Сертификат не действителен доверия сертификату. Устранение ошибок сертификатов

Не смотря на то, что программа КриптоАРМ во многих отраслях уже стала стандартом для электронной подписи, у пользователей по-прежнему возникает множество вопросов по работе с ней. Мы решили рассказать о том, как начать работу в КриптоАРМ и одновременно осветить наиболее часто задаваемые вопросы, которые возникают почти у всех: как исправить ошибку построения пути сертификации и ошибку отсутствия полного доверия к сертификату.

Обычно эта ошибка выглядит так:

Давайте сначала разберемся, почему эта ошибка возникает.

Отсутствие полного доверия к сертификату означает, что ваш компьютер не знает, может ли он доверять Удостоверяющему Центру (УЦ), который выдал вам сертификат, а соответственно - и самому вашему сертификату электронной подписи. Чтобы это исправить, нам нужно будет добавить этот УЦ в список доверенных на вашем компьютере.

Сообщение об ошибке построения пути сертификации говорит нам о том, что КриптоАРМ хотел бы проверить, нет ли вашего сертификата в списке отозванных. Такой список нужен для того, чтобы включать в него потерянные или украденные сертификаты. Если ваш сертификат в таком списке - им никто не может воспользоваться. Ссылка на такой список (его выкладывает УЦ на свой сайт) есть прямо в вашем сертификате, и если у вас есть подключение к Интернет, то КриптоАРМ сам может скачать и проверить, нет ли вашего сертификата в таком списке.

Можно сделать следующий вывод: если вы железобетонно уверены, что ваш УЦ правильный, и что вашего сертификата нет в списке отзыва - то можно ничего не делать и ошибки не исправлять. Это действительно так!

Шаг 1: Переводим КриптоАРМ в режим Эксперт

В КриптоАРМ почему-то в режиме Эксперт работать значительно проще, чем в режиме пользователя. Поэтому для начала перейдем в этот режим

Шаг 2: Подключаем сертификат электронной подписи

Здесь я руководствуюсь тем, что вы уже озаботились безопасностью вашего сертификата, приобрели токен , и положили туда свой сертификат. Ну или по крайней мере положили на дискету или флешку (и храните их в сейфе). Если все же нет - .

Подключаем отчуждаемый носитель

Выбираем криптопровайдер , как показано на скриншоте, а выбирая тип носителя, следует выбрать токен или дискету (флешка считается дискетой , не удивляйтесь).

или

Теперь выбираем контейнер. Контейнер, если упростить, это просто место где хранится сертификат на токене или флешке. В одном контейнере обычно лежит один сертификат, поэтому выбор контейнера сводится к выбору сертификата. Если у вас на носителе (флешке, токене, дискете) лежит несколько сертификатов - выберите именно тот, который вам нужен.

Если ваш контейнер хранится на токене (или в иных случаях), то нужно будет ввести пин-код. Для Рутокен стандартный пин-код 12345678 , для eToken - 1234567890 . Если вы все еще пользуетесь стандартным пин-кодом - стоит его сменить, ведь весь смысл использования токена заключается в защите сертификата пин-кодом.

Все, мы объяснили программе КриптоАРМ , где находится наш сертификат, но она ему не очень доверяет.

Шаг 2-1: Подключаем сертификат, если он не на съемном носителе

Если ваш сертификат лежит где-то на вашем локальном диске, то хочу вас предупредить - это очень небезопасно . Согласно данным Лаборатории Касперского, Россия находится в первой пятерке стран с наивысшей вероятностью заражения вирусами , при этом каждый двадцатый компьютер, имеющий антивирусную защиту, все же заражен тем или иным вирусом. А это значит, что злоумышленники, которые управляют вирусами, могут легко и непринужденно украсть ваш сертификат электронной подписи.

Я попытался найти простой способ добавить сертификат в КриптоАРМ, если он лежит на локальном диске, но не нашел. Поэтому единственный быстрый способ добавить сертификат с локального диска в КриптоАРМ - это положить его на флешку (прямо в корень, без папок) и .

Шаг 3: Добавляем сертификат УЦ в список доверенных центров сертификации

Для этого возвращаемся в основное окно КриптоАРМ, заходим Сертификаты - Личное хранилище сертификатов - Правой кнопкой мыши на ваш сертификат - Свойства

Переходим на вкладку "Статус Сертификата ", выбираем сертификат удостоверяющего центра (из него "вытекает" ваш сертификат), и нажимаем Просмотреть , а затем нажимаем кнопку Установить сертификат .

Выбираем пункт "Поместить все сертификаты в следующее хранилище ", нажимаем Обзор , а затем выбираем "Доверенные корневые центры сертификации ", а затем подтверждаем установку сертификата.

OCSP (сокращенно от полного названия Online Certificate Status Protocol ) представляет из себя Интернет протокол для проверки статуса SSL-сертификата, который работает быстрее и надежнее, чем это осуществлялось ранее с помощью списков САС (или CRL списков) с отозванными SSL сертификатами.

Вкратце протокол OCSP работает следующим образом: конечный пользователь посылает запрос серверу для получения информации о SSL-сертификате. В ответ он получает OCSP ответ, один из следующих вариантов:

good – SSL сертификат не отозван и не заблокирован,
revoked – SSL сертификат отозван,
unknown – не удалось установить статус SSL сертификата, так как серверу не известен издатель.

Эти OCSP ответы позволяют пользователям узнать статус SSL сертификата и подтвердить (или поставить под сомнение) безопасность того или иного веб-сервиса. Протокол OCSP стремительно ускорил процесс получения информации о SSL сертификатах и таким образом стал предпочтительным инструментом проверки статуса SSL сертификата для пользователя в режиме реального времени.

Как проверялся статус сертификатов до OCSP?

Ранее для проверки статуса SSL сертификатов использовались САС списки (также распространено название CRL списки, сокращенно от Certificate Revocation Lists). САС представляет собой список с SSL сертификатами, которые по каким-либо причинам были отозваны. Такой причиной, к примеру, может стать потеря или компрометация приватного ключа, привязанного к сертификату, или взлом сайта.
CRL списки очень информативны и содержат все серийные номера SSL сертификатов, которые были отозваны, тем самым являясь очень ресурсоемкими, а следовательно и более медленными, чем протокол OCSP. Списки САС должны постоянно обновляться со стороны центров сертификации, что требует достаточно много времени и усилий. К тому же процесс проверки сертификата по CRL спискам часто выдает неверный результат, так как информация в списках САС может быть устаревшей на момент запроса.

Как работает протокол OCSP?

Оптимальное решение на смену CRL протоколу — это протокол OCSP, позволяющий запрашивать статус сертификата стандарта X-509 на специальных серверах центров сертификации в режиме реального времени. Стандарт X-509 — это интернациональный стандарт для инфраструктуры общественного ключа, представляющий собой криптографическую систему, в которой выдаются, распределяются и проверяются сертификаты. Структура X-509 содержит такие данные о сертификате, как версия, серийный номер, алгоритмы и значение подписи, имя (название) владельца и издателя, срок действия сертификата, публичный ключ, подпись.

Протокол отправляет в режиме настоящего времени запрос на OCSPсервер, который обычно принадлежит издателю SSL сертификата, и получает OCSP ответ, как описано в начале текста. Если сервер не может обработать запрос, он возвращает ошибку. Ответы OCSP, как правило, имеют цифровую подпись и могут быть проверены пользователем на подлинность. Цифровая подпись OCSP ответа должна осуществляться тем же ключом, что и подпись самого SSL сертификата.

Протокол OCSP позволяет проверять большое количество SSL сертификатов, получая список ответов от сервера. Условием подтверждения актуального статуса сертификата является необходимость работы сервера по актуальной базе данных сертификационных центров. Большинство программ, например, Windows Vista и выше, все версии Mozilla Firefox, Adobe, Opera начиная с версии 8.0, Lotus и т.д. поддерживают протокол OCSP. Однако некоторые более старые браузеры, которые поддерживают только CRL. Кроме того, браузер Chrome отменил проверку статуса SSL по OCSP.

Различия между CRL и OCSP

Свойства списков САС:

Список серийных номеров сертификатов, которые были отозваны
Необходимо обновление вручную каждых 5-14 дней
Проверка только сертификатов с EV (не работает для и )
Если список САС недоступен, сертификат по умолчанию считается доверенным

Свойства протокола OCSP:

Проверка SSL сертификата в индивидуальном порядке
Требуется меньше информации, ниже нагрузка на сеть
Осуществляется на серверах, принадлежащих издателям сертификатов
Имеются некоторые уязвимости личных данных

Что делают сертификационные центры?

Каждый из центров сертификации, как правило, владеет собственным сервером для проверки статусов SSL сертификатов, где одним из важнейших требований является время обработки запроса сервером. Издатели вкладывают огромную работу в оптимизацию и ускорение данных запросов, чтобы ни в чем не уступать своим конкурентам. Различные исследования показали, что замедления в обработке запросов могут привести к значительным коммерческим потерям. Одними из самых быстрых на сегодня являются сервера центра сертификации

Обмен письмами с владельцем сертификата (инспекцией / спецоператором связи) возможен только в том случае, если сертификат, который установлен в карточке его владельца на закладке "Сертификаты ", имеет статус "действителен ".

Если у сертификата на закладке "Сертификаты " в поле "Статус " появляется любое другое сообщение, это означает, что сертификат непригоден.

При получении писем от владельца данного сертификата возникнет ошибка "Невозможно определить отправителя! " и письмо окажется в реестре проблемной почты (т.е. не будет получено). При отправке документов в адрес владельца данного сертификата возникнет ошибка "У лица <Название владельца сертификата> не найдено действительного сертификата для шифрования " и документ не будет отправлен.

В каких случаях определяется непригодность сертификата?

Истек срок действия сертификата

Сертификаты выдаются центрами сертификации на определённый срок. Когда срок действия сертификата истекает, использование данного сертификата в системе электронной отчётности автоматически прекращается. В этом случае у сертификата в карточке его владельца в поле "Статус " появляется сообщение "Один из сертификатов удостоверяющей цепи не подходит по дате ".

Как правило, когда подходит завершение срока действия какого-то сертификата, спецоператор связи в своей базе устанавливает в карточку владельца сертификата сертификат с новым сроком действия и рассылает этот сертификат в адрес других абонентов системы. Получение сертификата на стороне абонента-получателя происходит в обычные сеансы документооборота, как только сертификат получен, он автоматически устанавливается в карточку его владельца на закладку "Сертификаты ". Как только сертификат вступает в действие, он автоматически начинает использоваться вместо того сертификата, срок действия которого истёк. Этот порядок используется как при истечении срока действия сертификатов ИФНС, так и при истечении срока действия сертификата спецоператора связи.

Если сертификат с новым сроком действия вы получили на дискете или средствами обычной почтовой программы, в этом случае вам необходимо открыть карточку владельца сертификата и добавить сертификат на закладку "Сертификаты " из файла сертификата, который вы получили. Для этого необходимо выполнить ряд несложных действий:

1. В справочнике организаций откройте соответствующую карточку.

2. Перейдите на закладку "Сертификаты " и нажмите клавишу <Ins >, выберите добавление сертификата "Из файла" , далее укажите полученный файл сертификата.

Рис. 15-17 – Реквизиты сертификата

Убедитесь, что ключ подписи соответствует данному налогоплательщику и что он действителен . Название владельца указано в поле "Кому выдан ", текущий статус ключа отображается в поле "Статус ".

3. Закройте окно с реквизитами сертификата ("Сохранить "). В таблице на закладке "Сертификаты " появляется новая запись.

Сертификат был отозван

Удостоверяющие центры могут аннулировать и прекращать действие сертификатов, которые им были выданы (отзыв сертификатов). Списки отозванных сертификатов (списки отзыва) периодически публикуются удостоверяющими центрами. Эти списки регулярно рассылаются специализированными операторами связи системы в адрес своих абонентов.

Получение списка отзыва на стороне абонента происходит автоматически, в обычные сеансы доставки почты (вместе с документами с отчётностью).

Как только список отзыва получен, он автоматически устанавливается в реестр отозванных сертификатов ("Главное меню/ Сервис/ Обновления/ Списки отзыва сертификатов " в задаче "Администратор "). Как только в этот список попадает отозванный сертификат, его статус меняется с "действителен " на "отозван ". Доставка документов владельцев данных сертификатов автоматически прекращается.

Непригоден / отсутствует корневой сертификат

Подлинность сертификатов, которые используются в системе, подтверждают сертификаты удостоверяющих центров , которыми они были изготовлены. Сертификаты всех удостоверяющих центров – изготовителей сертификатов отправителей и получателей писем, должны быть установлены в хранилище корневых сертификатов Windows на рабочей станции, на которой производится доставка документов, и иметь статус "действителен ".

Система работает с корневым сертификатом автоматически, без участия пользователя. Если сертификат соответствующего удостоверяющего центра отсутствует в корневом хранилище или непригоден (например, просрочен), использование сертификатов, изготовленных данным центром сертификации, прекращается.

В этом случае в карточках владельцев соответствующих сертификатов в поле "Статус " появляется сообщение: "Цепь сертификатов не закончена " и доставка документов владельцев данных сертификатов прекращается.

Для устранения проблемы следует обратиться в спецоператору связи или в соответствующий удостоверяющий центр, получить действительный сертификат и установить его в корневое хранилище с помощью Мастера импорта сертификатов Windows (подробные инструкции приводятся в приложении "Импорт корневого сертификата ").

Как только действительный сертификат удостоверяющего центра окажется в хранилище, статус сертификатов в карточках соответствующих организаций изменится на "Действителен ".

Непригодно СКЗИ "КриптоПро CSP"

При доставке документов для работы с ключами подписи и сертификатами используется программа СКЗИ "КриптоПро CSP ". Система работает с КриптоПро CSP автоматически, без участия пользователя. Если СКЗИ "КриптоПро CSP" не установлено или непригодно, прекращается доставка документов всех отправителей.

В этом случае у всех сертификатов в карточках организаций в поле "Статус " появляется сообщение "Один из сертификатов удостоверяющей цепи не имеет правильной подписи ", "Не найден подходящий криптопроцессор! " и доставка почты прекращается.

Для устранения проблемы необходимо переустановить СКЗИ "КриптоПро CSP" (подробные инструкции приводятся в приложении "Переустановка программ криптозащиты "). После переустановки КриптоПро CSP статус сертификатов в карточках организаций изменится на "Действителен ".

Возможно, будет полезно почитать: