Одним из важных аспектов безопасности сайта является процедура аннулирования SSL сертификатов и их внесения в списки CRL. Как известно, центры сертификации выписывают SSL сертификаты безопасности только после валидации доменного имени и в некоторых случаях после тщательной проверки компании, которой принадлежит этот домен. Благодаря данной процедуре сертификационный центр может обеспечить достоверность информации в SSL сертификате и соответственно гарантирует безопасность защищенного веб-сайта. Все же иногда случается, что безопасность сайта может оказаться под угрозой даже с действующим SSL сертификатом, например, если специальный ключ доступа был утерян или украден. В таких случаях он должен быть аннулирован (отозван). Аннулированные SSL сертификаты заносятся в специальные списки CRL. Причины аннулирования SSL Существует множество причин для внесения SSL сертификатов в списки CRL до истечения срока их действия. Вот некоторые из них:

• SSL сертификат содержит неверное название компании или другую неверную информацию
• специальный ключ был утерян или скомпрометирован
• сотрудник, имеющий к нему доступ, уволился с места работы
• нарушение политики безопасности
• защищенный сайт больше не работает и т.д.

К этому перечню можно отнести любые факторы, которые могут способствовать утечке информации во время ее передачи по защищенному каналу. Дабы этого избежать, необходимо запросить отзыв SSL сертификата.

Статус SSL сертификата

Статус SSL сертификата на предмет его аннулирования проверяется браузером перед каждым установлением безопасного соединения по протоколу https. Существует два типа статусов:

1. Аннулирован или же отозван . Процедура аннулирования безвозвратна. Если статус гласит «аннулирован», то чтобы снова защитить Ваш сайт необходимо заново купить SSL сертификат .
2. Временно недоступен . Если же владелец домена, например, не уверен, потерял ли он ключ, он может использовать второй статус - «временно недоступен» - до установления места нахождения секретного ключа. В таком случае, если он нашелся и не был доступен для третьих лиц, этот статус можно отозвать и SSL снова станет действительным.

CRL или списки САС

Как же пользователи веб-ресурса узнают, что SSL аннулирован и защита сайта нарушена? Как раз для этого существуют списки аннулированных сертификатов (в международном варианте - Certificate Revocation Lists, сокращенно CRL), которые содержат следующие данные:

• уникальные серийные номера всех отозванных SSL сертификатов
• название ответственного центра сертификации,
• дату аннулирования,
• актуальную дату,
• дату публикации нового списка CRL.

Каждый список CRL защищен цифровой подписью, которая обеспечивает целостность информации в них и не позволяет третьим лицам внести изменения. Списки CRL регулярно обновляются и публикуются, обеспечивая актуальную информацию о статусе каждого SSL сертификата. Таким образом, браузер пользователя всегда будет знать, можно ли доверять указанному сайту с https соединением и соответственно, разрешать или блокировать доступ к нему.

Публикация списков CRL

Списки CRL создаются и публикуются с определенной периодичностью. Тем не менее в некоторых случаях, CRL могут опубликовать сразу после проведения операции по отзыву. Аннулирование SSL сертификатов и их внесение в списки CRL производит выдавший их центр сертификации. Срок действия списка CRL может колебаться от 1 до 24 часов.

В каких случаях используются списки CRL?

Когда мы имеем дело с сертификатами, мы используем CRL. Например, когда браузер пытается установить https соединение с сайтом, он верифицирует сертификат сервера. В процессе верификации, браузер выбирает способ проверить, не отозван ли SSL сертификат. Если выбран способ проверки по списку отозванных сертификатов CRL, браузер загружает соответствующий файл CRL по адресу, указанному в SSL сертификате и производит его проверку. Если Центр сертификации указал, что данный SSL сертификат отозван, доступ пользователя к сайту будет закрыт. Альтернативным методом спискам CRL является протокол валидации сертификатов, известный под аббревиатурой

CRL или CAC - списки SSL-сертификатов, отозванных центром выдачи (CA). На 2017 год происходит отказ от использования CRL (САС) в пользу OCSP (Онлайн Протокол Состояния Сертификата).

SSL обеспечивает защищённое HTTPS-соединение с сайтом, но существуют угрозы безопасности даже при действующем сертификате. Самая распространённая – секретный ключ скомпрометирован. Передача данных становится небезопасна. Чтобы номера кредитных карт и пароли пользователей не попали к мошенникам, сертификат нужно отозвать.

Основные причины аннулирования SSL:

• ключ утерян/украден или скомпрометирован
• неверно указано название компании или другие данные
• сайт прекратил работу
• сменился владелец ресурса
• выдавший сертификат Certification Authority скомпрометирован

Как работают списки CRL?

Список аннулированных сертификатов публикует Certificate Authority (CA), выдавший сертификат:

1) Владелец домена или посетитель сайта, заметивший проблему, обращается в CA и просит аннулировать действующий SSL.

2) CA заносит уникальный серийный номер сертификата в список CAC, который:

• защищён цифровой подписью центра - нельзя изменить
• обновляется минимум раз в сутки - всегда актуален

3) Каждый раз при соединении с ресурсом браузер посетителя проверяет, аннулирован ли SSL-сертификат. Смотрит в загруженных списках CRL или по протоколу OCSP - через запрос к CA. Если находит сертификат в списке CRL или получает от CA ответ, что сертификат отозван - показывает предупреждение об ошибке.

Не все браузеры загружают списки CAC и пользуются OCSP

Firefox проверяет статус только для сертификатов с расширенной проверкой EV. Пользователи этого браузера не узнают об отзыве SSL DV и OV. Так же как и мобильные пользователи Safari в iOS. Chrome определяет статус сертификата для Windows, но не для Linux и Android.

Internet Explorer и Opera - самые безопасные в этом отношении браузеры. Они используют OCSP и CRL в зависимости от того, что предлагает CA.

Аннулированный сертификат нельзя восстановить , только купить новый. Берегите секретный ключ - его утеря или компрометация чаще всего приводит к отзыву SSL-сертификата.

• КриптоАРМ

  Разработчик: ООО "Цифровые Технологии"

  • КриптоАРМ Старт просит лицензию

    Везде написано что КриптоАРМ Старт это бесплатная версия программы, и лицензию запрашивать не должна!

    Все верно, однако мало кто обращает внимания на то, что функционал в бесплатной версии значительно урезан, и "Старт" с Российскими ГОСТами работать не будет. Поэтому, когда пользователи пытаются подписать документы с использованием ГОСТового криптопровайдера, своим квалифицированным сертификатом, неизбежно возникает проблема. Необходимо приобрести

  • Не найден лицензионный ключ "КриптоАрм"

    Нужно просто установить лицензионный ключ для программы КриптоАрм, поскольку он не был установлен ранее или его срок действия истек.

    Если он у Вас уже есть, просто запускаем программу КриптоАРМ, в верхнем меню находим пункт помощь, и в выпадающем списке выбираем "Установить лицензию" В открывшееся окно в поле "Лицензионный ключ" можно внести лицензию.

    Если лицензии у Вас еще нет, то ее легко можно

  • Как получить временную лицензию на КриптоАРМ

    При первой установке предоставляестя тестовый период на 14 дней. Поддерживается полный функционал , затем программа перейдет в ограниченную версию Старт, для активации полного функционала необходимо будет приобрести лицензию.

  • Возникновение этой ошибки свидетельствует о некорректном вводе лицензии, причин может быть несколько:

    Во-первых, лицензии между версиями программы не совместимы, поэтому стоит убедиться, что версия установленного дистрибутива совпадает с версией лицензии, которую Вы приобрели. Определить версию можно просто взглянув на лицензионный ключ продукта. Для КриптоАРМ - версии соответствует третий символ лицензии.

    Во-вторых,

    В-третьих,

  • Программа не работает, висит окно "пожалуйста, подождите"

    Нужно отключить режим КЭП (нужен для проверки сертификатов на квалифицированность, для подписания документов не обязательно его использовать).

    • - Кликаем правой кнопкой мыши по любому документу,
    • - В открывшемся меню выбираем пункт "КриптоАРМ",
    • - Снимаем галочку "Квалифицированная подпись".

    можно обновить программу до последней версии, скачать .

  • КриптоАРМ при формировании отчета просит pin-код, как его поменять

    При создании подписи программа КриптоАРМ обращается к контейнеру, в котором хранится сертификат ЭП. Если сертификат хранится на токене, то необходимо ввести пин-код токена. Стандартные пароли производителей собраны в .

    Однако, при генерации подписи в удостоверяющем центре, пароль могли поменять на стандартный для этого УЦ, либо на пользовательский (т.е. тот кто получал ЭП на организацию ввел пин-код самостоятельно).

  • Не удаётся найти сертификат и закрытый ключ для расшифровки,
    использование выбранного сертификата не возможно
  • Cтатус сертификата неизвестен, локальный СОС не найден

    Эта ошибка означает, что актуальный список отозванных сертификатов Удостоверяющего Центра не установлен в локальном хранилище. Нужно проверить статус вашего сертификата в личном хранилище по CRL полученному из УЦ.

    Чтобы установить список, проверьте статус сертификата по CRL, полученному из УЦ:

    • - В программе “КриптоАРМ” выбрать папку “Личное хранилище сертификатов”;
    • - В окне справа выбрать нужный сертификат;
    • - Правой кнопкой мыши вызвать контекстное меню и выбрать “Проверить статус” - “По СОС (CRL) полученному из УЦ”.

    Статус сертификата должен обновиться, актуальный СОС будет установлен в локальном хранилище.

    Если статус не обновился:

    • - Откройте меню “Сервис” -> пункт “Свойства обозревателя” -> закладка “Подключения” -> кнопка “Настройка сети”;
    • - Убедитесь в том, что в “Настройках сети” флажки “Автоматическое определение параметров” и “Использовать скрипт автоматической настройки” были сброшены;
    • - Повторите процедуру обновления статуса сертификата.

    Если хотите, чтобы статус обновлялся автоматически:

    • - В окне Параметры настройки, выберите закладку Верификация сертификатов;
    • - Добавьте нужный УЦ выбором из имеющихся или все УЦ.
  • Ошибка при получении последней версии СОС из УЦ

    Для использования возможности получения списка отозванных сертификатов из УЦ необходимо соблюдение следующих условий:

    • - В проверяемом сертификате должно присутствовать расширение “Точки распространения списков отзыва/CRL Distribution Point (CDP)”, в котором указан правильный адрес списка отозванных сертификатов;
    • - По одной (оптимально, если по первой) из точек распространения СОС можно скачать СОС браузером Internet Explorer, не вводя при этом никакой дополнительной информации (имени пользователя, пароля, перехода по ссылкам);
    • - В настройках Internet Explorer НЕ должна быть включена автоматическая настройка прокси-сервера. Для проверки этого запустите “Internet Explorer” -> меню “Сервис” -> пункт “Свойства обозревателя” -> закладка “Подключения” -> кнопка “Настройка сети” ->
  • СОС и корневой не подгружаются автоматически
    • - В верхнем меню выберите раздел "Настройки"->"Управление настройками". В левой части открывшегося окна выбираем пункт "Профили". В правом окне создайте новый или измените старый профиль настроек. В окне "Параметры профиля", выберите закладку Верификация сертификатов. Добавьте нужный УЦ выбором из имеющихся или все УЦ;
    • - В настройках Internet Explorer НЕ должна быть включена автоматическая настройка прокси-сервера. Для проверки этого запустите “Internet Explorer” -> меню “Сервис” -> пункт “Свойства обозревателя” -> закладка “Подключения” -> кнопка “Настройка сети” -> должны быть сброшены флажки “Автоматическое определение параметров” и “Использовать скрипт автоматической настройки”.
  • Статус сертификата: недействителен, ошибка построения пути сертификации

    Вам необходимо установить на рабочем месте корневой сертификат Удостоверяющего центра и список отозванных сертификатов УЦ.

    Если у вас их нет, скачайте с официального сайта Удостоверяющего центра или по ссылке в составе сертификата:

    • - В КриптоАрм, открыть в личном хранилище нужный сертификат двойным кликом мыши -> Просмотреть -> Вкладка состав;
    • - Чтобы посмотреть ссылку на Корневой сертификат надо выбрать “Доступ информации о центре сертификации”;
    • - Чтобы посмотреть ссылку на Списки отзыва сертификатов надо выбрать Точки распространения списков.
  • Проблема с проверкой сертификата по CTL

    Проверка по CTL - это дополнительная функция программы КриптоАРМ и позволяет проверять сертификат по личному списку доверия пользователя. По умолчанию она должна быть выключена.

    • - Открываем прорамму КриптоАРМ;
    • - В верхнем меню главного окна выберите раздел "Настройки", раздел "Профили";
    • - В правом окне создайте новый или измените старый профиль;
    • - В окне "Параметры профиля", выберите закладку "Верификация сертификатов";
    • - В нижней части вкладки снимите галочку "Использовать CTL для проверки пути сертификации".
  • Не активна галочка "Сохранить подпись в отдельном файле"

    Пункт "Сохранить подпись в отдельном файле" не доступен, если в текущих настройках подписания выбрано задание каталога сохранения вручную. Чтобы подпись сохранялась в отдельном файле, надо задавать значение - «Текущий каталог»:

    • - Откройте программу "КриптоАРМ";
    • - В верхнем меню найдите ветку "Настройки";
    • - В левой части окна выберете пункт "Профили";
    • - Справа выберите профиль по умолчанию (отмечен зеленой галочкой);
    • - Откройте профиль;
    • - Перейдите на вкладку "Каталоги";
    • - Выберите опцию сохранения "Текущий каталог";
    • - Сохраните и закройте профиль (Применить);
    • - Начните подписывать. В мастере подписи галочка "Сохранить подпись в отдельном файле" будет активна.
  • Ошибка при установке: файл не является 7z архивом

    Установочный файл скачался не полностью. Одной из причин неполного скачивания файла может быть антивирус, попробуйте его отключить. Так же можно попробовать скачать файл с помощью другого браузера.

  • Ошибка при установке 2738

    MCafee или другой антивирус блокировал запуск VB script. Чтобы устранить ошибку нужно переустановить VB Script.

  • При вызове любой операции появляется окно инсталлятора,
    который производит настройку программы

    Программа установилась некорректно, либо повреждены системные файлы. Ее нужно переустановить:

    • - Удаляем КриптоАРМ через Панель упарвления/установка и удаление программ;
    • - Пререзагружаемся;
    • - Устанавливаем программу заново. Скачать последнюю версию можно
  • Росреестр не принимает документы. Исходный файл и файл подписи не соответствует друг другу

    Если портал Росреестра возвращает подписанные с помощью КриптоАРМ файлы с указанием, что исходный файл и файлы подписи не соответствует друг другу, необходимо:

    • - При создании подписи убедиться, что выбран тип кодировки DER и указана опция "Сохранить подпись в отдельном файле". Т.е. необходимо создать отделенную подпись и на портале размещать оба файла (исходный документ и файл подписи, около 2Кб).
    • - Если вы все подписали правильно и проверили со своей стороны подпись (она действительна), то проблема на стороне портала, у них периодически случаются сбои, попробуйте отправить файлы повторно.
  • Отсутствует личный сертификат, необходимый для расшифрования файла

    Если при расшифровке файлов возникает данная ошибка:

    • - Переустановите ваш сертификат в КриптоПро CSP по ;
    • - Если сертификат удачно обновляется, посмотрите, есть ли он в списке сертификатов получателей зашифрованных данных. Посмотреть можно открыв двойным щелчком мыши зашифрованный файл и дойдя до конца мастера. Серийный номер сертификата должен совпадать с прописанным в составе вашего личного сертификата;
    • - Также проверьте, установлены ли лицензии в программах КриптоПро CSP и КритпоАРМ.
• КриптоПРО CSP

  Разработчик: ООО "КРИПТО-ПРО"

  • Ошибка: указан неверный серийный номер

    Во-первых, лицензии между версиями программы не совместимы, поэтому стоит убедиться что версия установленного дистрибутива совпадает с версией лицензии, которую Вы приобрели. Определить версию можно просто взглянув на лицензионный ключ продукта. Для КриптоПРО CSP первые 2 символа лицензии соответствуют версии продукта.

    Во-вторых, на серверную ОС можно установить только серверную лицензию на ПО, вне зависимости от целей использования.

    В-третьих, данная ошибка может возникать из-за отсутствия у пользователя прав локального администратора. Чтобы лицензионный ключ заработал, нужно запустить программу от имени администратора и только тогда устанавливать лицензию.

  • Обновили Windows и перестало работать КриптоПРО При обновлении операционной системы обновляются и файлы системного реестра, в которые при установке прописывается криптопровайдер, поэтому после обновления ОС КриптоПРО тоже нужно .
  • Не обновляется ОС Windows 7 ошибка обновления 800b0001

    Эта ошибка характерна для КриптоПРО версии 3.6
    Если у Вас установлена Версия КриптоПРО 3.6, то попробуйте обновиться до CSP 3.6.7777 R4. Просто устанавливаете новый дистрибутив поверх старого, лицензию заново вводить не нужно, она хранится в реестре.

  • Как установить лицензию на программу КриптоПРО
    • - Запускаем программу КриптоПРО CSP: пуск(или поиск)/все программы/КриптоПРО/КриптоПРО CSP;
    • - На вкладке общее находим кнопку "ВВОД ЛИЦЕНЗИИ" нажимаем;
    • - В открывшемся окне видим поле "Серийный номер" в него нужно вставить буквенно-цифровой лицензионный ключ. Правая кнопка мыши при этом не работает, нужно воспользоваться сочетанием клавиш "Ctrl+V" на клавиатуре.
  • Срок действия этой версии КриптопПРО CSP истек

    Лицензия исткла или не была установлена в программе. Возможно несколько вариантов:

    Программа была установлена в тестовом режиме и триальный период закончился;

    Истек срок действия годовой лицензии КриптоПРО CSP;

    После переустановки/обновления программы лицензионный ключ не был введен.

    Если лицензия у Вас уже есть, можно воспользоваться инструкцией выше. Приобрести новую лицензию можно на

  • Не удаётся найти сертификат и закрытый ключ для расшифровки

    Нужно переустановить личный сертификат. Можно воспользоваться нашей .

    Если данная ошибка возникает при подписании документов на web-ресурсах, значит их нужно добавить в доверенные узлы в браузере.

    • - запустите “Internet Explorer”;
    • - Откройте меню “Сервис” -> пункт “Свойства браузера” -> закладка “Безопасность” -> закладка "Надежные узлы"-> кнопка “добавить”;
    • - Добавляем в список адрес сайта, на котором Вы собираетесь подписывать документы.
• КриптоПРО Office Signature

  Разработчик: ООО "КРИПТО-ПРО"

  • Как установить лицензию на программу Office Signature

    Самым простым способом будет установить лицензию при инсталяции программы, но если программа уже установлена и требет ввода лицензии, можно пойти по сложному пути:

    • - Запускаем приложение КриптоПРО PKI: пуск(или поиск)/все программы/КриптоПРО/КриптоПРО PKI;
    • - В левой части окна, раскрываем список "управление лицензиями" (нужно просто кликнуть по плюсику);
    • - Выбираем пункт КриптоПРО Office Signature;
    • - В верхнем меню программы выбираем действие/все задачи/ввести серийный номер;
    • - Вставляем в открвышееся окно лицензионный ключик и нажимаем ОК.

    Подробно об установке программы и лицензии написано в нашей .

  • Ошибка: указан неверный серийный номер

    Возникновение этой ошибки свидетельствует о некорректном вводе лицензии. Причин может быть несколько:

    Во-первых, лицензии между версиями программы не совместимы, поэтому стоит убедиться, что версия установленного дистрибутива совпадает с версией лицензии, которую Вы приобрели. Определить версию можно просто взглянув на лицензионный ключ продукта. Для offiсe signature версии соответствует третий символ лицензии.

    Во-вторых, данная ошибка может возникать из-за отсутствия у пользователя прав локального администратора. Чтобы лицензионный ключ заработал, нужно запустить программу от имени администратора и только тогда устанавливать лицензию.

• КриптоПРО PDF

  Разработчик: ООО "КРИПТО-ПРО"

  • Инструкция по установке и использованию КриптоПРО PDF
  • Введен неверный лицензионный ключ

    При создании лицензии на приложение КриптоПРО PDF обязательно указывается наименование организации заказчика, при ее установке нужно указать то же наименование организации (регистр и кавычки имеют значение).

    Если лицензия была приобретена на физ. лицо, то в поле "Организация" нужно вводить ФИО заказчика.