Список доступных доверенных корневых сертификатов в ОС iOS 10 — Служба поддержки Apple

Что делать при потере доступа

Среди пользователей системы могут возникать проблемы с авторизацией. Причиной тому является забытый пароль. Решить неполадку можно самостоятельно, поэтому не спешите обращаться в службу поддержки.

Кликните «Переустановить пароль» возле формы входа.

Google chrome

1. В окне браузера нажмите кнопку «Настройки» (три точки в правом верхнем углу) → «Дополнительные инструменты» → «Расширения» .
2. Проверьте наличие «CryptoPro Extension for CAdES Browser Plug-in» и активируйте его.
3. Если «CryptoPro Extension for CAdES Browser Plug-in» отсутствует в расширениях, перейдите в интернет-магазин Chrome и установите его, затем повторите шаг 2.

В правом верхнем углу в списке активированных расширений должен появиться значок CryptoPro Extension for CAdES Browser Plug-in, что свидетельствует о правильной установке.

Ocsp expect-staple

Хотя Must-Staple кажется отличным решением проверки отзыва сертификатом, это не совсем так. На мой взгляд, одной из самых больших проблем является то, что я как оператор сайта не могу точно знать, насколько надёжны метки OCSP Staple и как их принимает клиент.

Без включенного OCSP Must-Staple это не является проблемой, но если включить OCSP Must-Staple и мы не уверены в надёжности или правильности OCSP Staple, это проблема для сайта. Чтобы попытаться и получить некую обратную связь о качестве меток OCSP Staple, мы можем активировать функцию под названием OCSP Expect-Staple. Я писал о ней раньше, и вы можете узнать все подробности в блоге

, но здесь тоже объясню вкратце. Вдобавок к

вы запрашиваете браузер прислать отчёт, удовлетворён ли он меткой OCSP Staple. Вы можете собирать отчёты сами или использовать мой сервис

, в обоих случаях вы точно узнаете, когда ваш сайт столкнулся с проблемами при работе OCSP Must-Staple. Поскольку использование списка предзагрузки HSTS не настолько очевидно, как мне бы хотелось, я также написал спецификацию для определения нового заголовка безопасности под названием

, чтобы обеспечивать ту же функциональность ценой меньших усилий. Идея в том, что теперь вы можете установить этот заголовок и включить функцию отправки отчётов, которые так нам нужны, ещё до активации Must-Staple. Установка заголовка будет простой, как и всех остальных заголовков безопасности:

Ocsp must-staple

Чтобы объяснить, что такое OCSP Must-Staple, нужно сначала вкратце разобраться, что такое OCSP Stapling. Я не хочу здесь вдаваться в лишние подробности, вы можете получить всестороннюю информацию из моего блога по

, но вот суть. OCSP Stapling избавляет браузер от необходимости отправлять запрос OCSP, выдавая ответ OCSP вместе с самим сертификатом. Это называется OCSP Stapling, потому что сервер должен «скрепить» (staple) ответ OCSP с сертификатом и выдать их вместе.

На первый взгляд это кажется немного странным, потому что сервер как будто «сам удостоверяет» собственный сертификат как неотозванный, но всё работает правильно. Ответ OCSP действует только короткий промежуток времени и подписан CA точно так же, как сертификат.

Так что если браузер может удостовериться, что сертификат подписан CA, то точно так он может удостовериться, что ответ OCSP тоже подписан этим CA. Это устраняет большую проблему приватности и избавляет клиента от бремени выполнять внешний запрос. Лучший вариант!

Но на самом деле не лучший, извините. OCSP Stapling — отличная вещь, и все мы должны поддерживать эту технологию на своих сайтах, но действительно ли мы думаем, что её будет поддерживать злоумышленник? Нет, я так не думаю, конечно же он не будет этого делать.

Что нам на самом деле нужно — так это заставить сервер поддерживать OCSP Stapling, и вот для чего нужен OCSP Must-Staple. При запросе нашего сертификата у CA мы просим его установить на нём флаг OCSP Must-Staple. Этот флаг указывает браузеру, что сертификат должен поставляться с откликом OCSP или он будет отвергнут. Установить флаг легко.

После установки этого флага мы должны гарантировать, что используется OCSP Staple, иначе браузер отвергнет сертификат. В случае компрометации, если злоумышленник получит наш ключ, ему также придётся использовать OCSP Staple вместе с нашим сертификатом, а если он не включит OCSP Staple, то ответ OCSP скажет, что сертификат отозван, и браузер его не примет. Тада!

Zabbix

Скрипт ssl-check-revoc.sh может проверять сертификаты не только из консоли, он также вполне подходит в качестве чекера для Zabbix, поэтому всю грязную работу по отслеживанию попадания сертификатов в список отзыва можно поручить системе мониторинга.

Заходим в конфиг Zabbix /etc/zabbix/zabbix_server.conf и смотрим, где лежат скрипты для внешних проверок:

ExternalScripts=/etc/zabbix/externalscripts

Копируем в этот каталог наш скрипт и рестартуем Zabbix:

sudo cp ssl-check-revoc.sh /etc/zabbix/externalscripts/
sudo systemctl restart zabbix-server

Заходим в веб-интерфейс и создаём шаблон (Configuration >> Templates >> Create template). В качестве имени шаблона указываем «Template SSL Checking». Затем внутри шаблона создаём элемент данных (Item) «SSL Certificate in Revocation List», в качестве ключа указываем «ssl-check-revoc.sh[{HOST.

Также понадобятся два триггера:

1. Для сигнализации отзыва сертификата «Certificate for domain {HOST.NAME} is in revocation list»Expression: «{Template Custom SSL Checking:ssl-check-revoc.sh[{HOST.NAME}].last()}=1»

2. Для сигнализации об ошибке на случай, если что-то пойдёт не так (например возникнут проблемы с CLR-сервером и т.п.) «Error to check certificate for domain {HOST.NAME}»Expression: «{Template Custom SSL Checking:ssl-check-revoc.sh[{HOST.NAME}].last()}=2»

Не забываем в экшенах (Configuration >> Actions) настроить способ оповещения в случае срабатывания триггеров.

Теперь осталось создать хосты, сертификаты которых будем регулярно проверять (Configuration >> Hosts >> Create host). На вкладке Templates прилинковываем наш темплейт «Template SSL Checking».

И всё! Можно спать спокойно: если SSL-сертификат вашего домена по какой-либо причине попадёт в список отозванных, Zabbix сразу же вам сообщит.

Авторизация центров сертификации

Предотвратить выдачу сертификата намного проще, чем пытаться отозвать его, и именно для этого нужна

(CAA). Опять же, подробности есть в статье по ссылке, но вкратце суть в том, что мы можем авторизовать только конкретные центры сертификации выдавать нам сертификаты, в отличие от нынешней ситуации, когда мы не можем указать вообще никаких предпочтений. Авторизация делается так же просто, как создание записи DNS:

scotthelme.co.uk. IN CAA 0 issue «my-sertif.ru»

Хотя авторизация CA — не особенно сильный механизм, и он не способен помочь во всех ситуациях некорректной выдачи сертификатов, но в некоторых случаях он полезен, так что следует заявить о своих предпочтениях, создав запись CAA.

Возможные проблемы

В общем, установка ЭЦП на компьютер не представляет ничего сложного, разработчики ПО позаботились о том, чтобы с данной задачей справился и не опытный пользователь ПК. За помощью же можно обратиться либо в удостоверяющий центр, либо в справочную службу КриптоПро – они довольно быстро отвечают на все вопросы от пользователей в рабочее время.

Для чего применяется электронная цифровая подпись в госзакупках

Участие как в электронных, так и в бумажных торговых процедурах невозможно без электронной подписи. ЭЦП для госзаказа необходима для каждого шага, начиная от этапа планирования и заканчивая исполнением контракта. Каждое действие заказчик подтверждает и подписывает электронной подписью:

• публикация планов закупок и планов-графиков;
• размещения извещения и закупочной документации;
• заключения контракта;
• предоставления сведений об исполнении контракта.

Если заказчику понадобится изменить организационные данные, настройки или полномочия пользователя, для этого тоже понадобится электронная подпись. Необходима ЭЦП для госзакупок для ИП и юридических лиц, участвующих в закупке в качестве поставщиков. Участники направляют заявки и ценовые предложения, заключают со своей стороны контракты, и все это возможно только при наличии ЭЦП.

Как настроить internet explorer

1. Убедитесь, что вы используете именно Internet Explorer. Если ваша версия Internet Explorer ниже, чем 10, то необходимо запускать 32-битную версию (для этого откройте папку C:Program Files (x86)Internet Explorer и запустите файл iexplore.exe).

Если у вас операционная система Windows 10, убедитесь, что открываете не браузер Microsoft Edge, иконка которого очень похожа на Internet Explorer.

2. Необходимо добавить адреса ЭТП в Надежные узлы.

3. Для зоны «Надежные узлы» разрешить использование элементов Active-X.

• в Internet Explorer «Сервис» — «Свойства обозревателя»; перейти на вкладку «Безопасность»; выделить «Надежные узлы»; нажать кнопку «Другой…»;
• в разделе «Элементы Active-X и модули подключения» у всех параметров отметить «Включить».

Как настроить сертификат эцп на криптопро

Как ЭЦП установить из контейнера? Для этого потребуется выполнить следующую пошаговую инструкцию:

1. Во вкладке «Сервис» программы «КриптоПРО CSP» надо щелкнуть клавишу «Посмотреть сертификаты в контейнере».

2. С помощью кнопки «Обзор» надо найти необходимый сертификат и кликнуть «ОК».

3. Отобразятся сведения об ЭЦП, необходимо кликнуть «Далее».
4. После щелчка по клавише «Свойства» потребуется нажать на «Установить сертификат».

5. На данном этапе курсор устанавливается на строку «Автоматически выбрать хранилище на основе сертификата».
6. После кликов по клавишам «Далее» и «Готово» процедура завершается.

Как регистрировать новую подпись

Пошаговая инструкция, как добавить новую ЭЦП в ЕИС и перерегистрировать новый сертификат, если вы уже работали ранее с цифровым ключом в информационной системе:

Шаг 1. На главной странице сайта нажмите на кнопку «Личный кабинет».

Шаг 2. В окне уведомления нажмите кнопку «Перерегистрировать». Если сайт автоматически не перевел на форму внесения изменений в регистрационные данные, нажмите на кнопку «Редактировать» в правом верхнем углу страницы сайта и вручную выберете функцию «Редактировать данные пользователя».

Шаг 3. В окне «Регистрационные данные пользователя» нажмите на кнопку в правом верхнем углу «Зарегистрировать сертификат ЭП»

Шаг 4. Обновите сертификат. Как поменять ЭЦП в ЕИС — в открытом окне выберите файл нового сертификата и нажмите кнопку «Загрузить».

Шаг 5. В окне «Регистрационные данные пользователя» введите пароль и нажмите кнопку «Сохранить».

Шаг 6. Проверьте работу сертификата в разделе «Проверка подписи» или выйдите из личного кабинета на сайте и зайдите снова по новому ключу.

Теперь пошагово, как зарегистрировать ЭЦП на сайте госзакупок, если вы ранее не работали в системе:

Шаг 1. На главной странице сайта нажмите на кнопку «Личный кабинет» и выберите первый вариант входа (Раздел III).

Шаг 2. Привяжите подпись. Как привязать новую ЭЦП в ЕИС — нажмите кнопку «Продолжить работу» и подтвердите сертификат.

Шаг 3. Пройдите регистрацию на сайте Госуслуг, куда вас переведет сайт, если данные организации и пользователя не найдены.

Шаг 4. Пройдите регистрацию в ЕИС. Для этого на вкладке «Регистрация»:

• выберите тип участника;
• внесите данные организации;
• добавьте новых пользователей и наделите полномочиями (администратор, размещение сведений).

Шаг 5. Проверьте работу сертификата. Если при входе в личный кабинет новый сертификат прошел проверку подлинности и обеспечил идентификацию пользователя, смена ЭЦП в ЕИС поставщика проведена корректно.

Как установить ssl-сертификат на сервер или хостинг |

Как установить сертификат эцп на компьютер с флешки в реестр

Начать установку электронной подписи следует с подготовки средств и оборудования. Для настройки ЭЦП пользователю потребуются:

• программный продукт «КриптоПРО CSP»;
• ПК с операционкой WINDOWS 7 и выше;
• флешка;
• открытый и закрытый ключ сертификата.

Если времени на приобретение «КриптоПРО CSP» нет, а сроки сдачи отчетности пришли, то с официального веб-ресурса можно загрузить программный продукт бесплатно (на 90 дней). В дальнейшем придется потратиться на лицензию для 1-го рабочего места.

Перед началом процедуры установки следует подготовить реестр на ПК. Для этого потребуется:

1. в программном продукте «КриптоПРО CSP» войти в блок «Оборудование» и кликнуть по строке «Настроить считыватели», затем клавишу «Добавить»;
2. в перечне доступных считывателей следует выбрать «Реестр» и щелкнуть «Далее»;
3. для продолжения создания реестра следует щелкнуть клавишу «Далее»;
4. завершается процедура кликом по клавише «Готово».

Какая программа нужна для эцп

Пользователь при установке сертификата на компьютер должен придерживаться определенного алгоритма:

1. Установка всех необходимых программ для работы с электронной подписью.
2. Осуществление генерации сертификата ключа, который совместим с данным компьютером.
3. Инсталляция сертификата электронного ключа в операционную систему.
4. Добавление сертификата в реестр на данном компьютере. Эта процедура осуществляется сейчас автоматически, никаких специальных действий не требуется.

Установка специальных программ реализована только в операционных системах Windows. При работе с MacOS и Linux браузеры способны с помощью плагина напрямую взаимодействовать с ЭЦП.

Он позволяет заходить на сайты на которых происходит идентификация по ЭЦП. Но полноценно использовать электронную подпись можно в ОС Windows.

При этом работать с ЭЦП в Windows можно только с программой КриптоПро CSP, версия которых должна быть не ниже 4.0 и 5.0.

Версии отличаются друг от друга только протоколами защиты. У последней версии их больше, и она более надежна.

В России, на сегодняшний день, КриптоПро CSP является единственной сертифицированным программным продуктом.

Настройка параметров браузера

Для корректной работы ЭЦП при проведении закупок необходимо настроить основные параметры используемого браузера: Шаг 1. Включаем протокол шифрования TLS. Для этого в пользовательском меню браузера выбираем «Инструменты», затем «Свойства обозревателя» и вкладку «Дополнительно». Отметьте необходимые параметры, как на скриншоте.

Шаг 2. Добавляем адрес сайта ЕИС в список доверенных узлов. В «Свойствах обозревателя» выбираем вкладку «Безопасность».

Выбираем зону «Надежные сайты», нажимаем кнопку «Сайты» и вводим адрес Единой информационной системы.

Шаг 3. Настраиваем безопасность. В той же вкладке и в той же зоне «Надежные сайты» нажимаем кнопку «Другой» и в открывшемся окне «Разное» определяем следующие настройки:

Шаг 4. Настраиваем всплывающие окна. В открытых свойствах выбираем вкладку «Конфиденциальность» и убираем блокировку всплывающих окон.

Шаг 5. Включаем переопределение автоматической обработки cookie-файлов. Во вкладке «Конфиденциальность» выбираем блок «Дополнительно». В открывшемся окне включаем функцию «Переопределять автоматическую обработку cookie».

Недоверенные сертификаты

Обновление эцп

Срок действия ЭЦП – 12 месяцев, по его истечению сертификат признается не действительным, при попытке им подписать документ будет выдана ошибка.

Для его обновления необходимо повторно обращаться в удостоверяющий центр для создания и регистрации новой электронной подписи. Как установить обновленный сертификат ЭЦП в систему? Точно так же, как и новый, через КриптоПро. Старый сертификат при этом автоматически будет деактивирован. Хоть и срок его действия может ещё и не закончится, но проверку на валидность он проходить не будет.

Кстати, при продлении ЭЦП изготавливать новый USB рутокен не нужно, можно обновить ранее выданный. Некоторые удостоверяющие центры также предлагают услугу продления электронной подписи по сниженной стоимости. Следует заблаговременно уточнять условия тарифной сетки удостоверяющего центра, с которым и сотрудничает получатель ЭЦП.

Поделитесь, пожалуйста, с друзьями!

Названия торговых марок, продуктов и логотипы, упоминаемые на данном ресурсе являются товарными знаками или зарегистрированными товарными знаками, принадлежащими своим владельцам. Данный сайт не является официальным, это инструкция по использованию, составленная с точки зрения пользователя.

SuccessFactors SBERBANK является облачной платформой, которая позволяет превратить сотрудников банка в единый центр обучения. При этом каждый сотрудник сможет выступать как в роли наставника, так и в роли самого студента. Для увлечённых работников это возможность пополнить своё портфолио новыми навыками, делиться интересными идеями, а также получать знания по различным тематикам. Это будет способствовать развитию мотивации, и будет повышать производительность труда.

SuccessFactors – это глобальная цифровая трансформация банковского персонала, которая создана на базе облачных решений немецкой компании SAP. Сейчас в системе почти четверть миллиона банковских работников РФ. Цель проекта – обеспечение высокого качества всех процессов управления бизнесом и персоналом банка.

Облака объединили всех работников банка в одном цифровом пространстве по всем регионам РФ. Теперь у каждого сотрудника есть возможность в любое время и из любой точки мира заниматься саморазвитием с помощью мощных инструментов, которые предлагает платформа.

Полный сбой

Выше я говорил о CRL и OCSP, двух механизмах проверки сертификатов браузером, и они выглядят таким образом.

После получения сертификата браузер обратится к одному из этих сервисов и отправит запрос для окончательного выяснения статуса сертификата. А что, если у вашего CA плохой день и его инфраструктура в офлайне? Что, если ситуация выглядит так?

Здесь у браузера только два варианта. Он может отказаться принимать сертификат, поскольку не способен проверить его статус. Или взять на себя риск и принять сертификат, не зная его статус, отозван он или нет. У обоих вариантов есть свои преимущества и недостатки.

Если браузер откажется принимать сертификат, то каждый раз при уходе инфраструктуры CA в офлайн ваши сайты тоже уходят туда же. Если браузер продолжит принимать сертификаты, то он рискует принять сертификат, который был украден, и подвергает пользователя риску. Это трудный выбор, но прямо сейчас, сегодня, ничего такого на самом деле не происходит…

Пошаговая установка сертификата

Через КриптоПРО установить сертификата ЭЦП на компьютер можно с использованием следующей пошаговой инструкции (методика № 1):

1. На панели управления потребуется кликнуть программный продукт «КриптоПРО CSP».
2. В блоке «Сервис» следует щелкнуть кнопку «Установить личный сертификат».

3. На экране отобразится окно «Мастер установки личного сертификата», нужно нажать «Далее».
4. Затем кликом по клавише «Обзор» выбирается нужный сертификат.

5. Для продолжения установки ПО следует щелкнуть «Открыть».

6. На экране вновь появится мастер установки, потребуется щелкнуть «Далее».

7. Активируется клавиша «Обзор», после ее клика потребуется выбрать контейнер для сертификата.
8. Затем следует щелкнуть «ОК».

9. На мониторе появится окно, в котором следует щелкнуть клавишу «Обзор», папку «Личное», затем «ОК».

10. Завершается установка кликом по клавише «Готово».

Проприетарные механизмы

Если сайт скомпрометирован и злоумышленник получил секретный ключ, то он может подделать этот сайт и причинить некоторый вред. Здесь ничего хорошего, но могло быть и хуже. Что если CA скомпрометирован и злоумышленник получил секретный ключ для промежуточного сертификата?

Это было бы катастрофой, потому что тогда злоумышленник может подделать буквально любой сайт, который захочет, подписав собственный сертификат. Поэтому вместо онлайновой проверки промежуточных сертификатов на предмет отзыва у Chrome и Firefox есть собственные механизмы для той же задачи.

В Chrome он называется CRLsets, а в Firefox — OneCRL. Эти механизмы проверяют списки отозванных сертификатов, объединяя доступные CRL и выбирая оттуда сертификаты. Так проверяются особо ценные сертификаты вроде промежуточных, но что насчёт обычных, наших с вами?

Сведения о хранилище доверия и сертификатах

Сертификат эцп

ЭЦП является аналогом рукописного варианта подписи гражданина и состоит из набора определенных чисел. Для их генерации используются индивидуальные сведения лица, полученные из документов, позволяющих установить личность. Сведения, составляющие ЭЦП, для использования переносятся на флеш-накопитель. Данные, находящиеся на нем, позволят точно идентифицировать гражданина, заверяющего электронную документацию.

Необходимость ЭЦП объясняется интенсивным развитием информационных технологий и системы электронного документооборота. Сегодня она используется как юридическими, так и физическими лицами. На флеш-накопителе закодирована следующая информация:

• название файла открытого ключа ЭЦП;
• дата создания;
• сведения о владельце электронной подписи.

Гражданин, получивший ЭЦП, может:

• получать государственные и муниципальные услуги через интернет-ресурсы субъекта (страны) проживания;
• отчитываться в налоговую и другие государственные структуры;
• зарегистрироваться в системе Госуслуги;
• без уплаты государственного сбора провести регистрацию юрлица (ИП);
• направить документацию в ВУЗ;
• сформировать заявку на получение кредита;
• контролировать процедуру рассмотрения своей заявки и ознакомиться с результатами обращения;
• направлять запросы в любые государственные ведомства, не покидая квартиры, без очередей в любое время суток;
• запатентовать открытие;
• покупать недвижимость в онлайн-режиме, принимать участие в различных аукционах и прочее.

Требования к программе криптопро csp

Перед работой с ЭЦП и установкой сертификата нужно учесть требования, предъявляемые к компьютеру для работы с КриптоПро CSP:

• На компьютере должна установлена версия ОС не ниже Windows 7 и старше.
• Должны использоваться следующие виды браузеров: Internet Explorer версия не ниже 8, последние версии Яндекс браузер, Mozilla Firefox, Chrome.
• Процессор на компьютере должен стоять 32 или 64-битный и иметь частоту 1 Ггц и выше.
• В компьютере должен стоять объем оперативной памяти не менее 512 МБ.
• Разрешение экрана устройства (компьютера) должно быть не меньше 800х600 и более.
• На компьютере должен быть порт USB 1.1 и выше.

Программа КриптоПро CSP сможет работать и с версией ОС Windows XP, но при этом нужно учитывать существующие ограничения (Explorer 7 версии, нельзя использовать актуальные версии Chrome и т.д.).

Такая же ситуация складывается и для операционной системы Windows Vista — криптографический комплекс там работает, но также с ограничениями.

Установка ключей в «реестр»

Открытый и закрытый ключи используются для активации неквалифицированной подписи. Ее использование возможно при наличии действующего сертификата. Ключ в открытом и закрытом виде должен находиться в корне накопителя. Помещать ключи в папки нельзя. Настройка должна проводиться непосредственно с флешки.

Потребуется войти в программу «КриптоПРО CSP» и перейти в блок «Сервис». В нем следует кликнуть по клавише «Скопировать».

Для дальнейшей установки, чтобы избежать путаницы с ключами, рекомендуется удалить с ПК лишние флеш-накопители и другие устройства. На экране монитора отобразится окно, в котором потребуется обозначить флешку с ключом закрытого типа. Для этого надо щелкнуть по клавише «Обзор».

После выбора накопителя нужно прописать имя контейнера. Можно ввести любые слова. Чаще всего используется наименование организации. Это поможет избежать путаницы. Далее надо щелкнуть «Готово».

Система запросит обозначить место, куда планируется установка ключа закрытого типа. Если хранение ЭЦП будет осуществляться на ПК, то следует выбрать «Реестр» и щелкнуть «ОК». Установка ключа в реестр удобна тем, что пользователь сможет применить ЭЦП в любое удобное время. Если ключ сохранить на накопителе, то потребуется его постоянное использование для применения электронной подписи.

На следующей ступени вводится пароль. Его потребуется набрать еще 1 раз для подтверждения. Далее следует щелкнуть «ОК». Если защита от других пользователей не требуется, то можно пропустить настройку пароля.

Следующей ступенью является установка открытого ключа в контейнер. Для этого потребуются следующие действия: зайти в блок «Сервис» программного продукта «КриптоПРО CSP» и щелкнуть «Установить личный сертификат…».

Для выбора нужного ключа следует щелкнуть клавишу «Обзор».

В отобразившемся окне надо кликнуть по ключу, затем по клавише «Открыть».

После выбора ключа для продолжения его установки надо щелкнуть «Далее».

На экране отобразятся параметры сертификата. Следует щелкнуть «Далее».

На следующей ступени потребуется соединение 2-х ключей. Если ранее настройки проведены верно, то достаточно поставить галку в окошке «Найти контейнер автоматически». Имя контейнера отобразится в автоматическом режиме, после чего нужен щелчок по кнопке «Далее».

На экране монитора появится окно, в котором потребуется поставить галку на строке «Установить сертификат (цепочку сертификатов) в контейнер». Без этой операции ЭЦП использовать невозможно. Завершается настройка ключа кликами по клавишам «Далее» и «Готово».

Установка корневого сертификата удостоверяющего центра

Перед загрузкой следует убедиться в его достоверности. Раскрываем документ с расширением «cer», открываем вкладку «Состав» и пункт «Отпечаток» и удостоверяемся в том, что появившееся на экране буквенно-числовое значение соответствует нужной комбинации.

Произведение установки требует войти в операционную систему в статусе администратора и раскрыть файл, который проверяли. Находим вкладку «Общая». Из предложенного списка останавливаемся на пункте «Установить сертификат». Процедура производится посредством запуска программы мастера установки, который запрашивает одобрение для продолжения. Подтверждаем.

Следующие действия зависят от имеющейся операционной системы. Windows XP автоматически избирает хранилище для сертификата, основываясь на его типе. Версия «7» и «Vista» такой опцией не наделена. Поэтому кликаем позицию «Разместить в хранилище». Через функцию «Обзор» задаем выбранное место. Жмем «Далее» и «Готово». Появляется сообщение «Импорт успешно произведен».

Учётка sigma: как создать, если её нет

Чтобы создать учётную запись в специальном домене Sigma, пользователю нужно обратиться в администрацию безопасности или АИБ в вашем подразделении. Администратор выставит обращение для создания новой учётной записи по стандартному шаблону. После создания новой учётки администратор передаст авторизационные данные пользователю.

Для работы в SuccessFactors используется либо собственное компьютерное устройство, либо корпоративное. Главные условия, это наличие всех сертификатов и подключение к интернету. Работать можно и с мобильного устройства с версией Андроид не ниже 5.0, а также iOS версии не ниже 9. Более подробные требования к устройствам и браузеру можно найти на странице портала SuccessFactors.

Частичный сбой

На самом деле сегодня браузеры выполняют так называемую проверку отзыва сертификата с частичным сбоем. То есть браузер попытается проверить статус сертификата, но если ответ не пришёл совсем или не пришёл за короткий промежуток времени, то браузер просто забывает об этом. Ещё хуже, что Chrome даже не пытается проверить сертификат. Да, вы прочитали правильно, Chrome даже

не пытается

проверить статус сертификата, который ему поступает. Вы можете найти это странным, но я полностью согласен с их подходом и я рад сообщить, что Firefox тоже, вероятно, скоро начнёт работать так же. Позвольте объяснить. Проблема с полным сбоем очевидна:

если у CA плохой день, то у нас тоже он будет, вот так мы пришли к логике частичного сбоя. Браузер теперь пытается осуществить проверку сертификата на предмет отзыва, но полностью отказывается от неё, если она занимает слишком много времени или если кажется, что CA ушёл в офлайн.

Если вы осуществляете атаку MiTM, то вам нужно всего лишь блокировать запрос на проверку сертификата и создать впечатление, что CA не работает. Браузер тогда столкнётся с частичным сбоем проверки и продолжит радостно использовать отозванный сертификат.

Если вас никто не атакует, то каждый раз при проверке этого конкретного сертификата вы тратите время и ресурсы на проверку, что сертификат не отозван. И один раз, когда вас атакуют — тот единственный раз, когда вам по-настоящему нужна такая проверка — злоумышленник просто блокирует соединение, и браузер проходит через частичный сбой.

Адам Лэнгли из Google лучше всех описал, что такое отзыв сертификата: это ремень безопасности, который рвётся в момент аварии, и он прав. Вы каждый день садитесь в машину и пристёгиваете ремень безопасности — и он даёт вам приятное и комфортное ощущение безопасности.

Отзыв

В случае компрометации мы должны отозвать сертификат, чтобы исключить возможность злоупотреблений. Как только сертификат помечен как отозванный, браузер знает, что ему нельзя доверять, даже если у него не закончился срок действия. Владелец запросил отзыв, и ни один клиент больше не должен принимать этот сертификат.

Как только мы узнаём о факте взлома, мы связываемся с CA и просим отозвать наш сертификат. Нужно доказать факт владения сертификатом, и как только мы сделали это, то CA помечает сертификат как отозванный. Теперь нужен способ сообщить об этом факте каждому клиенту, которому может потребоваться данная информация.

Прямо в этот момент браузер, конечно, ничего не знает, и это проблема. Есть два механизма, которые используются для распространения информации: это список отозванных сертификатов (Certificate Revocation List, CRL) и протокол проверки статуса сертификата (Online Certificate Status Protocol, OCSP).

Заключение

В настоящий момент существует реальная проблема, что мы не можем отозвать сертификат, если кто-то получил наш секретный ключ. Только представьте, во что это выльется при раскрытии следующей глобальной уязвимости масштаба Heartbleed! Одна вещь, которую вы можете попытаться сделать — это ограничить размер ущерба от утечки, сократив срок действия своего сертификата.

Вместо трёх лет указывайте один год или даже меньше. Let’s Encrypt выдаёт только сертификаты, которые действительны всего лишь 90 дней! С сокращением времени жизни вашего сертификата у злоумышленника будет меньше времени для злоупотреблений. Кроме этого мы мало что можем сделать.

Для демонстрации проблемы и того, насколько она реальна, попробуйте зайти на новый поддомен, который я открыл на своём сайте, revoked.scotthelme.co.uk. Как вы вероятно догадываетесь, к этому поддомену прикреплён отозванный сертификат, и вполне вероятно, что он нормально загрузится в вашем браузере.

Если нет, если ваш браузер выдаст предупреждение об истёкшем сроке действия, то это значит, что ваш браузер по-прежнему отправляет запросы OCSP и вы только что сообщили в CA о том, что посетили мой сайт. Для доказательства, что такая проверка с мягким сбоем бесполезна, можете добавить в hosts домен ocsp.int-x3.letsencrypt.

org с IP-адресом 127.0.0.1 или блокировать его каким-нибудь другим способом — и повторить попытку подключения. На этот раз страница нормально загрузится, потому что проверка отозванного сертификата не сработает, а браузер продолжит загружать страницу. Толку от такой проверки…

Я бы хотел закончить статью вопросом: следует ли нам исправлять процедуру отзыва сертификатов? Впрочем, это тема для другой статьи.