Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры) pos gosuslugi

Если вы пользуетесь сайтом Сбербанка (и рядом др. гос. структур) — то, возможно, заметили, что там стало появляться сообщение с предложением установки сертификатов НУЦ Минцифры России (в целях безопасности и стабильности работы). См. скрин ниже. 👇

По делу ли оно появляется и нужно ли что-то делать?

img-Sayt-Sberbanka-preduprezhdaet-chto-na-vashem-PK-net-sertifikator-ot-Mintsifryi-i-rekomenduet-ih-ustanovit.png

Сайт Сбербанка предупреждает, что на вашем ПК нет сертификатов от Минцифры и рекомендует их установить

Корневые сертификаты Федерального казначейства.

Устанавливаются в хранилище «Промежуточные центры сертификации»

Сертификат Федерального казначейства 2001
(ГОСТ Р 34.11/34.10-2001) — действителен с 04.07.2017 по 04.07.2027
(серийный номер: 36 ac d4 55 00 00 00 00 01 2f)
Сертификат Федерального казначейства 2012
(ГОСТ Р 34.11-2012 256 бит) — действителен с 19.11.2018 по 19.11.2033
(серийный номер: 00 b5 f1 32 d3 00 00 00 00 01 5a)
Сертификат Федерального казначейства 2020
(ГОСТ Р 34.11-2012 256 бит) — действителен с 05.02.2020 по 05.02.2035
(серийный номер: 62 ab 79 95 00 00 00 00 03 b6)
Сертификат Федерального казначейства 2021
(ГОСТ Р 34.11-2012 256 бит) — действителен с 13.04.2021 по 13.04.2036
(серийный номер:00 cb c6 98 33 00 00 00 00 05 6e)
Сертификат Федерального казначейства 2022
(ГОСТ Р 34.11-2012 256 бит) -действителен с 10.01.2022 по 10.01.2037
(серийный номер: ‎00 cf e8 ff 61 00 00 00 00 05 f6)

Для тех кто не знает как ставить:

Скачиваем сертификат, двойным нажатием левой кнопки мыши открываем его (или правой кнопкой мышки как на картинке).
Выбираем «Установить сертификат» — Далее — выбираем пункт «Поместить все сертификаты в следующее хранилище» — жмем Обзор и выбираем нужное нам хранилище (Промежуточные центры сертификации)
Жмем Далее и Готово.

Установить сертификат
Промежуточные центры сертификации

В связи с переходом на использование сайтами российского сертификата безопасности, выданного российским удостоверяющим центром Минцифры через сайт «Госуслуги» (Russian Trusted Root CA), может возникнуть проблема доступа к таким сайтам.

Для того чтобы у Вас не возникало таких сложностей необходимо установить корневой сертификат данного удостоверяющего центра.

  • Разархивируйте архив RootCa_SSL_RSA. Откройте файл с расширением .cer. В открывшемся окне нажмите кнопку «Установить сертификат»

Установка корневого сертификата.jpeg

  • Далее в Мастере импорта сертификата выберете «Расположение хранилища». При выборе «Локального компьютера» Вам могут потребоваться права администратора. Нажмите «Далее»

Установка корневого сертификата 2.jpeg

  • В следующем окне Вам нужно выбрать хранилище, в которое нужно установить данный сертификат. Поставьте точку у параметра «Поместить все сертификаты в следующее хранилище» и нажмите на кнопку «Обзор». В окне «Выбор хранилища сертификата» и выберете «Доверенные корневые центры сертификации», нажмите «Ок». Затем нажмите «Далее».

Установка корневого сертификата 3.jpeg

  • Следующее окно завершение импорта сертификатов, в нём нужно нажать «Готово»

Установка корневого сертификата 4.jpeg

  • Окно закроется и после установки появится маленькое окошко с результатов установки.

Установка корневого сертификата 5.jpeg

После выполнения вышеуказанных действий Ваш компьютер будет готов к работе на станицах сайтов с российским сертификатом безопасности.

Для участников электронного декларирования, использующих программные продукты компании «СТМ», есть другая возможность установить данный корневой сертификат. В меню «Пуск-СТМ_Монитор ЭД – Установка корневых сертификатов». После нажатия на данный пункт произойдет установка корневого сертификата.

Установка корневого сертификата 6.jpeg

Если Вы самостоятельно не сможете справиться с настройкой  – можете обратиться в нашу платную техническую поддержку любым удобным способом:

  • через онлайн-чат на сайте (справа внизу)
  • по телефону (342) 2700-751

Картинка с бумажной подписью

Цифровой документооборот входит в нашу жизнь уверенными шагами и если для юридических лиц это уже суровые будни, то многие физические лица могли с этим еще не столкнуться. Но со временем оставаться в стороне становится всё сложнее и нужно приспосабливаться к меняющимся условиям, иначе можно получить не совсем приятные последствия.

Заключение договоров — дело привычное. Их заключают в банках, в больницах, при покупке мебели, оплате обучения. Прочитать договор, проверить реквизиты юридического лица, с которым заключается договор, убедиться в наличии печати и подписи — стандартная процедура, которая уменьшает риск обмана. Однако приобретённые навыки работы с бумажными договорами не могут просто так перейти в цифровой мир в силу специфики электронных документов.

В этой статье хочется рассказать о своем опыте знакомства с российскими электронными подписями (ЭП), которые используются для подписания договоров с физическими лицами в том числе и страховыми компаниями, а также подводных камнях, на которые наткнулся при этом.

Для меня эта история началась при заключении договора со страховой компанией ООО СК “Сбербанк страхование”. После оформления мне показались подозрительными некоторые факты (небольшой спойлер: всё оказалось хорошо) и я стал разбираться, как же мне проверить, что полученный документ действительно выдан страховой компанией, а не некими третьими лицами.

Что же меня насторожило?

После расчёта суммы в калькуляторе на сайте и заполнения формы с паспортными и контактными данными мне на электронную почту пришло письмо, в котором кроме общей информации, полезных ссылок и контактов было 3 вложения: памятка, правила страхования и сам полис. Я ознакомился с документами, оплатил страховку и стал ждать подписанную версию полиса.

Через полчаса ожидания я стал волноваться, быстрый поиск показал, что у страховой компании есть аж 3 разных активных домена: www.sberbank-insurance.ru, www.sberins.ru и sberbankins.ru, что не добавляло мне уверенности в компании.

Звонок в контакт центр принёс информацию о том, что присланный полис и является финальным документом с ЭП страховой компании. Мне показалось странным, что компания отдаёт уже подписанный документ еще до факта оплаты клиентом и я стал проверять полученный pdf файл.

Содержание
  1. Сервис для создания подписей для ЕСИА на nodejs с КриптоПро 4.0 в докер контейнере
  2. Принцип работы
  3. Установка лицензии
  4. Загрузка корневого сертификата
  5. Загрузка пользовательского сертификата
  6. Как запустить
  7. Рест сервер
  8. Как по быстрому выпустить тестовый сертификат:
  9. Авторизация
  10. Возможные проблемы:
  11. Env контейнера
  12. Немного про корневые и промежуточные сертификаты
  13. Глава первая
  14. Глава вторая
  15. Установка сертификатов
  16. Вариант 1
  17. Вариант 2
Читайте также:  Считать стало проще: изучите три эффективных метода всего за один год

Сервис для создания подписей для ЕСИА на nodejs с КриптоПро 4.0 в докер контейнере

Принцип работы

  • Устанавливает КриптоПро из установщика cryptopro/install/linux-amd64_deb.tgz
  • Устанавливает лицензию КриптоПро
  • Загружает корневой сертификат есиа
  • Загружает пользовательский сертификат
  • Запускает рест сервер со swagger и методом создания подписей

Установка лицензии

Лицензия устанавливается из аргумента LICENSE, если не указана используется триал версия(работает 3 месяца).

Загрузка корневого сертификата

в зависимости от аргумента ESIA_ENVIRONMENT загружается сертификат нужного окружения есиа:

  • Если не указан или указан test – сертификат тестового контура есиа (https://esia-portal1.test.gosuslugi.ru)
  • Если указан prod – сертификат от основного есиа (https://esia.gosuslugi.ru)

Корневые сертификаты есиа лежат в папке cryptopro/esia

Загрузка пользовательского сертификата

Необходимо специальным образом сформировать zip-архив certificate_bundle.zip и положить его в папку /cryptopro/certificates.
Пример такого zip-файла лежит в той же директории под названием certificate_bundle_example.zip
Содержимое zip файла:

├── certificate.cer - файл сертификата
└── le-09650.000 - каталог с файлами закрытого ключа
    ├── header.key
    ├── masks2.key
    ├── masks.key
    ├── name.key
    ├── primary2.key
    └── primary.key

Первый найденный файл в корне архива будет воспринят как сертификат, а первый найденный каталог – как связка файлов закрытого ключа. Пароль от контейнера, если есть, передается аргументом CERTIFICATE_PIN

Как запустить

  1. Скачать КриптоПро CSP 4.0 для Linux (x64, deb) и положить по пути install/linux-amd64_deb.tgz
  2. Подложить архив с сертификатом как /cryptopro/certificates/certificate_bundle.zip
  3. Создаем образ docker build --tag cryptopro-sign --build-arg CERTIFICATE_PIN=12345678 .
  4. Запускаем docker run -it --rm -p 3037:3037 --name cryptopro-sign cryptopro-sign

Рест сервер

Если следовать инструкции выше, то свагер будет находиться по адресу http://localhost:3037/docs/#/
Там же есть примеры вызова методов.
Доступные методы:

  • POST /cryptopro/sign – подписать текст

Как по быстрому выпустить тестовый сертификат:

  • Запустить докер контейнер по инструкции выше
  • Заходим в запущенный контейнер docker exec -ti cryptopro-sign sh
  • Создаем запрос на сертификат cryptcp -creatrqst -dn 'cn=test' -cont '\\.\hdimage\test2' -pin 12345678 tmp/test.csr (попросит понажимать разные клавиши)
  • Выводим результат cat /tmp/test.csr
  • Заходим на http://www.cryptopro.ru/certsrv/certrqxt.asp и вставляем вывод
  • В следующем окне выбираем Base64-шифрование и Скачать сертификат
  • Качаем и сохраняем certnew.cer файл в проекте по пути cryptopro/certificates/certnew.cer
  • В отдельном терминале переносим файл в запущенный контейнер docker cp cryptopro/certificates/certnew.cer cryptopro-sign:tmp/test.cer
  • Возвращаемся в первый терминал и загружаем сертификат в КриптоПро cryptcp -instcert -cont '\\.\hdimage\test2' tmp/test.cer
  • Попросит ввести пароль. Вводим 12345678
  • Переносим на нашу машину приватные ключи docker cp cryptopro-sign:var/opt/cprocsp/keys/root/test2.000 cryptopro/certificates/test2.000
  • В папке проекта cryptopro/certificates создаем архив. В архив кладем папку test2.000 и файл certnew.cer
  • Архив называем certificate_bundle.zip, пересобираем докер образ и запускаем.

Черпал вдохновение и взял многие вещи из этого репозитория

Авторизация

Для использования в продакшене лучше, чтобы сервис был не доступен снаружи инфраструктуры, т.к тут через рест можно что угодно подписать зашитым сертификатом. Если все же инфраструктура открытая, то в сервис следует встроить проверку авторизации.

Возможные проблемы:

Если получаете код ошибки 0x80090010 при вызове метода sign – вероятно срок действия вашего сертификата истек. Попробуйте создать новый по инструкции.

Env контейнера

PORT - numer. Порт рест сервера. Дефолт: 3037

Сегодня утром на всех площадках, которые интегрированы с ЕСИА (OAuth), запросы на получение токена стали валиться с ошибкой “cURL error 60: SSL certificate problem: unable to get local issuer certificate”.

Проверка сертификатов узла esia.gosuslugi.ru показала, что не удается верифицировать сертификат:

$ openssl s_client -connect esia.gosuslugi.ru:443 -CAfile cacert.pem 
CONNECTED(00000003)
depth=0 C = RU, postalCode = 125375, ST = Moscow, L = Moscow, street = 7 ul. Tverskaya, O = "MINKOMSVYAZ ROSSII, FKU", OU = IT, OU = PremiumSSL Wildcard, CN = *.gosuslugi.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = RU, postalCode = 125375, ST = Moscow, L = Moscow, street = 7 ul. Tverskaya, O = "MINKOMSVYAZ ROSSII, FKU", OU = IT, OU = PremiumSSL Wildcard, CN = *.gosuslugi.ru
verify error:num=27:certificate not trusted
verify return:1
depth=0 C = RU, postalCode = 125375, ST = Moscow, L = Moscow, street = 7 ul. Tverskaya, O = "MINKOMSVYAZ ROSSII, FKU", OU = IT, OU = PremiumSSL Wildcard, CN = *.gosuslugi.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=RU/postalCode=125375/ST=Moscow/L=Moscow/street=7 ul. Tverskaya/O=MINKOMSVYAZ ROSSII, FKU/OU=IT/OU=PremiumSSL Wildcard/CN=*.gosuslugi.ru
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Organization Validation Secure Server CA
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFyzCCBLOgAwIBAgIRALuG3INBIlMDFsTKJ2B9nG4wDQYJKoZIhvcNAQELBQAw
gZYxCzAJBgNVBAYTAkdCMRswGQYDVQQIExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAO
BgNVBAcTB1NhbGZvcmQxGjAYBgNVBAoTEUNPTU9ETyBDQSBMaW1pdGVkMTwwOgYD
VQQDEzNDT01PRE8gUlNBIE9yZ2FuaXphdGlvbiBWYWxpZGF0aW9uIFNlY3VyZSBT
ZXJ2ZXIgQ0EwHhcNMTcxMTI4MDAwMDAwWhcNMjEwMTI5MjM1OTU5WjCBwDELMAkG
A1UEBhMCUlUxDzANBgNVBBETBjEyNTM3NTEPMA0GA1UECBMGTW9zY293MQ8wDQYD
VQQHEwZNb3Njb3cxGDAWBgNVBAkTDzcgdWwuIFR2ZXJza2F5YTEgMB4GA1UEChMX
TUlOS09NU1ZZQVogUk9TU0lJLCBGS1UxCzAJBgNVBAsTAklUMRwwGgYDVQQLExNQ
cmVtaXVtU1NMIFdpbGRjYXJkMRcwFQYDVQQDDA4qLmdvc3VzbHVnaS5ydTCCASIw
DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALc1QoiKfMP2hthJfmhltOy2sWyq
9K1haKqX9g7I3nIHr+E50zL3dYHmUi5XLUiOSWzlC6yehmAS1BWY6npGOsuio7Zx
QcE34AhHu7QroHeWsjfFTlCR+H2LoRvh9pKhY4PdbVXQ1SiVYxLO6pYUD7wtG2oN
PUJJTYsqLWEzC0UYFD2kYctf/mTmQZb5eMtY090T8tAZXNi0pJDTyizYCJo6B9qI
7zJH7jVML2Zi2Skx4Dg5NOwibP+9SLeBJmk+fYugw2dR+WznHah+pkZn/GTHnDMm
69a6ytpniu2iv1liWBNdfZbKg4GBPkSfjKHvRZ6FDRMddIoZbqq1OXV2jekCAwEA
AaOCAeYwggHiMB8GA1UdIwQYMBaAFJrzK9rPrU+2L7sqSEgqErcbQsEkMB0GA1Ud
DgQWBBTUpPM2CbO+3Hrzz+jfRw4jARAM8TAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0T
AQH/BAIwADAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwUAYDVR0gBEkw
RzA7BgwrBgEEAbIxAQIBAwQwKzApBggrBgEFBQcCARYdaHR0cHM6Ly9zZWN1cmUu
Y29tb2RvLmNvbS9DUFMwCAYGZ4EMAQICMFoGA1UdHwRTMFEwT6BNoEuGSWh0dHA6
Ly9jcmwuY29tb2RvY2EuY29tL0NPTU9ET1JTQU9yZ2FuaXphdGlvblZhbGlkYXRp
b25TZWN1cmVTZXJ2ZXJDQS5jcmwwgYsGCCsGAQUFBwEBBH8wfTBVBggrBgEFBQcw
AoZJaHR0cDovL2NydC5jb21vZG9jYS5jb20vQ09NT0RPUlNBT3JnYW5pemF0aW9u
VmFsaWRhdGlvblNlY3VyZVNlcnZlckNBLmNydDAkBggrBgEFBQcwAYYYaHR0cDov
L29jc3AuY29tb2RvY2EuY29tMCcGA1UdEQQgMB6CDiouZ29zdXNsdWdpLnJ1ggxn
b3N1c2x1Z2kucnUwDQYJKoZIhvcNAQELBQADggEBAJ8JrnH6MTKozJQ1blPPoCJW
NYsZaCs/rm5H2W2fhiB2Nh5CgaMS8pZUXq94yPdYsf+2LIqmH+zFI2i1G5fDXzrW
Xd3ZyE1lmVE9sM+1H9srmIJVCFwO/H4jq1z8yjHkggWdAzDEF7d8eURUM2++hYiL
LguSZa6gQ61pmjOueoas6ewC7YP1QSx/lhBltuGD922qhYGnWc+nKP4PnZHCYqMb
IBBLtkXqrnOUcdqGnLefGPkkeuvmpZbE8zi5JBggq1GusTdgRGzLyjxMDUS/+WS1
raiwZKD75R5pfwWzaVyUFnN81ZBhuGnPyaLUuheKcs6e4eDElmlyGtGh4LY3+8Q=
-----END CERTIFICATE-----
subject=/C=RU/postalCode=125375/ST=Moscow/L=Moscow/street=7 ul. Tverskaya/O=MINKOMSVYAZ ROSSII, FKU/OU=IT/OU=PremiumSSL Wildcard/CN=*.gosuslugi.ru
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Organization Validation Secure Server CA
---
No client certificate CA names sent
---
SSL handshake has read 1672 bytes and written 589 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : AES256-SHA
    Session-ID: DB90250B5E95AFAC7AEFF02B7EA71014A0EA42BBB266BC7764AFF2E2B0BDD218
    Session-ID-ctx: 
    Master-Key: 9197568D1B0D7136771D1788C6737F01EC9C3A194F2523C995E9C5BC0E6978C4845B85D933ADE7CFCA29CD4C091C3000
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1553665575
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)

На сколько я понял, решения два:

  1. Отлкючить в curl валидацию ssl-сертификатов – очень плохо
  2. Установить “нужный” сертификат на каждждый хостинг для каждой площадки – не подходит, т.к. некоторые площадки размещены на шаредах

Кто уже столкнулся с этой проблемой, как решить?

Немного про корневые и промежуточные сертификаты

Проделав всю эту работу, меня не покидало чувство, что вся система построена не очень безопасно, требует от пользователя кучу дополнительных операций и доверия многим факторам: от поисковой системы, которая может не выдать первой строкой официальный сайт УЦ, до работы самого персонала УЦ, который выкладывает сертификаты без контрольных сумм на сторонние веб сервисы в проприетарных форматах контейнеров.

Однако просто списка недостаточно, нужны хотя бы ссылки на сайты этих УЦ, а также надо найти корневые сертификаты непосредственно от первоисточника, Минкомсвязи. Следующий точкой в поиске этой информации стал портал pravo.gov.ru, где перечислены ссылки на некоторые корневые сертификаты. Страница доступна только по http протоколу, контрольных сумм опять нет.

Приглядевшись, можно заметить, что первые 4 ссылки ведут на портал https://e-trust.gosuslugi.ru. Не совсем понятно, почему именно поддомен сайта госуслуг стал центральным в системе корневых сертификатов, но, кажется, тут приведена вся актуальная информация по корневым и промежуточным сертификатам.

Читайте также:  Новое о детских пособиях в москве

На странице головного УЦ https://e-trust.gosuslugi.ru/MainCA приведены 10 корневых сертификатов от Минкомсвязи, для разных ГОСТ алгоритмов и с разными сроками действия. Тут же доступны слепки ключей, можно проверить, что скачанный сертификат никто не подменил. Сам сайт имеет сертификат от Thawte.

У сертификатов есть поле точки распространения списка отзывов (CRL), в котором прописан путь получения списка отозванных сертификатов. При проверке ЭП на каком-то документе кроме установки промежуточного и корневых сертификатов нужно также установить и последний список отозванных и обновлять его перед каждой проверкой (данная процедура автоматизируется специализированным софтом, но штатные средства вроде бы так не умеют). На портале e-trust у каждого сертификата указан путь к такому списку и он может отличаться от того, что написано в самом сертификате. Чему верить? Не совсем понятно.

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

В заключение статьи хочется отметить, что проверка ЭП на электронных документах по силам каждому, однако это не совсем тривиальный процесс, требующий некоторых знаний. Возможно, что в будущем этот процесс упростится. Кроме этого остается открытым вопрос проверки ЭП на мобильных устройствах, а ведь они сейчас стали основным инструментом пользователей, давно опередив персональные компьютеры.

После написания статьи осталось несколько открытых вопросов, которые хотелось бы обсудить с сообществом:

  1. аналоги КриптоПро, особенно opensource инструменты для создания и проверки ЭП;
  2. добавление валидации ЭП не только в Adobe Acrobat Reader DC, но и в Foxit Reader и другие;
  3. оставшиеся за пределами данной статьи проблемы, которые также важны и требуют внимания, но не проявились в моём случае.

UPD 0: В комментариях подсказали онлайн сервис на портале госуслуг для проверки ЭП документов: https://www.gosuslugi.ru/pgu/eds. К сожалению, не заработало в моём случае, но может быть полезно.

UPD 1: После написания статьи мне подсказали, что есть ещё один криптопровайдер, ViPNet CSP, который тоже может помочь с ГОСТовскими криптоалгоритмами в системе. Одновременная установка его с КриптоПро CSP под вопросом.

КДПВ: edar, Pixabay

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Всегда-ли вы проверяете ЭЦП в полученных электронных документах?

Проголосовали 72 пользователя.

Воздержались 28 пользователей.

Глава первая

Все манипуляции с PDF документом приведены в чистой версии ОС Windows 10, русская домашняя редакция, как наиболее вероятной среде работы простого пользователя. Набор софта, используемый в статье, также является непрофессиональным и доступным для всех.

Для начала я открыл документ в просмотрщике Foxit Reader, который использую как основной:

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

Это выглядит очень и очень подозрительно — документ модифицирован непонятно кем, сертификат также не является доверенным. Система не может проверить цепочку доверия для данного сертификата и помечает его недействительным.

Кроме имени организации, которой выдан сертификат, видно наименование выдавшей его организации, ООО “ИТК”. Поиск по запросу “ООО ИТК сертификат” вывел меня на страницу Установка корневого сертификата Удостоверяющего центра ООО «ИТК». Это официальный сайт ООО «Интернет Технологии и Коммуникации», который является одним из удостоверяющих центров, выдающих сертификаты ЭП.

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

Снова открываем сертификат из документа. И чуда не произошло, цепочка доверия от корневого до конечного не строится!

Изучаем ЭП подробнее: в Foxit Reader есть дополнительная информация о свойствах подписи:

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

Ага, алгоритм хеширования ГОСТовский, ЭП создана в КриптоПро PDF. Возможно, Windows не знает про ГОСТ шифрование и поэтому ему нужен дополнительный криптопровайдер.

Идём на сайт КриптоПро, регистрируемся, скачиваем пробную версию КриптоПро CSP 5.0 на 3 месяца. Что будет дальше — не совсем понятно, возможно всё превратится в тыкву, посмотрим.

Снова открываем просмотр сертификата ЭП:

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

Выглядит уже лучше. Видно, что система считает сертификат действительным, построена цепочка от корневого сертификата через промежуточный.

Сообщение о проверке немного улучшилось, но всё равно Foxit Reader не может проверить сертификат (вероятно дело в ГОСТовском алгоритме):

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

В Adobe Acrobat Reader DC проверка тоже не успешна:

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

И на этом вроде бы можно остановиться: Foxit Reader подтверждает, что документ не был изменен после подписания, руками можно проверить, что сертификат подтверждается системой и действителен. Но всё же хочется довести дело до конца, чтобы хотя бы одна программа сказала: да, документ действителен, всё хорошо.

Вспоминаем, что полис подписан в программе КриптоПро PDF. Вероятно, что раз она может создавать такие подписи, то уж наверняка должна их и проверять. Ставим.

+1 триал версия на 90 дней, хотя вроде бы надпись при установке успокаивает, что при использовании продукта в Adobe Acrobat Reader DC лицензия не нужна.

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

Ура, долгожданное сообщение о том, что всё хорошо.

Подведем промежуточный итог. Для проверки действительности ЭП на документе нужно:

  • Узнать, какой удостоверяющий центр выдал сертификат, которым подписан документ, установить его промежуточный и, если такого еще нет, корневой сертификат (в нашем случае из rar архива с Google Drive);
  • Установить в систему криптопровайдер (вероятно, существуют другие криптопровайдеры, которые обучат Windows ГОСТовским криптоалгоритмам) КриптоПро CSP с триалом на 3 месяца и неизвестностью после;
  • Для проверки подписи из Adobe Acrobat Reader DC установить КриптоПро PDF (без CSP он не ставится).

Вот такой алгоритм вырисовывается из поверхностного анализа темы за вечер. Проблема проверки цифровой подписи была решена, но видно трудности, которые могут возникнуть у рядового пользователя:

  • Нужно как-то найти и скачать корневой и промежуточный сертификаты. Непонятно, откуда его можно скачать официально, а поиск в сети может привести к установке левых сертификатов, через которые мошенники могут атаковать незадачливого пользователя;
  • Нужно понять, какого софта не хватает в системе и где его взять, из коробки ничего не работает. В данной статье приведены примеры на основе продуктов КриптоПро только потому, что это название встретилось в информации о создании ЭП. Нужно изучать тему в поиске аналогов;
  • Проверка полноценно заработала только в Adobe Acrobat Reader DC, в Foxit Reader проверка ЭП неполная, нет долгожданной зелёной галочки. Нужно копать дальше, вероятно есть решения.
Читайте также:  Приказ Минфина РФ от 21.07.2011 N 86Н

Глава вторая

Порывшись в почте, я нашел еще один электронный договор. По счастливой случайности, им тоже оказался страховой полис, но на этот раз еОСАГО от АО “Тинькофф Страхование”. Открываем сертификат, смотрим выпустившую сертификат организацию. Ей оказывается АО “Тинькофф банк”. Да, оказывается у них есть свой УЦ, который выдает сертификаты дочерним организациям (у Сбербанка тоже есть свой УЦ, но в дочерних структурах он не используется).

По отработанному алгоритму идём в поисковую систему с запросом “тинькофф сертификат”, находим официальный сайт УЦ АО Тинькофф Банк. Тут нас встречает изобилие ссылок на корневые сертификаты, списки отозванных сертификатов и даже видеоинструкция по их установке. Скачиваем “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2012”, на этот раз ссылка ведёт не на сторонний сервис, а на сайт банка. Формат файла P7B не очень известный, но открывается Windows без установки стороннего софта и показывает находящиеся в нём сертификаты. Здесь уже привычный корневой сертификат от Минкомсвязи (другой, не тот, что в первом случае) и промежуточный сертификат УЦ банка.

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

Ставим оба, проверяем сертификат в полисе. Но нет, сертификат не является доверенным, т.к. система не может подтвердить поставщика сертификата. На сайте УЦ было 2 ссылки на 2 цепочки сертификатов, один для ГОСТ Р 34.10.2001, другой для ГОСТ Р 34.10.2012. Полис был выпущен в этом году, логичнее бы его подписать уже более современным криптоалгоритмом (тем более уже есть версия ГОСТ от 2018 года, алгоритмы обновляются довольно часто), но давайте проверим старый.

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

В новом файле формата P7B оказывается уже 3 файла сертификатов. Можно поставить все 3, однако стоит заметить, что сертификат “Головного удостоверяющего центра” мы поставили в первой главе из RAR архива ООО “ИТК”, они идентичны. А сертификат с не очень говорящим названием “УЦ 1 ИС ГУЦ” поставил КриптоПро CSP, т.к. галочка об установке корневых сертификатов была установлена по-умолчанию в его инсталляторе. Единственным новым является сертификат АО “Тинькофф Банк”, который мы и ставим.

После установки сертификатов из “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2001” путь в сертификате прорисовался и система радостно сообщила, что он является доверенным. Adobe Acrobat Reader DC также подтвердил, что подпись действительна.

Переход сайтов на использование российского TLS сертификата, выданного Удостоверяющим центром Минцифры. (Инструкция по установке корневого сертификата Минцифры)

На этом приключения с проверкой ЭП на полисе еОСАГО завершаются. Заметно, что после того, как в системе уже установлен необходимый софт, а пользователь понимает принципы работы и поиска промежуточных сертификатов, то проверка подписи занимает уже меньше времени.

Но проблемные места по-прежнему видны: необходимо искать в интернете официальные сайты удостоверяющих центров, разбираться в инструкциях по установке сертификатов. Даже при установленных корневых сертификатах необходимо искать промежуточный, иначе цепочка доверия будет не полной и система не сможет подтвердить достоверность подписи.

Установка сертификатов

Вариант 1

Самый простой способ — установить 📌Яндекс-браузер или 📌Атом. Эти браузеры рос. разработчиков и по умолчанию содержат все необходимые сертификаты.

(По крайней мере стоит иметь один из них на ПК, и при работе с гос. сайтами использовать их. Это несколько безопаснее).

***

👉👉 Кстати, вот страница для проверки наличия сертификатов: http://www.sberbank.ru/ru/certificates

***

Если увидите сообщение, что “Сертификаты не найдены, ваше устройство не поддерживает…” (как у меня на картинке ниже) — значит у вас их нет…

img-Skrinshot-s-sayta-Sberbanka-----sertifikatyi-ne-naydenyi.png

Скриншот с сайта Сбербанка — сертификаты не найдены

*

Вариант 2

Здесь попробуем (🙂) установить сертификат для Windows вручную. Обо всем по порядку:

  1. сначала открываем страничку Госуслуг (https://www.gosuslugi.ru/crt) и загружаем корневой сертификат (их будет 2); 👇

    img-Skachat-kornevoy-sertifikat.png

    Скачать корневой сертификат

  2. если сертификат не загрузится, а откроется – выделите весь текст на странице и скопируйте (сочетания в помощь: Ctrl+A, Ctrl+C). Затем откройте текстовый блокнот и вставьте туда этот текст. Сохранить его можно под любым именем, главное: вместо расширения TXT используйте CRT!

    img-Esli-sertifikat-otkroetsya-v-brauzere.png

    Если сертификат откроется в браузере

    img-Sohranyaem-sertifikat-v-tekstovyiy-fayl-s-rasshireniem-CRT.png

    Сохраняем сертификат в текстовый файл с расширением CRT (кликабельно)

  3. далее требуется сделать правый клик мыши по файлу сертификата (расширение CRT) – и выбрать в меню “установить сертификат”;👇

    img-PKM-po-faylu-CRT-v-menyu-vyibiraem-ustanovit-sertifikat.png

    ПКМ по файлу CRT – в меню выбираем установить сертификат

  4. должен появиться мастер импорта сертификатов: в нем нужно выбрать текущего пользователя и указать, что сертификаты нужно поместить в “Доверенные корневые центры сертификации”;👇

    img-Import-doverennyie-sertifikatyi.png

    Импорт, доверенные сертификаты

  5. далее подтвердить установку сертификата (Russian Trusted Root CA);

    img-Hochu-ustanovit-sertifikat.png

    Хочу установить сертификат

  6. если все прошло успешно должно появиться сообщение об успешном импорте;

    img-Uspeshno.png

    Успешно!

  7. затем понадобиться загрузить выпускающий сертификат (https://www.gosuslugi.ru/crt, аналогично корневому его скачать). Затем  начать процедуру установки и выбрать автоматическое расположение (см. пример ниже);👇

    img-Zavershenie-rabotyi-mastera-importa.png

    Завершение работы мастера импорта

  8. сразу после этого – перезапустите все браузеры (в некоторых случаях лучше перезагрузить ПК);
  9. Затем, если для проверки открыть сайт Сбербанка (www.sberbank.ru/ru/certificates), и нажать Ctrl+F5 — должно появиться сообщение, что сертификаты установлены (если оного нет — значит вы сделали что-то неправильно). По моим опытам: вышеприведенное точно должно  работать с браузерами Chrome, Firefox… 👌

    img-Skrinshot-s-sayta-Sberbanka-sertifikatyi-ustanovlenyi.png

    Скриншот с сайта Сбербанка – сертификаты установлены!

*

Мнения и дополнения – приветствуются в комментариях ниже.

За сим откланяюсь, успехов!

👋

donate

dzen-ya

Полезный софт:


  • видеомонтаж

  • Видео-Монтаж
  • Отличное ПО для создания своих первых видеороликов (все действия идут по шагам!).
    Видео сделает даже новичок!


  • утилита для оптимизации

  • Ускоритель компьютера
  • Программа для очистки Windows от “мусора” (удаляет временные файлы, ускоряет систему, оптимизирует реестр).

Оцените статью