте проекта Let’s Encrypt появилась
информация
, что 19 октября 2021 удостоверяющие центры «Let’s Encrypt Authority X1» и «Let’s Encrypt Authority X2» получили кросс-подписи от IdenTrust. Теперь сертификаты выпущенные Let’s Encrypt стали доверенными для всех основных браузеров. Проверить это можно, зайдя на страницу, защищенную первым сертификатом Let’s Encrypt:
helloworld.letsencrypt.org
. Если ваш браузер не выдает предупреждения, значит, считает сертификат этого домена доверенным.
Корневой УЦ «Let’s Encrypt — ISRG Root X1» будет добавлен в доверенные центры сертификации браузеров позже, однако достижение соответствующих договоренностей не умаляет значимость произведенной кросс-сертификации. Ведь браузеры пользователей должны обновиться, чтобы обновить свои списки доверия. Без этого пользователи какое-то время еще получали бы предупреждения о недоверенном сертификате при посещении всех сайтов защищенных сертификатами Let’s Encrypt.
«Let’s Encrypt Authority X1» – основной, а «Let’s Encrypt Authority X2» – резервный УЦ, на случай катастрофы и невозможности использования X1. Таким образом была предусмотрена отказоустойчивость выпускающего УЦ.
Закрытые ключи корневого и выпускающих УЦ хранятся на HSM, что гарантирует высокий уровень защиты от кражи ключей или несанкционированного доступа к ним.
HSM или Hardware Security Module или Аппаратный Модуль Безопасности, представляет собой устройство, защищенное от постороннего вмешательства, как аппаратного, так и программного. При обнаружении попытки несанкционированного доступа, HSM может необратимо уничтожить данные, хранящиеся на нем. Внутри HSM генерируется и хранится ключевая пара и осуществляются все необходимые криптографические операции. Например, подпись сертификата конечного пользователя производится непосредственно внутри HSM по соответствующей команде, полученной от УЦ. Для доступа к настройкам или, например, запуска HSM требуется одновременная аутентификация нескольких сотрудников — хранителей ключей. Существуют как локально устанавливаемые модули HSM с интерфейсами USB или PCI-X, так и сетевые HSM c Ethernet интерфейсом.
Let’s Encrypt поддерживает технологию Certificate Transparency, поэтому все выпущенные сертификаты можно посмотреть по
логу CT
. Из лога видно, что сертификаты выдаются пока сроком на 3 месяца.
Полноценный запуск проекта назначен на неделю с 16 ноября. Полагаю, ребята из Let’s Encrypt должны хорошенько подготовиться к потенциально большой нагрузке в первые часы и дни после запуска.
Кросс-сертификация новых удостоверяющих центров
«Кросс-сертификация была обусловлена плановой сменой ключей уполномоченного лица, которая проводится один раз в 2 года. Теперь все УЦ, которым выдаются сертификаты для работы в системе «Контур-Экстерн», являются доверенными удостоверяющими центрами сети ФНС», — комментирует Михаил Сродных, главный специалист Удостоверяющего Центра компании СКБ Контур.
На сегодняшний день в структуру УЦ компании СКБ Контур входит 16 компонентов Центра сертификации и один Центр регистрации. Они организованы на одной платформе, с одними и теми же распорядительными документами и регламентом. Каждый Удостоверяющий Центр отвечает за свои конкретные задачи и цели.
Определение кросс сертификации
В соответствии с рекомендациями Х.509 (ITU-T Rec. X.509 (2000 Е)) сертификаты Центров Сертификации могут быть:
- самоизданными (Self-issued certificate);
- кросс-сертификатами (Cross certificate).
Самоизданные сертификаты – это сертификаты в которых поля «Издатель» (Issuer) и «Субъект» (Subject) совпадают и определяют сам Центр Сертификации.
Кросс-сертификаты – это сертификаты, в которых поля «Издатель» и «Субъект» различны и определяют различные Центры Сертификации.
С помощью кросс-сертификатов устанавливаются доверительные отношения между Центрами Сертификации различных удостоверяющих центров.
Установление доверительных отношений может быть основано на двух моделях:
В иерархической модели доверительных отношения (см. Рисунок 4), Центр Сертификации верхнего уровня (головной УЦ) имеет самоизданный сертификат, Центры Сертификации всех подчиненных УЦ имеют кросс-сертификаты, в которых поле «Субъект» определяет Центр Сертификации подчиненного УЦ текущего уровня, поле «Издатель» определяет Центр Сертификации удостоверяющего центра вышестоящего уровня, который издал этот кросс-сертификат.
