to post messages and comments.

← All posts tagged SSL

Решил зайти с другого конца. Мне ж вообще нужен ГОСТ хотя бы на одной смарткарте. А ГОСТ-то бывают разные. В статье «Алгоритмы в токенах с поддержкой ГОСТ» указано, что ГОСТы от 2012го года реализованы только у трёх производителей: ESMART Token ГОСТ, JaCarta ГОСТ и Рутокен ЭЦП 2.0. Причём, Рутокен ЭЦП 2.0 — это только свисток, а в Рутокен SC — до сих пор прошлое тысячелетие. Если не хочу свисток, этого в минус. Осталось два.

столбец «На что выдан сертификат» для JaCarta я выделил красным, потому сертифицировано не целиком устройство, как в случае с РУТОКЕН (выделено зелёным), и даже хотя бы не микросхема, как у ESMART Token ГОСТ (выделено жёлтым), а только некое СКЗИ Криптотокен 2 в составе изделия JaCarta ГОСТ
Налицо явный контраст с отечественным ESMART® Token ГОСТ.

Группа компаний ISBC предлагает единственный продукт в своем роде – смарт-карты ESMART® Token ГОСТ, основанные на базе отечественной микросхеме MIK 51 от ПАО «Микрон»
Российские криптографические алгоритмы ГОСТ реализованы нативно в ОС смарт-карты в маске чипа (не используются Java апплеты для реализации ГОСТ).

Выделился явный лидер. Кузнечика (2015й год) не хватает, а Стрибог — есть! Одна проблема, про ЕСМАРТ почти никто не знает. В моём СибСоцБанке предлагают Рутокен или MS_Key K. В местном УЦ Прокс в продаже тоже какие угодно, только но ЕСМАРТ. Походил по сайту ЕСМАРТ. Прочитал про печать на смарткартах, понял, что можно прямо у них заказать. Но меня смущало, сделают ли они печать на одной карте? Нашёл на сайте форму заказа, ввёл туда 1, система не ругнулась. По электронной почте, по телефону пообщались, очень приветливые и программист, и дизайнер. Спрашивал, а ничего, что я одну карту хочу, отвечали, да нет, это нормально. Чуть меньше 1000 рублей карта, 35 рублей печать, попросили логотипы выслать. Потом выяснилось, что всё же не нормально. Их производство делает минимум 24 карты, и все будут с чипами. Ну куда мне 24? Разве что раздавать на конференциях как визитки :) :) :) Но странно, что это выясняется так не сразу.

Либо они могут продать белую карту. Почитал сайт более внимательно.

Наше оборудование позволяет наносить изображения на карты с помощью технологий офсетной и цифровой печати.
материал карты наилучшим образом подходит под все типы принтеров для прямой и ретрансфертной сублимационной печати

Ага. То есть, офсетную и цифровую печать ИХ ОБОРУДОВАНИЕ ПОЗВОЛЯЕТ, а для сублимационной и реверсивной печати МАТЕРИАЛ КАРТЫ ПОДХОДИТ. Значит, всё же можно себе индивидуально карту оформить, просто не у них. Я так понял, что реверсивная печать лучше прямой сублимационной. Теперь ищу, у кого сделать. Вычитал на одном сайте такое:

Если у вас нету возможности купить принтер, то можете обратится в центр кт за услугой печати на пластиковых картах.
О! Здорово, уже хочу. И даже в Барнауле у них филиал есть, что помогло бы сэкономить на доставке. Если ЕСМАРТ в Зеленограде, а я — в Барнауле, то как-то карта должна ко мне попасть, и ради такой мелочи отдельная доставка обходится дорого. Вот если регулярное сообщение между городами идёт, то другое дело. Ещё б с указанной электронной почты кто-нибудь за неделю ответил, и порядок, а так не понятно пока.

Интересовался темой, а какие вообще бывают токены/смарт-карты и для ЭЦП, и для PKI. Что-то смутно в памяти всплыло, что можно что-то у FSF купить и заодно поддержать их. Проверил. Значит, есть такие варианты: для Associate Member есть загрузочные карты с Линуксом. Интерфейс USB и только для хранения файлов. Вот если б они для ЭЦП такую не то смарт-карту, не то свисток сделали, не требующую считывателя, это было бы на отличненько. Но нет, это для другого. А ещё у FSF отдельно магазин, может там что есть? Что-то есть. Свисток, который умеет генерировать случайные числа и по совместительству флешка, но ни разу не криптотокен. Ещё можно было бы заказать Certum Open Source Code Signing Suite и понадеяться, что на смарткарте в этом комплекте изображено что-то такое, чтоб кому ни покажи, понятно было, что это для Open Source, что у любого условного разраба TortoiseHg такая же будет, и что я с такой картой — свой. Но я не увидел, чтоб там для опенсурсников какие-то особые смарткарты были. Вообще, всё удовольствие от смарткарт — в возможности на них что-то напечатать, а я у Certum так и не увидел, какое будет изображение. Как будет выглядеть считыватель, вижу, а карту забыли из коробочки выложить.

Нашёл вменяемого УЦП. Это такой, который, проведя проверки, и ЭЦП по ГОСТу может продать, и SSL для сайтов, а если не может SSL для сайтов выпустить сам, ТАК ХОТЯ БЫ НЕ БУДЕТ ТУПИТЬ и предложит перепродать от другого УЦ, который может. И одновременно это не простой спекулянт иностранным SSL, который всё никак не догадается российскими ЭЦП заняться из того же окна. Вот на токенах и смарт-картах ГОСТ и RSA уже давно вместе, а почему тогда записывать их в разных местах.

Итак, встречайте: АНК.

Издание сертификата ЭП
SSL-сертификаты для HTTPS и TLS
Я уж и не верил, что когда-нибудь такое увижу. Для продажи SSL сотрудничает с польским Certum. Ну хотя бы так.

Если таких УЦ будет побольше, глядишь, кто-нибудь догадается ещё какие-нибудь совмещённые варианты делать. В КриптоПро есть ГОСТ для Authenticode, но действует только внутри предприятия, где доверие внутреннему УЦ. Кто-нибудь из УЦ мог бы это решение догадаться наружу выставить. Если от ГУЦ Минкомсвязи цепочка идти будет, это бы сразу решило многие проблемы.

Ещё плюсы УЦ:
У них можно купить смарт-карты еСМАРТ ГОСТ с отечественным криптопроцессором от Микрона (Зеленоград). еСМАРТ редко, где можно встретить, а у них вот есть. еСМАРТ ГОСТ, Рутокен ЭЦП 2.0 и еТокен от Алладин — это на данный момент все варианты с ГОСТами 2012го года (Стрибог). Кузнечика (2015й год) нет нигде, но хотя бы так. У Рутокена обновились только токены, а на смарт-картах до сих пор прошлое тысячелетие. Алладин — не вполне российский и сертификацию проходил довольно интересным способом, сертифицируется не всё изделие, а только модуль в нём. Так и остаётся еСМАРТ как лучший (кмк) вариант.
Держат сервис трансграничного электронного документооборота.

Минусы:
Похоже, удалённо ЭЦП записать не получится. Один-то раз, может, и получишь по почте новую СК, а через год что, выкинуть? Или новую получать, на которой не будет ещё не истёкших других сертификатов со старой, если они неизвлекаемые. Вот это не очень здорово.

Насколько реально влияет на SEO сертификат? HTTPS DV вместо HTTP, HTTPS OV вместо DV? Symantec вместо Comodo? На месте тех, кто продаёт, я бы тоже так писал, как по волшебству подрастёт посещаемость, ну а реально? Вроде только Гугл так делал, и то уже отменил.

Пока что я вижу, что при пересечении всяких там российско-китайских границ на университетских проксях не сможет кешироваться ничего, и в России если с сайта что-то в блок попадёт, то сайт грохнется сразу весь. И, самое неприятное, либо как-то ужимать поддомены сайта в один-два, либо брать несколько вайлдкардов, потому что в отличие от DNS, звёздочка в сертификате работает только на один уровень вложенности. Когда сайты делал, сроду не думал, как потом натянуть на них TLS. Мог, хотел и делал хосты до пятого уровня вложенности. Всё равно виртуально. И-таки потом успешно перетаскиваю по частям на VDS.

Либо как-то на Аде написать, чтоб при обнаружении по SNI запроса на неопознанный поддомен так же на лету по API запрашивался бесплатный DV сертификат от Comodo и/или Let's Encrypt, сохранялся и сразу использовался в соединении. Или скомбинировать: на сайте, где пользователь может тыкнуть адресную строку мышкой, хороший сертификат, а внутри — бесплатные DV.

Смотрю и думаю, а зачем. Может, подождать, вдруг TLS станет не таким дебильным? SNI же как-то дождались.

Certum с февраля 2017 года будет предоставлять сертификаты для подписи кода только при условии использования токенов. Естественно, поддерживаемых Certum, а вы что подумали? Так что если вы великий разработчик проектов с открытым кодом, бегом за штуку рублей запрыгивать на подножку уходящего поезда.

Получил сертификат Authenticode для подписи Open Source от Certum. Приятно, что вписали имя кириллицей. "CN=Open Source Developer, Левашев Иван Александрович". В качестве дополнительного удостоверяющего личность документа подошёл загранпаспорт, а в качестве проекта — SOM-Delphi, хотя, наверное, лучше иметь в запасе что-нибудь более репрезентативное. Всё по e-mail и достаточно оперативно.

Cписок аккредитованных удостоверяющих центров Минкомсвязи
Мучил меня вопрос: вот, допустим, не пускают нас в какие–то корневые сертификаты, ну вот а взяли бы мы сами сделали браузер, который из коробки поддерживает ГОСТ и доверяет нужным сертификатам. Или дистрибутив OS. Или инсталлятор, который установит сертификаты в хранилище корневых сертификатов, и будем распространять вместе со своими программами вместо куда менее полезных Яндекс.Баров. И вопрос был: а каким именно корневым сертификатам? Где список?

Ну у нас же есть электронные подписи в принципе, если отбросить ПО и сайты. Нашёл. Сначала думал, есть один сертификат Минкомсвязи, а от него через одно–два звена подписываются сертификаты удостоверяющих центров, а они дальше — конечным пользователям. Нет. Скачал корневые сертификаты БТП, ковырнул, а они там — самоподписанные. Стало быть, такой браузер или OS должен будет импортировать штук 415 сертификатов, вот сколько есть в реестре аккредитованных УЦ, да ещё у каждого по несколько с разным периодом годности. И никакого CRL, только парсить .xls если. И архив с корневыми сертификатами сходу не обнаруживается, это у каждого из 415 надо с сайта скачать и периодически обновлять.

Но что ещё ожидаемо, вот так сходу у них сертификат для сайта или для подписи ПО я не вижу, как получить здесь, например, хотя вот здесь я читаю, как разработчик подписывает ПО по ГОСТу. Толку от добавления корневого сертификата в доверенные, если УЦ не даёт сертификаты для сайтов и подписи ПО.

Я думал, Chrome и Firefox игнорят сертификат для моих доменов из–за того, что я их понапихал штук 70 в один сертификат, но всё не мог найти в Интернете, а какой же там предел. Нет, оказывается, это ..domain.tld не прокатывает, где бы ни находился, хоть в начале списка, хоть в конце. Причём, .domain.tld в этом списке тоже находится, но не покрывает домен четвёртого уровня. Вот если поставить .subdomain.domain.tld, то работает. Печально, слушай. Придётся больше работать над списком.

Почему я вижу в FireFox "This website does not supply ownership information", когда в сертификате ясно прописаны O и OU? Вот даже Википедия якобы не предоставляет.

Первый раз в жизни добился, чтобы wget научился безопасно в SSL. Оказывается, все сертификаты нужно переименовать при помощи c_rehash, и, оказывается, C:\GnuWin32\etc\wgetrc не считается за глобальный файл настроек, а C:\GnuWin32\bin\wget.ini — вполне себе да.

pagekite.net PageKite — прикольный реверс прокси с поддержкой туннелирования от бекэндов к фронтэндам. Поддерживает TLS и SNI. Умеет цепочки прокси для туннелей от бэкэнда к фронтэнду. Умеет несколько бэкэндов к одному фронтэнду и несколько фронтэндов к одному бэкэнду.

kousec.com
Заметил, что появилась новая версия OrenOSP, почти единственного реверс прокси, умеющего IPv6, TLS и SNI одновременно. Уже ломанул, осталось проверить, снято ли дурацкое ограничение на 6 дополнительных профилей SSL

SSL

Из фирмы–разработчика orenosp пишут:

The first enhancement I will do is to add support for
multiple hostnames in SNI SSL profile.

I will let you know when I have a beta software that I'd like
to ask you to test.

Не может не радовать

SSL

Вот ещё один сюрпиз orenosp: эмпирически установлено, что дополнительных SSL профилей может быть не больше 6. Если делать больше, начинают игнориться предыдущие. У меня как раз 6 доменов, уложился, но поддомены повесить на сертификаты от StartSSL уже не могу. А теоретически, я бы мог для каждого используемого поддомена настрогать сертификатов, которым доверяют браузеры (чего не сказать про CACert). Бесплатно.

Странно всё это. Как–то сильно не соответствует софт своей рекламе. Было бы жалко за такое выложить 500 USD

SSL

Как Proof of conept, TLS SNI я у себя уже посмотрел в действии. Один домен подписан StartCom (StartSSL), другой — Root CA (CAcert.org), и всё это один IP и один порт. Только вот в orenosp не могу понять, как несколько доменов на один SSL профиль повесить и как wildcard сделать. В доках не описано. Запятые, двоеточия, пробелы перепробовал. wildcard не работает ни для *.домена, ни для .домена. Может, не реализовано? Пока некритично, так что оставлю как есть.