Sergey Gilfanov Опубликовано 17 декабря, 2013 · Жалоба Абсолютно ничего не мешает сесть и на генерировать и подписать запросов на 1000 лет вперёд и брать от туда каждый день соответствующий дате. Вот именно поэтому для доступа и надо было бы использовать нормальные клиентские сертификаты. Там контроль строка действия есть. И отозвать при необходимости его стандартными методами можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 17 декабря, 2013 · Жалоба Вот именно поэтому для доступа и надо было бы использовать нормальные клиентские сертификаты. Там контроль строка действия есть. И отозвать при необходимости его стандартными методами можно. Типа в используемом РКН нету срока действия? Или отозвать его через удостоверяющий центр нельзя? (Кстати, по истечению срока действия сертификата проверка подписи не проходит.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 17 декабря, 2013 · Жалоба Типа в используемом РКН нету срока действия? Или отозвать его через удостоверяющий центр нельзя? Если я правильно помню, что происходит, то в конце концов выдается один токен/url, по которому список забрать можно. И где тут проверка действия оригинального сертификата? И как токен отзывается, если надо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 17 декабря, 2013 · Жалоба Если я правильно помню, что происходит, то в конце концов выдается один токен/url, по которому список забрать можно. И где тут проверка действия оригинального сертификата? И как токен отзывается, если надо? У него ограниченный по времени срок дествия. Потом опять надо подписанным запросом в РКН кидаться для получения нового. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 17 декабря, 2013 · Жалоба Другими словами, чисто юридический путь - перекидывать http-обращения на закрытые ресурсы на страницу с уведомлением о запрете данного ресурса и кнопкой "Я осознаю свою ответственность по УК/ГК/КоАП и хочу продолжить открытие сайта", абсолютно по тому же принципу, что поступают ресурсы с контентом 18+. Иначе так и будет "...а мы крепчаем". Было бы здорово, но шизики любят контроль. Шизики кто, со стороны государства? Вот пусть с пользователей и спрашивают. Мы как провайдер не можем гарантировать, что пользователь будет использовать различные методы, способы и инструменты для обхода ограничения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 17 декабря, 2013 · Жалоба Как там выше указано, можно наподписывать запросов на каждый день до окончания действия сертификата фирмы. Все эти запросы будут действительны. И какая процедура отзыва будет, если мы внезапно узнали, что все эти запросы попали в чужие руки и теперь кто-то посторонний от нашего имени список берет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 17 декабря, 2013 · Жалоба Как там выше указано, можно наподписывать запросов на каждый день до окончания действия сертификата фирмы. Все эти запросы будут действительны. И какая процедура отзыва будет, если мы внезапно узнали, что все эти запросы попали в чужие руки и теперь кто-то посторонний от нашего имени список берет? Отзыв сертификата. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 17 декабря, 2013 · Жалоба Отзыв сертификата. Фирмы? А не круто ли? Что произойдет со всеми документами, что были им подписаны? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 17 декабря, 2013 · Жалоба Отзыв сертификата. Фирмы? А не круто ли? Что произойдет со всеми документами, что были им подписаны? Круто. В частности потому отдельный сертификат все от греха и берут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 17 декабря, 2013 · Жалоба Итого у фирмы получается два полноценных действующих сертификата? А что произойдет, если один документ(заявку на конкурс какой-нибудь) подписать одним, а другой, противоположный по смыслу -- другим? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 17 декабря, 2013 · Жалоба Перестали открываться ВСЕ сайты на хостинговом сервере - везде "заглушка" вместо сайтов. 212.ххх.ххх.61 - отдельный айпишник под заглушку?? Отличный от адреса где остальной шаредхостинг? NameVirtualHost * <VirtualHost *> сайт 1 </VirtualHost> <VirtualHost *> сайт 2 </VirtualHost> <VirtualHost 212.ххх.ххх.61> DocumentRoot /home/zapret-info/html ErrorLog /home/zapret-info/logs/error.log CustomLog /home/zapret-info/logs/access.log combined </VirtualHost> С этим разобрался. <VirtualHost 212.ххх.ххх.61:80>. ServerAdmin root@_______.ru DocumentRoot /srv/www/zapret-info ErrorLog /var/log/apache2/zapret-info.error.log CustomLog /var/log/apache2/zapret-info.access.log combined AssignUserID<------>www-data www-data <Directory /srv/www/zapret-info> Options Indexes Includes FollowSymLinks MultiViews AllowOverride All Order allow,deny Allow from all </Directory> </VirtualHost> В /srv/www/zapret-info соответственно лежит "заглушка". Если абонент просто пытается открыть стартовую страницу сайта, домен которого занесен в "расстрельный список", то открывается "заглушка". А если url, содержащий такой домен, то появляется страница с "Internal Server Error". А как и в этом случае показать заглушку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 17 декабря, 2013 · Жалоба RewriteEngine On RewriteBase / RewriteRule ^.*$ /index.html ? както так ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 18 декабря, 2013 · Жалоба Итого у фирмы получается два полноценных действующих сертификата? А что произойдет, если один документ(заявку на конкурс какой-нибудь) подписать одним, а другой, противоположный по смыслу -- другим? Сертификат ЭЦП ОДНОГО вида (квалифицированный, в данном случае) на одну фирму (ИНН/ОГРН/КПП) и одного владельца (как правило, руководителя) Удостоверяющий центр не выдаст. Причина отклонения формы запроса -- "такой действующий сертификат уже выдан" (наша контора, как Сервисный Центр одного из УЦ как раз этим и занимается). Можно получить другой сертификат на доверенное лицо (та же организация, разные владельцы). Указанная Вами выше коллизия подписанных документов (оба ведь юридически значимы) наверное будет разрешаться в судебном порядке. Но не вижу здесь особой разницы, как если бы они были подписаны РЕАЛЬНЫМИ ПОДПИСЯМИ ВРУЧНУЮ -- руководителя и доверенного лица. И, например, дубликат печати... а и одну печать могли хлопнуть в разное время -- на бумаге же можно, время её постановки не сохраняется. Дальше только юристы рассудят. Еще вероятна схема получить сертификат с теми же реквизитами в ДРУГОМ Удостоверяющем Центре. Вот тут настаивать не буду, может быть и прокатит -- даже на одного и того же человека. Формально препятствий не вижу, почему бы и нет? Разве что УЦ друг у друга проверяют... а зачем им это? И потом подписать два противоположных по смыслу документа этими разными ЭЦП. Процедура разрешения коллизии наверное та же, судебная. Почему бы самому руководителю не сделать два таких взаимоисключающих документа своей личной авторучкой и мокрой печатью? Как тогда? В дурдом? То есть это конечно проблема -- но IMHO к ЭЦП и сертификатам она относится лишь косвенно. А вот касательно нагенерить запросов с разными датами на 1000 лет вперед -- смысла никакого. При отзыве подписывающего сертификата все эти запросы разом "протухнут". РКН походу проверяет ТЕКУЩУЮ валидность сертификата, а НЕ дату внутри текста запроса. Сам сертификат, вместе с хэшем подписываемого документа, находится в подписи. В КАЖДОЙ. Дату МОМЕНТА подписывания тоже можно проверить. Но переводить часы компьютера вперед на сутки в процессе генерации каждого очередного запроса бесполезно -- собственно, ключи ЭЦП работоспособны всегда (пара закрытый-открытый), однако сертификат этой ЭЦП в Удостоверяющем Центре успешно пройдет проверку только в период от выдачи до окончания/отзыва. И эти сроки/услуги УЦ получателю ЭЦП уже не подконтрольны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 18 декабря, 2013 · Жалоба Если абонент просто пытается открыть стартовую страницу сайта, домен которого занесен в "расстрельный список", то открывается "заглушка". А если url, содержащий такой домен, то появляется страница с "Internal Server Error". А как и в этом случае показать заглушку? Вобщем все оказалось достаточно просто: <VirtualHost 212.ххх.ххх.61:80>. ServerAdmin root@_______.ru DocumentRoot /srv/www/zapret-info ErrorLog /var/log/apache2/zapret-info.error.log CustomLog /var/log/apache2/zapret-info.access.log combined AssignUserID<------>www-data www-data <Directory /srv/www/zapret-info> Options Indexes Includes FollowSymLinks MultiViews AllowOverride All Order allow,deny Allow from all </Directory> Alias /errors /srv/www/zapret-info ErrorDocument 401 /errors/index.html ErrorDocument 403 /errors/index.html ErrorDocument 404 /errors/index.html ErrorDocument 500 /errors/index.html </VirtualHost> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 18 декабря, 2013 · Жалоба Можно получить другой сертификат на доверенное лицо (та же организация, разные владельцы). Собственно, меня озадачивает, что вот тут п.2 я никакого 'владельца' в виде 'доверенное лицо' не вижу. А вижу просто сертификат организации. Или я неправильно понимаю и там где-то конкретное лицо все-таки записано? А вот касательно нагенерить запросов с разными датами на 1000 лет вперед -- смысла никакого. Смысл - утащить и потом таскать список от имени оператора. При отзыве подписывающего сертификата все эти запросы разом "протухнут". РКН походу проверяет ТЕКУЩУЮ валидность сертификата, а НЕ дату внутри текста запроса. Сам сертификат, вместе с хэшем подписываемого документа, находится в подписи. В КАЖДОЙ. Понятно, что протухнут. Если РНК в списки отзыва смотрит. Что неочевидно. Но если мое (весьма возможно неправильное) понимание, верно и сертификат организации - он один, то это должно создать проблемы с другими местами использования. Те в существующей схеме отозвать только право 'может получать список блокировки' - нельзя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 декабря, 2013 · Жалоба Те в существующей схеме отозвать только право 'может получать список блокировки' - нельзя. Вот поэтому для получения списка лучше использовать отдельную ЭЦП. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 20 декабря, 2013 · Жалоба Можно получить другой сертификат на доверенное лицо (та же организация, разные владельцы).Собственно, меня озадачивает, что вот тут п.2 я никакого 'владельца' в виде 'доверенное лицо' не вижу. А вижу просто сертификат организации. Или я неправильно понимаю и там где-то конкретное лицо все-таки записано? Да, в квалифицированном сертификате кроме реквизитов организации (название, ИНН-КПП-ОГРН, адрес) обязательно содержатся и данные владельца -- ФИО, должность, номер СНИЛС (пенсионный), электронная почта. ЭЦП -- это же аналог ПЕЧАТИ ОРГАНИЗАЦИИ И ПОДПИСИ ее ДОЛЖНОСТНОГО ЛИЦА. Откройте сертификат в Винде (поле Субъект) или прогоните свой запрос (любой подписанный файл) на ГосУслугах (как указано в регламенте РКН) -- там покажут реквизиты из сертификата. А вот касательно нагенерить запросов с разными датами на 1000 лет вперед -- смысла никакого.Смысл - утащить и потом таскать список от имени оператора. 1000 лет -- нет смысла. Срок действия сертификата -- 3 месяца, 1 год, 15 месяцев. Если на каждую дату этого года... ну, если только РКН не будет проверять фактическую дату момента подписывания и чтоб не брать лишний раз защищенный носитель с ЭЦП у руководителя. Но это же равносильно ограничению доверенности одним днем... зачем? Можно же зафиксировать срок действия доверенности более длительным -- месяц или год или до окончания/отзыва сертификата ЭЦП, как фактически сейчас и получается? При отзыве подписывающего сертификата все эти запросы разом "протухнут". РКН походу проверяет ТЕКУЩУЮ валидность сертификата, а НЕ дату внутри текста запроса. Сам сертификат, вместе с хэшем подписываемого документа, находится в подписи. В КАЖДОЙ.Понятно, что протухнут. Если РНК в списки отзыва смотрит. Что неочевидно. К сожалению, смотрит :( Как только наша бухгалтерия заменила сертифкат ЭЦП (по сторонней причине, сразу не сообщили, а момент отзыва сертифката Удостоверяющим Центром неочевиден и пришелся на предпраздничные-выходные) -- у нас сразу же случился "технический дефолт" по запретам (запрос не приняли, дамп не выдали, РКН выписал протокол нарушения), пока не получили в руки обновленный ключик и не переподписали им запрос. Но если мое (весьма возможно неправильное) понимание, верно и сертификат организации - он один, то это должно создать проблемы с другими местами использования. Те в существующей схеме отозвать только право 'может получать список блокировки' - нельзя. Ну почему же... подписанный запрос можно же тупо стереть -- вот и нет больше "доверенности" на это "право" :) Проблемы с другими местами использования лишь те же, что и проблемы работать с защищенным носителем в нескольких разных местах несколькими сотрудниками. Обычная схема -- есть штатные процедуры сопровождения нескольких рабочих мест, создания копий сертифкатов ЭЦП на дублирующие защищенные носители. Конечно, это связано с материально-финансовыми затратами и организационно-юридическими заморочками... но не более (а даже и менее), чем с ОБЫЧНЫМ применением ЭЦП в обычных для них сферах и областях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 20 декабря, 2013 · Жалоба Те в существующей схеме отозвать только право 'может получать список блокировки' - нельзя.Вот поэтому для получения списка лучше использовать отдельную ЭЦП. В существующей схеме лучше оставить все как есть. Отдельная ЭЦП стОит отдельных (немаленьких) денег, отдельного гимора с предоставлением/получением документов и защищенных носителей в Удостоверяющем Центре, и что более опасно -- дает также серьезные такие и совершенно ЛИШНИЕ в данном случае полномочия владельцу ЭЦП (доверенному лицу организации) сделать с этой самой организацией юридически значимые и возможно фатальные для нее действия. Потому что ОТДЕЛЬНЫХ ЭЦП именно и только для "запретов" пока в прайсах Удостоверяющих Центров нету. Есть квалифицированные ЭЦП для электронных торгов и для электронного документооборота с налоговой, различными ведомствами и фондами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 декабря, 2013 · Жалоба ...дает также серьезные такие и совершенно ЛИШНИЕ в данном случае полномочия владельцу ЭЦП (доверенному лицу организации) сделать с этой самой организацией юридически значимые и возможно фатальные для нее действия. Поясните. Допустим имеется квалифицированный сертификат, выданный на Петрова, который является рядовым работником тех.отдела и отвечает за реестр. Как уже говорилось выше, квалифицированная ЭЦП это фактически печать организации и личная подпись сотрудника. С какой стати к электронным торгам будет допущен некий Петров, если он не предоставит доверенность на участие в торгах? Ведь Петров не сможет, к примеру, и договор заключить с собою в качестве представителя, даже если где-то достанет печать организации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 20 декабря, 2013 · Жалоба А кто знает, что за софт у Надзора для проверки списка ? Как оно работает ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 20 декабря, 2013 (изменено) · Жалоба ...дает также серьезные такие и совершенно ЛИШНИЕ в данном случае полномочия владельцу ЭЦП (доверенному лицу организации) сделать с этой самой организацией юридически значимые и возможно фатальные для нее действия.Поясните.Допустим имеется квалифицированный сертификат, выданный на Петрова, который является рядовым работником тех.отдела и отвечает за реестр. Как уже говорилось выше, квалифицированная ЭЦП это фактически печать организации и личная подпись сотрудника. С какой стати к электронным торгам будет допущен некий Петров, если он не предоставит доверенность на участие в торгах? Ведь Петров не сможет, к примеру, и договор заключить с собою в качестве представителя, даже если где-то достанет печать организации. А он ее и предоставит, эту доверенность. Ещё на этапе получения сертификата ЭЦП. Потому что ЭЦП в прайсе УЦ только для определенных целей (торгов, СМЭВ, документооборота). И регламент УЦ для получения ЭЦП на доверенное лицо требует предоставления бумажной доверенности на совершение соответствующих действий. Иначе ЭЦП не выдадут. Изменено 20 декабря, 2013 пользователем Ansy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
legioner0 Опубликовано 20 декабря, 2013 · Жалоба Отдельная ЭЦП стОит отдельных (немаленьких) денег, отдельного гимора с предоставлением/получением документов и защищенных носителей в Удостоверяющем Центре, и что более опасно -- дает также серьезные такие и совершенно ЛИШНИЕ в данном случае полномочия владельцу ЭЦП (доверенному лицу организации) сделать с этой самой организацией юридически значимые и возможно фатальные для нее действия. Мы сделали ЭЦП только для выгрузки реестра. Обошлось это примерно в 5 тысяч. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorov-p Опубликовано 20 декабря, 2013 · Жалоба А кто знает, что за софт у Надзора для проверки списка ? Как оно работает ? Списка чего? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lcgc Опубликовано 20 декабря, 2013 · Жалоба различными ведомствами а это разве не "наш случай" ??? Мы сделали ЭЦП только для выгрузки реестра а можно более подробно ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tem Опубликовано 20 декабря, 2013 (изменено) · Жалоба Списка чего? Реестра, конечно. Они ставят софт, причем как меня уверяют не только у себя, но и у нескольких клиентов, для мониторинга блокировки, меня вот и интересует, как оно работает Изменено 20 декабря, 2013 пользователем Tem Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...