Установка центра сертификации на предприятии. Часть 1 / Хабр

Что будет, если нарушить законы, действующие в сфере сертификации?

В зависимости от тяжести совершённого проступка или преступления, виновные подлежат дисциплинарному, административному, материальному или уголовному наказанию. К нарушителям всегда принимаются строгие меры, потому что ответственность вместе с ними несёт и центр сертификации, а негативные последствия направлены на широкий круг людей — потребителей.

Наиболее часто совершаемые правонарушения такие:

• отступление от стандартов качества после получения сертификата;

• предоставление о компании недостоверных сведений;

• необоснованное декларирование вместо прохождения процедуры, регламентированной законом.

Все меры наказания, какими бы строгими они ни были, государство считает оправданным ввиду опасности, которую представляет собой бизнес, отступивший от честных правил ведения дел.

Выявленные нарушения оборачиваются и отзывом сертификата или приостановлением его действия.

Что представляет собой сертификация

Сертификат – это документ, который подтверждает соответствие продукции заданным требованиям. Получить его могут как производители, так и поставщики. Сертификация выполняется на основании соответствующего закона. Процедура также должна соответствовать закону «О защите прав покупателей». Сертификация некоторых видов товара регулируется отдельными нормативными актами.

Что входит в пакет документов для прохождения сертификации?

Потребуется подготовить:

1. Заявление с указанием реквизитов обращающейся компании. Инициировать сертификацию отечественного товара или технологии вправе только компания-производитель. Зарубежная продукция сертифицируется, в том числе по заявлению дилера.

2. Правоустанавливающие для бизнеса документы: регистрационные документы, подтверждающие законную деятельность заявителя, его правовой статус как экономического субъекта. Это могут быть копии учредительных документов, справка о поставке на налоговый учёт, сведения о реквизитах. Готовя в качестве приложения к заявлению копии, заявитель должен иметь при себе оригиналы всех собранных документов.

3. Технический паспорт или иной документ с рабочими характеристиками продукции, в котором есть подробное описание, а также инструкция, предназначенная для покупателей.

4. Перечень нормативно-правовых актов, которые устанавливают стандарт качества для заявляемой на сертификацию продукции. Важно до подачи заявления проверить актуальность этих актов на информационно-правовых порталах. Они должны быть действующими во времени.

5. Документы, которые ранее выдавались в подтверждении качества продукции или предыдущие протоколы качества, сформированные по окончании испытаний.

6. Иные документы, в которых содержаться сведения, так или иначе влияющие на принятие решение о выдаче сертификата качества. Подаются на усмотрение заявителя.

Это далеко не точный перечень документов, потому что список предъявляемых официальных бумаг зависит от вида сертификации. Важно учитывать и тот момент, что некоторые центры сертификации наделены правом затребовать о продукции любую дополнительную информацию.

От иностранных компаний, например, дополнительно требуют предоставить руководство пользователя, переведённое на русский язык.

Что из производимого обязательно требуется сертифицировать?

Перечней продукции, которая обязательно сертифицируется, несколько. Но они целенаправленно систематизированы в единый список, внутри которого поделены по отраслям экономической и хозяйственной деятельности.

Открывая бизнес, важно до начала производства или поставок выяснить, потребуется ли оформлять сертификат на конкретный вид товара или технологию производства.

Традиционно любое государство мира сертифицирует изделия, использование которых по назначению может привести к угрозе жизни потребителей. Например, бытовые электроприборы, табачная продукция, покрышки для автомобильных колёс, игрушки и другие товары, предназначенные для детей и многие другие.

Что будет, если качество услуг ухудшится

Что будет, если исполнителю выдадут сертификат, а потом качество услуг снизится? В этом случае документ соответствия требованиям не отобразит объективного состояния дел. Во-первых, сертификат выдается не навсегда. Исполнителю нужно регулярно доказывать свой профессионализм.

• Приостановление действия документа о соответствии.
• Назначение временного запрета на использование знака соответствия.
• Информирование о корректирующих мероприятиях лиц, которые могут быть заинтересованы.
• Установление срока исполнения корректирующих процедур.
• Контроль над проводимыми мероприятиями.
• Уведомление покупателей и заинтересованных лиц об опасности услуги, если такая имеет место.

Если в результате корректирующих мероприятий была выявлена опасность, заинтересованных лиц уведомляют об этом. Последние должны своевременно исправить все недочеты. Если исполнитель ничего не исправил, действие сертификата отменяется.

ВНИМАНИЕ! Документ выдается на три года. При наличии особых обстоятельств этот срок может сокращаться или увеличиваться.

В отношении каких услуг проводится сертификация

Как правило, сертифицируются следующие услуги в следующих сферах:

• Бытовые услуги.
• Пассажирский транспорт.
• ЖКХ.
• Работа культурных учреждений.
• Туризм.
• Спорт.
• Медицина.
• Санаторно-оздоровительные услуги.
• Банковские услуги.
• Образование.
• Торговля.

Чем серьезнее сфера, тем больше руководителю компании рекомендуется получать сертификат. Документ также имеет смысл оформить в том случае, если в области, в которой работает лицо, большая конкуренция. Наличие сертификата позволяет выгодно выделиться среди других компаний.

Двухуровневая иерархия

Двухуровневая иерархия уже подразумевает как минимум два ЦС в дереве, в котором один строго корневой, а остальные — подчинённые. Схема такой иерархии представлена ниже:

Примечание: здесь пунктирными линиями отмечен ручной (неавтоматизированный) процесс получения сертификата. Сплошными линиями отмечен автоматизированный процесс получения сертификатов.

В двухуровневой иерархии уже возможно решить недостатки одноуровневой иерархии. Здесь корневой ЦС выпускает сертификаты только для подчинённых ЦС, а уже подчинённый ЦС выдаёт сертификаты конечным потребителям. Поскольку издающие ЦС развёртываются не так часто, и срок их действия достаточного велик, это позволяет изолировать корневой ЦС от сети.

Это автоматически сводит к нулю шанс компрометации такого ЦС, поскольку без сети к нему не добраться. Более того, основное время жизни он может (и должен) проводить в выключенном состоянии. Включать его нужно только для обновления собственного сертификата, подчинённого ЦС или для публикации нового CRL. В остальное время он никому не нужен.

Другим достоинством двухуровневой иерархии является улучшенная гибкость в разбиении подчинённых ЦС на какие-то классы. Тот же типичный сценарий, когда два ЦС управляются разными подразделениями ИТ, и каждый ЦС выпускает сертификаты для своих групп потребителей.

Именно здесь уже можно начинать задумываться о разделении ЦС по политикам выдачи (или классам). Например, можно выделить один ЦС для выдачи сертификатов с повышенными требованиями к сертификатам (например, сертификаты для аутентификации и цифровой подписи)

и ЦС общего назначения. Управлять ими могут различные команды ИТ-администраторов. При этом каждый подчинённый ЦС будет совмещать задачи ЦС политики и издающего ЦС. Это вполне допустимо, если предположить, что количество ЦС на каждый класс не более одного.

Из недостатков можно выделить лишь некоторое увеличение как административных, так и финансовых издержек (требуется дополнительная лицензия). К административным издержкам добавятся контроль за сроком действия каждого ЦС и списка отзыва корневого ЦС, а также их своевременное обновление.

Для небольших и средних предприятий такая схема является наиболее оптимальной, поскольку она позволяет обеспечить должный уровень безопасности и приемлемый уровень гибкости разделения ЦС на определённые функции.

Для чего проводится сертификация услуг

Сертификация услуг осуществляется в добровольном порядке. Однако выполняется она часто в связи с тем, что несет ряд преимуществ:

• Повышение лояльности со стороны инвесторов, бизнес-партнеров, потребителей. Все эти лица начинают более доверительно относиться к фирме.
• Увеличение показателей рентабельности.
• Увеличение дохода за счет привлечения дополнительных клиентов.
• Возможность участия в конкурсах и тендерах.
• Налаживание отношений с крупными предприятиями.

Особенно принципиальным здесь является возможность участия в тендерах. Без наличия сертификата заявку на конкурс/тендер просто не примут.

Добровольная сертификация

Сертификация – это затратное мероприятие. Однако часто производители проводят его по добровольному желанию. Связано это со следующими позитивными последствиями получения документа:

• Увеличение конкурентоспособности.
• Получение дополнительных преимуществ на международном рынке.
• Увеличение привлекательности товара для покупателя.
• Возможность увеличения стоимости.

Человек, который видит наличие сертификата на продукцию, испытывает больше доверия и к самому продукту, и к производителю. Соответственно, повышаются продажи. К примеру, во многих специализированных изданиях специалисты убеждают покупателя, что очки нужно покупать только после запроса сертификата.

Если документ отсутствует, покупать товар не рекомендуется. Особенно наличие документального подтверждения качества требуется для дорогостоящей продукции. Когда человек покупает что-то дорогостоящее, он особенно внимательно относится к документам на товар. Повышается лояльность не только потребителей, но и импортеров.

К СВЕДЕНИЮ! В России наиболее развита обязательная сертификация, а в европейских странах – добровольная. Связано это с тем, что на западе получение документа – один из наиболее эффективных способов завоевать место на рынке.

Зачем нужен частный pki?

Шифрование, цифровые подписи и сертификаты всё плотнее входят в нашу повседневную интернет-жизнь. Если об этих терминах 10 лет назад говорили мало, и далеко не всем ИТ специалистам был известен смысл этих слов, то сейчас они у многих на слуху. И этот процесс длится не год и не два, а добрый десяток лет.

Сейчас мы находимся в активной фазе развития клиент-серверных веб-сервисов (привет мейнфреймам!), и значительная доля коммуникации людей и устройств перекладывается на компьютерные сети и интернет. Как следствие, новые условия диктуют новые требования к защите данных.

Как долго длится процедура?

В нормативно-правовых актах сроки не регламентированы строго. Они зависят от того, какие документы представлены в центр сертификации, какие испытания должны пройти до момента подтверждения качества. Поэтому процедура может занять несколько дней, а может растянуться и на несколько месяцев.

Сократить время на прохождения могут консультирующие специалисты в области сертификации, которые разбираются в нюансах процедуры. Они наверняка знают:

• какие эксперты быстрее осуществят процедуру;

• как правильно контактировать по вопросу сертификации с государственными органами;

• какие документы следует представить вместе с заявлением на получение сертификата продукции.

Как любая посредническая деятельность, эта оплачивается заявителем, который хочет, чтобы его интересы в вопросе подтверждения качества товара или технологии представляли специалисты.

Как проходит процедура?

Систем сертификации несколько, поэтому и порядок процедуры неодинаков, но в любой из них выделяют такие общие этапы:

1. Формирование пакета документов для подачи заявки. Процесс допускает использование электронных документов, при наличии цифровой подписи с определенной квалификацией.

2. Работа с документами в аккредитованном государством центре сертификации, который имеет разрешение на оказание услуг такого рода и внесён в единый реестр.

3. Подписание соглашения с центром, в котором устанавливаются условия процедуры и оговаривается цена за ее проведение.

4. Испытание отобранных образцов продукции, установление соответствия их требованиям стандарта. Итогом проведённых работ является составленный протокол, в котором отражаются все действительно полученные результаты испытаний.

5. Организация и проведение проверки с выездом к заказчику услуг по сертификации для изучения процесса производства, определения соответствия условий производства требованиям стандарта.

6. Принятие окончательного решения об отказе в выдаче или о выдаче сертификата.

7. Оформление и выдача подтверждающего качество документа.

Работу центров сертификации и системы в целом контролирует Росстандарт — орган исполнительной власти, известный под названием Федеральное агентство по техническому регулированию и метрологии. Агентство оказывает государственные услуги в сфере технического регулирования и метрологии. В системе органов власти оно подчиняется Министерству промышленности и торговли Российской Федерации.

Какая выгода в получении сертификата?

Правильно, честно и эффективно работающая система сертификации выгодна всем: и государству, и бизнесу, и потребителям. Но только предприниматели пользуются широким спектром преимуществ от подтверждения качества производимого, ввозимого товара используемой технологии. Возможности, которые открывает для бизнеса сертификация следующие:

1. Изменение конкурентоспособности товара, технологии в лучшую сторону. Об успешном прохождении процедуры проверки принято рассказывать в корпоративных новостях. Так реально привлечь внимание потребителя, расширить аудиторию покупателей, заявить конкурентам о том, что на рынке им придётся потесниться.

2. Эталонное качество, подтверждённое сертификатом, открывает перед бизнесом новые горизонты в виде приглашений на отраслевые выставочные мероприятия, возможность участвовать в крупных тендерах и некоторые другие.

3. Партнёры и покупатели иным образом относятся к товару, чье качество подтверждено экспертным мнением, сделанным на основании испытаний. Первые могут стать акционерами компании, вторые уверены, что не будут обмануты, а в случае выявления несоответствия стандартам их интересы защитит государство по Закону о защите прав потребителей.

4. Особое доверие со стороны финансово-кредитных учреждений, которые располагают денежными активами и могут кредитовать бизнес, чья продукция сертифицирована. Для банков наличие сертификата у кредитуемого субъекта — гарантия серьёзности компании.

5. Изменение стратегии развития путём выхода на международный рынок. Огромный ассортимент продукции нуждается в расширении рынка сбыта, но реализовать эту возможность могут только те компании, чья продукция качественная. Выйти на зарубежного потребителя невозможно, не пройдя процедуру сертифицирования.

6. Положительная репутация компании в лице контролирующих органов. Сертифицированный товар, технология — «лицо» всей предпринимательской идеи. Российский бизнес контролирует множество разных органов, их доверие к проверяемым будем выше, если те уже имеют подтверждение качества своей работы.

7. Получение сертификата по одной из схем упрощает его получение по другой. Например, подтверждение качества для выхода на международный рынок, потребует оформления на продукцию сертификата ISO. Получить его гораздо проще, если компанией уже оформлен сертификат ТР ТС/ЕАЭС. Напомним, что это не привилегия, а только избавление от некоторых сложностей ввиду того, что единожды процедура уже была пройдена.

Обращаем внимание на тот факт, что обязанность проходить сертификацию лишена такого количества выгод, и все перечисленные преимущества, скорее, касаются тех компаний, которым предстоит выбрать добровольное согласие на процедуру.

Какой срок действия у сертификата?

Выбранная схема сертификата определяет его действие во времени. Обычно качество товара или технологии подтверждается для отечественных производителей сроком на три года. Но если речь о сертифицировании контрактной продукции, то на нее выдается документ на период до одного года или на другой срок, в зависимости от страны, из которой идёт поставка.

По истечении срока действия сертификата, процедуру проходят повторно. Причем заявителю важно задумываться об этом заранее, ведь он не вправе производить или ввозить новую партию товара или использовать технологию, по ранее полученному документу — действие сертификата распространяется только на старую партию.

Повторная процедура не отличается от первичной, если за прошедшее время не поменялись ее правила на законодательном уровне. Преимуществ заявителю ранее пройденная сертификация не даёт.

Классификация: деление сертификации на виды по разным критериям

Сертификация классифицируется по видам в зависимости от особенностей товаров и технологий, требованиям к проверке их качества и другим условиям.

В базовой классификации деление процедуры на виды происходит по следующим критериям:

по государственным или территориальным стандартам, когда подтверждается качество по ГОСТ, действующим в отдельно взятой стране, сообществе государств или во всем мире;

по принципу добровольности или обязательности, когда производителей потенциально опасных товаров и технологий обязывают проходить сертификацию, а необременённые таким обязательством предприниматели делают это добровольно, чтобы иметь конкурентное преимущество на рынке;

на серийную продукцию или партию, когда сертификат оформляют на конкретный объем произведённого или импортируемого товара.

Кому и зачем требуется оформлять?

Россия и другие страны мира приоритетным направлением в развитии производственного сектора экономике считают работу над качеством продукции. Обеспечить эту цель возможно через сертификацию. Контролируя качество, государства могут быть спокойны за безопасность потребителей внутри стран, а на импорт предлагать только продукцию, отвечающую самым высоким требованиям стандартов.

Добросовестным производителям и поставщикам тоже выгодно сертифицировать продукцию, даже если их категория товара или технология не попадает под обязательное подтверждение качества. Оформив сертификат, бизнесмены упрочивают репутацию компании-производителя или поставщика: они публично заявляют об эталонном качестве своих товаров, технологий.

В случае, если производителя или поставщика обязывают сертифицировать продукцию, это гарантирует, что на рынок не будут выпущены товары, способные навредить покупателям, не будут применены вредные технологии производства.

Об авторе

Вадим Поданс

— специалист в области автоматизации PowerShell и Public Key Infrastructure, Microsoft MVP: Cloud and Datacenter Management с 2009 года и автор модуля PowerShell PKI. На протяжении 9 лет в своём блоге освещает различные вопросы эксплуатации и автоматизации PKI на предприятии. Статьи Вадима о PKI и PowerShell можно найти на его

Общие положения

PKI является технологией безопасности, которая основывается на стандарте

X.509

и использует цифровые сертификаты. Целью PKI является повышение безопасности ИТ инфраструктуры предприятия за счёт предоставления механизмов по защите данных от несанкционированного доступа и незаконного изменения данных (подделка данных). Это достигается двумя основными криптографическими механизмами:

Типичная инфраструктура PKI состоит из следующих компонентов:

Структура ЦС и сертификатов выстраиваются в древовидную иерархию. Каждый ЦС может выполнять одну или несколько (совмещать) ролей:

• Корневой ЦС – специальный тип ЦС, который имеет самоподписанный сертификат и является корнем дерева (отсюда и название). Этот тип ЦС является стартовой точкой доверия ко всем сертификатам в данной иерархии (дерева). Иными словами, клиент должен явно доверять конкретному корневому сертификату (а именно, комбинации: издатель и открытый ключ), чтобы доверять сертификатам, находящимся в остальной части дерева. Важно отметить, что доверие транзитивно. Клиент при проверке конечного сертификата будет выстраивать цепочку (путь) от конечного сертификата до вершины иерархии (корневого сертификата). И если клиент доверяет вершине, то будут и основания доверять конечному сертификату на правах транзитивности.
• ЦС политик – технически, это такой же ЦС, как и все остальные (в разрезе иерархии), с тем отличием, что дополняется внешними политиками и ограничениями по выдаче и использования цифровых сертификатов.
• Издающий ЦС – это ЦС общего назначения, который выполняет подпись и выдачу цифровых сертификатов потребителям.

Для понимания процесса построения цепочек сертификатов рекомендую прочитать следующую статью:

. Данная статья ориентирована на платформу Microsoft CryptoAPI, она также справедлива (за некоторыми исключениями) и для других реализаций криптографических платформ.

Поскольку ЦС выстраиваются в древовидную иерархию, возможно организовать многоуровневую иерархию, где на каждом уровне ЦС будет выполнять как роль издающего ЦС, так и дополнительные функции. В самом простом случае один ЦС может совмещать все роли, т.е. быть корневым, обеспечивать какие-то политики выдачи и выдавать сертификаты конечным потребителям.

Более крупные компании и/или с более зрелой организацией ИТ-процессов уже используют разделение ЦС по ролям. Например, в головном офисе держат корневой ЦС, выдающий сертификаты только другим ЦС, которые уже на себе накладывают политики выдачи. Они могут не обслуживать напрямую конечных потребителей, а выдавать сертификаты другим подчинённым ЦС, которые, в свою очередь, и будут обслуживать конечных потребителей. В каждом подходе есть свои плюсы и минусы, которые будут рассмотрены ниже.

Обязательная сертификация

Существуют обязательные требования, предъявляемые в отдельным видам продукции. Именно на соответствие этим требованиям проверяется товар. К примеру, в процессе сертификации подтверждается безопасность продукта для окружающей среды, здоровья человека.

• Законы страны.
• Российские и международные стандарты.
• Санитарные нормы.
• Строительные нормы.
• Положения, касающиеся безопасности.
• Постановления правительства.
• Номенклатура и классификаторы.
• Рекомендательные акты.
• Справочные материалы.
• Прочие нормативные акты.

Обязательное получение сертификата – это вид государственного контроля, направленный на обеспечение безопасности товара.

Перечень продукции, подлежащей обязательной сертификации, устанавливается Правительством РФ. Рассмотрим некоторые виды этих товаров:

• Предметы машиностроительной сферы.
• Предметы электротехнической промышленности.
• Продукция сельскохозяйственного производства.
• Предметы легкой промышленности.
• Пищевые товары.
• Медицинское оборудование.
• Сырье.
• Продукция деревообработки.
• Инструменты индивидуальной защиты.
• Пиротехника.
• Тара.
• Ветеринарные медикаменты.

Сертифицируется не только продукция, но и услуги. Рассмотрим услуги, подлежащие обязательной сертификации:

• Бытовые.
• Торговые.
• Туристические.
• Услуги связи.
• Услуги пассажирского транспорта.
• Общественное питание.

Из этого перечня можно сделать вывод о том, что обязательной сертификации подлежит продукция с повышенным классом опасности. Документ должен быть получен на услуги, предполагающие массовое использование. К примеру, услуги общественного питания посредственного качества могут привести к риску для здоровья.

Сертификат, полученный в обязательном порядке, будет действовать на территории всей страны. Госстандарт РФ – это тот орган, который организует мероприятия по сертификации. В ряде случаев аналогичной деятельностью могут заниматься представители исполнительной власти.

Обязательное и добровольное получение сертификата

Сертификация, согласно законам страны, может быть обязательной и добровольной. Процедуры получения документа не отличаются по форме. Различается только мотивация в инициировании мероприятия.

Одноуровневая иерархия

Одноуровневая иерархия является самой простой в реализации и имеет следующий вид:

Такая иерархия является самой простой и экономичной как по ресурсам (лицензиям), так и по расходам на обслуживание и управление. Достаточно развернуть один такой ЦС в лесу Active Directory, и он будет обеспечивать сертификатами всех потребителей. Из неочевидных, но немаловажных достоинств можно отметить очень короткую цепочку сертификатов. Т.е. время на проверку доверенности и отзыва сертификата будет тратиться гораздо меньше, чем в любых других иерархиях.

Однако одноуровневая иерархия обладает рядом достаточно существенных недостатков. Самый крупный из них – низкий уровень безопасности. Поскольку ЦС в такой схеме должен быть постоянно включенным в сеть, чтобы клиенты могли запрашивать сертификаты, значительно увеличивается риск его компрометации.

Последствия компрометации могут быть чудовищными, вплоть до полной потери контроля над Active Directory и краху ИТ систем. Это может быть вызвано как недостаточными мерами безопасности, наличием не закрытых уязвимостей ОС или компонентах системы, которые позволяют удалённое исполнение кода и т.д. Как отмечалось выше, отозвать нормальным способом такой сертификат уже нельзя, и последствия будут действительно тяжёлыми.

Другой момент связан с гибкостью разделения ЦС на функциональные уровни (делегирование). Например, невозможно организовать несколько различных политик выдачи, разделить на классы (например, один ЦС издаёт сертификаты только машинам и устройствам, другой только для пользователей) и т.д., потому что он всего один.

Недостатки одноуровневой иерархии заметно перевешивают её преимущества в лёгкости и компактности. Именно поэтому такая конфигурация имеет смысл лишь в каких-то небольших и изолированных сетях с низкими требованиями по безопасности. Например, это может быть какая-то тестовая среда. В бизнес-среде такое решение использовать не рекомендуется.

Онлайн тестирование и конкурсы от международного портала “солнечный свет”

Принципы ответственного подхода к лицензированию

Лицензирование, по сути, обеспечивает безопасность для человека и окружающей среды. Поэтому ответственный подход к получению документа о соответствии – это ответственный подход к безопасности. Для реализации этого подхода следует внимательно относиться к выбору органа, осуществляющего лицензирование. К структуре должны предъявляться следующие требования:

1. Наличие аккредитации.
2. Орган должен быть внесен в официальный реестр.

Однако часто руководители, чтобы сэкономить, обращаются к организациям, не соответствующим этим требованиям. Там за небольшую плату можно получить документ на продукцию, даже не вполне соответствующую требованиям. По сути, это правонарушение. Важно помнить, что не все компании имеют полномочия на осуществление сертификации. То есть полученный документ действительным не будет.

Государство пытается пресечь деятельность этих компаний. Для этих целей требования к фирмам постоянно ужесточаются. В июле 2021 года появился ФЗ, который поставил новые строгие требования к компаниям. Обращение к таким структурам невыгодно и покупателям, и потребителям.

Принципы сертификации

Мероприятие по получению сертификата должно соответствовать этим требованиям:

• Соответствие основным законам, а также нормативным актам, применимым к отдельным наименованиям продукции.
• Получение объективных сведений о товаре.
• Открытость сведений об итогах сертификации.
• Отсутствие серьезных разногласий с международными законами.
• Соблюдение коммерческой тайны.
• Документ о соответствии не может выдаваться на товар, который не соответствует требованиям технических регламентов.
• Схемы мероприятия по получению сертификата на определенные виды товара закрепляются в техническом регламенте.
• Траты заявителя на проведение мероприятия сокращаются до минимума.
• Уменьшаются также сроки получения сертификата.
• Запрещено навязывать получение документа соответствия, если сертификация для определенного товара не является обязательной.
• Права производителя или продавцы должны быть защищены. В частности, большое внимание уделяется защите конфиденциальной информации.

Лицо может самостоятельно выбирать структуру, которая будет проводить сертификацию.

Словарь терминов

В этой части серии использованы следующие сокращения и аббревиатуры:

Типовые схемы развёртывания иерархии pki

В этом разделе мы рассмотрим типовые (или классические) схемы развёртывания иерархии PKI в условиях предприятия и проводятся оценки каждой схемы и рекомендации. Следует отметить, что ни одна из них не является универсальной, и каждая может иметь смысл в своих пределах.

Требования закона

Законом не установлена обязательность сертификации услуг. Они не включены в перечень обязательной оценки соответствия ГОСТам. На услуги не распространяются технические регламенты, используемые в таможенном союзе. Учитывая все это, можно сделать вывод о том, что услуги можно продавать без наличия на них документа соответствия.

Трёх- и более уровневые иерархии

В более крупных компаниях со сложной организацией сетей может случиться, что двухуровневая иерархия не может обеспечить необходимый уровень гибкости управления ЦС. Например, когда компания использует географический принцип разделения с относительной автономией ИТ отделов в каждом регионе.

Представьте международную компанию с региональными офисами в разных странах. В них может действовать своё законодательство в вопросах безопасности, например, при обработке персональных данных. Для соблюдения подобных юридических формальностей на каждый такой регион выделяется свой собственный ЦС политик (при этом, размещается он, как правило, в головном офисе компании).

В в своём сертификате он указывает поддержку (и ссылку на соответствующий документ) тех или иных нормативных документов и выпускает сертификаты для издающих ЦС, действующих в рамках тех политик, которые обозначены в сертификате (грубо говоря, в данном регионе).

В таких иерархиях корневой ЦС и ЦС политик изолируют от сети, а к сети уже подключаются только издающие ЦС:

Здесь также пунктиром отмечен ручной процесс получения сертификата для ЦС и сплошными линиями автоматизированный процесс получения сертификата для клиентов.

К плюсам такой схемы можно отнести гибкость полученной PKI с возможностью адаптации под практически любые условия. Правда, за это придётся платить. Во-первых, многоуровневые иерархии удорожают стоимость развёртывания и сопровождения PKI. Во-вторых, клиентам требуется больше времени на построение и проверки на отзыв полных цепочек сертификатов, что может вызывать отказы из-за превышения таймаутов верхних протоколов передачи данных.

В рамках этой серии статей рассматривается наиболее популярная (в большинстве случаев) двухуровневая иерархия.

Целевая аудитория

ИТ-администраторы, ИТ-инженеры и специалисты по безопасности, имеющие основные понятия о цифровых сертификатах.

Цели получения

Сертификация выполняется для достижения этих целей:

• Защита покупателя от недобросовестности лица, предоставляющего продукт (поставщик, продавец, производитель).
• Контроль над соблюдением безопасности товара. Продукт не должен нести вред для человека, окружающей среды.
• Установление реальности показателей, заявленных производителем.
• Помощь покупателю в выборе товара.
• Увеличение конкурентоспособности товара.

Получение сертификата обязательно, если производитель собирается участвовать в международной торговле.

Экзамен 1с:специалист по платформе 8.3. полностью решенные все билеты экзамена (актуальны на ноябрь 2021 г.).

Отзыв сертификатов

Помимо задач по выпуску сертификатов, каждый ЦС периодически выпускает списки отзыва (Certificate Revocation List, CRL). Как и сертификаты, целостность списков отзыва обеспечивается цифровой подписью. CRL содержит серийные номера сертификатов, действие которых прекращено по какой-либо причине до официального истечения срока действия сертификата. Таким образом ЦС обеспечивает своевременное изъятие недействительного сертификата из оборота.

Каждый клиент после установки доверия сертификата через цепочку должен убедиться, что ни один сертификат в цепочке не был отозван своим издателем. Для этого клиент перебирает каждый сертификат в цепочке, выбирает CRL предоставленный издателем и проверяет наличие/отсутствие текущего сертификата в списке CRL. Если текущий сертификат находится в CRL, то доверие к сертификату (и всем ветвям дерева под ним) автоматически обрывается.

Фактически, если корневой ЦС отозвал все свои непосредственно изданные сертификаты, то ни один сертификат под этим корнем не будет доверенным вне зависимости от высоты иерархии. Здесь следует отметить один крайне важный и принципиальный момент: невозможно отозвать корневой (самоподписанный) сертификат. Т.е. если по какой-то причине он был скомпрометирован, его можно отозвать только принудительным удалением сертификата из хранилища сертификатов каждого клиента.

Дело в том, что ЦС не определяет списки отзывов для самого себя, это делает издатель. В случае самоподписанного сертификата, ЦС является издателем самого себя. И при попытке включить себя в свой же список отзыва получается неопределённость: сертификат ЦС включен в CRL, который подписан ключом этого же ЦС.

Если предположить, что сертификат ЦС недействителен, то и цифровая подпись на CRL является недействительной. Как следствие, невозможно достоверно утверждать, что сертификат корневого ЦС отозван. Причём, отзыв корневых сертификатов не предусмотрен и основным регламентирующим стандартом, RFC 5280, параграф §6.1 которого гласит:

When the trust anchor is provided in the form of a self-signed certificate, this self-signed certificate is not included as part of the prospective certification path.

А на отзыв проверяется только проспективная цепочка. Если говорить в контексте Microsoft ADCS, то тут ситуация усугубляется ещё больше. В частности, вы технически можете отозвать корневой сертификат при помощи certutil.exe или CryptoAPI. Но как только вы это сделаете, ЦС не сможет подписать ни один CRL, как следствие, сертификат ЦС никогда не попадёт в CRL.

Более того, даже если использовать различные утилиты (тот же certutil.exe), можно насильно включить сертификат ЦС в CRL, но это мало чем поможет. Дело в том, что конфигурация по умолчанию CryptoAPI даже не пытается проверить корневой сертификат на отзыв.

Проблема отзыва корневых сертификатов во многих случаях будет одним из решающих факторов в выборе подходящей для компании иерархии ЦС. А также будет диктовать дополнительные меры безопасности для корневых ЦС, чтобы предельно снизить риск компрометации корневого ЦС.