ООО СТАТУС-ПРО, Москва, ИНН 7724880835, ОГРН 1137746558840 ОКПО 17794056 – реквизиты, отзывы, контакты, рейтинг

Ocsp stapling

Для решения этих проблем было предложено расширение протокола TLS, позволяющее прикреплять OCSP-ответы к сертификатам (

) и переносящее ответственность за выполнение OCSP на TLS-сервер.

На рисунке изображена схема использования OCSP stapling:

Схема описывает следующие шаги:

1. TLS-сервер, выступая в роли OCSP-клиента, собирает информацию о статусе своей цепочки сертификатов, обращаясь к OCSP-серверам соответствующих УЦ;
2. TLS-сервер кэширует полученные OCSP-ответы;
3. При установке TLS-соединения сервер передаёт клиенту свою цепочку сертификатов вместе с соответствующими ей OCSP-ответами.

Таким образом:

«Но где же тут защита от атаки повторного воспроизведения?» — спросите вы. Тут её действительно нет, однако рассматриваемое расширение протокола TLS позволяет клиентам пересылать случайный одноразовый код при установке соединения:

Такой вариант использования OCSP stapling не позволяет кэшировать OCSP-ответы на сервере, из-за чего растёт время установки TLS-соединения и увеличивается нагрузка на серверы УЦ.

Следует отметить, что существует две версии OCSP stapling. Первая версия по неясной причине позволяет прикреплять OCSP-ответ только для сертификата самого сервера. При использовании этой версии ответственность за получение информации о статусе остальных сертификатов цепочки лежит на клиенте. Этот недостаток исправлен в новой версии.

Zabbix

Скрипт ssl-check-revoc.sh может проверять сертификаты не только из консоли, он также вполне подходит в качестве чекера для Zabbix, поэтому всю грязную работу по отслеживанию попадания сертификатов в список отзыва можно поручить системе мониторинга.

Заходим в конфиг Zabbix /etc/zabbix/zabbix_server.conf и смотрим, где лежат скрипты для внешних проверок:

ExternalScripts=/etc/zabbix/externalscripts

Копируем в этот каталог наш скрипт и рестартуем Zabbix:

sudo cp ssl-check-revoc.sh /etc/zabbix/externalscripts/
sudo systemctl restart zabbix-server

Заходим в веб-интерфейс и создаём шаблон (Configuration >> Templates >> Create template). В качестве имени шаблона указываем «Template SSL Checking». Затем внутри шаблона создаём элемент данных (Item) «SSL Certificate in Revocation List», в качестве ключа указываем «ssl-check-revoc.sh[{HOST.

Также понадобятся два триггера:

1. Для сигнализации отзыва сертификата «Certificate for domain {HOST.NAME} is in revocation list»Expression: “{Template Custom SSL Checking:ssl-check-revoc.sh[{HOST.NAME}].last()}=1”

2. Для сигнализации об ошибке на случай, если что-то пойдёт не так (например возникнут проблемы с CLR-сервером и т.п.) «Error to check certificate for domain {HOST.NAME}»Expression: “{Template Custom SSL Checking:ssl-check-revoc.sh[{HOST.NAME}].last()}=2”

Не забываем в экшенах (Configuration >> Actions) настроить способ оповещения в случае срабатывания триггеров.

Теперь осталось создать хосты, сертификаты которых будем регулярно проверять (Configuration >> Hosts >> Create host). На вкладке Templates прилинковываем наш темплейт «Template SSL Checking».

И всё! Можно спать спокойно: если SSL-сертификат вашего домена по какой-либо причине попадёт в список отозванных, Zabbix сразу же вам сообщит.

Автоматизация

Проверять SSL-сертификаты на предмет отзыва вручную не всегда удобно, поэтому процесс проверки можно автоматизировать.

Для этого берём с Github готовый скрипт ssl-check-revoc.sh, который осуществляет проверку сертификатов методом CRL:

Документация

Как проверить подлинность декларации соответствия?

Проверка подлинности декларации соответствия осуществляется путем поиска ее в Реестре деклараций, который находится на официальном сайте Росаккредитации, причем там можно найти не только декларации соответствия ТР ТС , но и декларации соответствия ГОСТ Р.

В общем окне поиска деклараций объединены четыре реестра (типы деклараций):

1. Декларация о соответствии требованиям технического регламента Евразийского Экономического Союза (технического регламента Таможенного Союза)

2. Декларация о соответствии, оформленная по единой форме Евразийского Экономического Союза.

3. Декларация о соответствии требованиям технических регламентов РФ

4. Декларация о соответствии, включенной в Единый перечень продукции Российской Федерации.

Поиск декларации о соответствии можно осуществить по следующим данным:

– Номер декларации ТС

ВНИМАНИЕ! При проверке декларации требуется вводить, только последние 6 символов: Например В.53822.

Проверить подлинность декларации о соответствии можно на сайте Росакредитации или перейдя по ссылке у нас на странице.

Как проверить подлинность сертификатов и деклараций?

Проверка подлинности сертификатов и деклараций требуется при:

– приеме-передачи продукции при совершении купли-продажи,

– проведении тендеров, торгов и выборе поставщиков товаров (продукции),

– таможенном оформлении при пересечении границ,

– проверках Роспотребнадзора, Ростехнадзора и прочих контролирующих Органов,

– пуске в эксплуатацию оборудования,

– выборе партнеров для долгосрочных проектов,

– подозрении потребителя в несоблюдении требований безопасности продукции.

Выданные и оформленные должным образом сертификаты соответствия, декларации соответствия и свидетельства о госрегистрации (СГР) в обязательном порядке вносятся в соответствующие государственные реестры, большинство которых доступны пользователям интернета, необходимо только найти нужный реестр и с помощью простой формы поиска найти нужную информацию.

Для Вашего удобства мы собрали наиболее часто используемые реестры, которые могут пригодиться для проверки подлинности сертификатов, деклараций, СГР и прочей разрешительной документации.

Какие сведения о сгр открыты в едином реестре?

Единый реестр позволяет не только проверить подлинность СРГ, но и узнать общие данные о товаре, его производителе, импортёре.

Общий реестр СГР содержит следующие сведения о каждом свидетельстве:

• регистрационный номер документа;

• дату его выдачи;

• текущий статус СГР: действующее, приостановленное (при необходимости коррекции документов либо выявлении нарушений производства) и аннулированное (при потере актуальности продукции);

• даты изменения статуса СГР (если изменения происходили);

• учётный номер бланка СГР;

• подробные данные о производителе товара (полное наименование компании или информация о зарегистрировавшем ИП физическом лице, адреса офисов, филиалов и производственных площадей);

• данные о заявителе на оформление СГР (название компании или ИП, место жительства зарегистрированного как ИП физического лица, адрес офиса, адрес производства, номер документов, удостоверяющих статус юридического или физического лица – в РФ это ОГРН или ИНН предпринимателя);

• наименование сертифицированного центра, который выдал СГР, и его адрес;

• информация о товаре (в том числе наименование, данные о типе продукции, марке, модели, артикуле, форме выпуска и т.п.);

• название документа или ряда документов, в соответствии с которыми производился продукт;

• данные входящего в Право Таможенного акта, в согласии с требованиями которого выдано СГР;

• данные о документах, которые подтверждают соответствие товара требованиям определённого технического регламента, либо Единым санитарно-эпидемиологическим и гигиеническим требованиям (которые были утверждены Решением Комиссии Таможенного союза от 28 мая 2021 г. № 299);

На сайте Роспотребнадзора можно проверить санитарно-эпидемиологические заключения. Для поиска необходимого документа нужно использовать номер заключения, содержащий информацию о его выдаче и виде продукции.

Подлинность сертификатов, деклараций и других разрешительных документов можно проверить самостоятельно имея минимальную информацию о поставщике или производителе данной продукции или копию самого документа или номер документа.

Если Вы не нашли свой документ, то возможно, стоит подождать 1-2 дня, т.к. из-за технических особенностей выгрузка информации в реестр происходит с задержкой. В любом случае Вы можете связаться с нашими специалистами, если есть сложности с поиском своего документа в реестре.

Отправьте заявку сейчас и получите бесплатную консультацию по оформлению сертификата, декларации или свидетельства о государственной регистрации (СГР).

Кратко о протоколе tls и инфраструктуре открытых ключей x.509

Современный защищённый Веб стоит на двух китах:

. Для установки защищённого TLS-соединения сервер должен передать клиенту свой открытый ключ. Аутентичность ключа сервера, пересылаемого через незащищённые публичные сети, обеспечивается цепочкой сертификатов открытых ключей инфраструктуры

Удостоверяющий центр (УЦ, certification authority, CA) может отозвать подписанный (изданный) им ранее сертификат, например, в случае компрометации закрытого ключа, соответствующего этому сертификату. Поэтому, чтобы исключить возможность подключения к «человеку посередине», при установке TLS-соединения клиент должен не только проверять корректность подписей всей предоставленной сервером цепочки сертификатов, но и проверять статус предоставленных ему сертификатов (сертификат действителен или отозван).

Механизм crl

УЦ публикуют CRL, в которые вносятся серийные номера отозванных сертификатов, в точках распространения CRL (CRL distribution point, CDP). Адреса (URL) точек распространения CRL, к которым следует обращаться для получения информации о статусе проверяемого сертификата, как правило, указываются в самом сертификате.

Механизм ocsp

OCSP, как следует из его названия, предназначен для получения наиболее актуальной информации о статусе сертификата в режиме онлайн и не обладает приведёнными выше недостатками CRL.

Механизмы проверки статуса сертификатов

Применяющиеся на практике механизмы проверки статуса сертификатов основаны на

(certificate revocation list, CRL) и

(online certificate status protocol, OCSP).

Проверить подлинность декларации о соответствии

Проверка СГР и заключений Роспотребнадзора

Единый реестр свидетельств о государственной регистрации (СГР) – это общий информационный ресурс, содержащий открытые данные о СГР продукции, производимой и реализуемой в странах Таможенного Союза. Он формируется с применением средств объединённой информационной системы Евразийского экономического союза. Ведёт главный Реестр свидетельств о государственной регистрации Евразийская экономическая комиссия.

Национальные части Единого реестра СГР в разных странах ведутся разными органами. В России реестр свидетельств о государственной регистрации ведет Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека – Роспотребнадзор, национальный реестр СГР можно посмотреть на сайте Роспотребнадзора

Проверить подлинность сертификата соответствия

Проверить сертификат соответствия можно:

Вводить данные для поиска сертификата можно частично.

Сортировать данные из реестра сертификатов можно и по:

-типу объекта сертификации (единичное изделие, партия, серийный выпуск),

– стране происхождения,

– группам продукции ЕАЭС, РФ,

– перечням продукции,

– техническим регламентам (ТР ТС, ТР ЕАЭС, ТР РФ, 126-ФЗ),

– виду заявителя (уполномоченное изготовителем лицо, продавец, поставщик, изготовитель, исполнитель).

Необходимо учесть:

1. Информация о новом сертификате может быть опубликована и отображена для пользователя в Реестре не мгновенно, а в течении до трёх дней. При этом, время отображения информации для личного кабинета Органа по сертификации и для обычного пользователя может отличаться.
2. Информация о смене статуса или потере актуальности сертификата должна отражаться на сайте Реестра в кратчайшее время после её поступления, но происходит не сразу, а в течении до трёх дней.
3. Внесение сертификатов в Реестр или изменение их статусов происходят для всех заявителей на бесплатной основе.

Статус каждого сертификата в реестре для удобства поиска обозначен цветом:

Проверить сгр в реестре роспотребнадзора

Общий реестр СГР ведет Евразийская Экономическая Комиссия посмотреть его можно на сайте Евразийской Экономической Комиссии. Как следует из названия, в этом реестре собраны все свидетельства о государственной регистрации. Реестр ЕЭК содержит информацию обо всех свидетельствах на территории ЕАЭС, а реестр Роспотребнадзора — только о выданных в России.

Напомним, что  с 20 июля больше не надо оформлять «бумажные» свидетельства о государственной регистрации, достаточно внесения записи о свидетельстве в вышеупомянутый реестр.

Для того, чтобы найти в реестре необходимое СГР нужно заполнить форму, введя следующие данные:

Продолжение следует… а пока — отличная новость!

В этой статье мы рассмотрели три основных механизма проверки статуса сертификатов. Проверки, осуществляемые на практике, являются надстройками над этими механизмами или их комбинацией. Тема дальнейшего обсуждения и следующей статьи — каким образом проверки статуса сертификатов реализованы в Веб-браузерах?

Про проблему отозванных сертификатов и «Кошмар скомпрометированных ключей» мы говорили на «очной ставке» NeoQUEST-2021. У нас даже есть отличное видео, в котором автор статьи рассказывает про отозванные сертификаты:

Пока у нас активно ведется подготовка к очередной «очной ставке» NeoQUEST-2021, которая пройдет в Питере 29 июня (и на которую мы ждём ВСЕХ желающих!), рассказываем интересную новость:

Мы объявляем конкурс докладов на «очную ставку» NeoQUEST-2021!

Ооо статус-про, москва, инн 7724880835, огрн 1137746558840 окпо 17794056 – реквизиты, отзывы, контакты, рейтинг