ФЗС Росказна перевыпуск сертификата – инструкция для чайников

Нас хакнули

Никто и никогда не хотел бы услышать эти слова, но реальность такова, что нам приходится их слышать чаще, чем хотелось бы. Хакеры могут получить что угодно, когда у них есть доступ к нашему серверу, и часто им нужен секретный ключ. Сертификаты HTTPS — это публичные документы, которые мы отправляем каждому посетителю нашего сайта, но единственная вещь, которая не позволяет другим использовать такой же сертификат — отсутствие нашего секретного ключа.

Если злоумышленник завладел нашим секретным ключом, то он может выдать себя за нас. Повторим это: кто-то в интернете может доказать, что он — это вы, хотя в реальности он таковым не является. Это реальная проблема, и прежде чем вы подумаете «Со мной такого никогда не произойдёт», вспомните Heartbleed.

https://www.youtube.com/watch?v=ytcreatorsru

Этот крошечный баг в библиотеке OpenSSL позволял злоумышленнику украсть ваш секретный ключ, даже если вы соблюдали все меры безопасности. Кроме этого, было бесчисленное множество случаев, когда секретные ключи утекали из-за случайности или небрежности. Реальность такова, что мы можем потерять наш секретный ключ, а когда это случается, нам требуется способ помешать злоумышленнику использовать наш сертификат. Нужно его отозвать.

Списки отозванных сертификатов

На главной странице портала заявителя ФЗС в разделе «Имеются действующие КЭП и сертификат» нажимаем кнопку «Войти по сертификату».

Выбираем сертификат который будем перевыпускать.

Как обычно КриптоПро просит пароль. Вводим пароль, нажимаем «ОК».

На вкладке «Получение сертификата» указываем Субъект РФ и орган ФК, где перевыпускаем сертификат. ОГРН организации определяется автоматически. Нажимаем «ДАЛЕЕ».

Выбираем какой именно сертификат (физического или юридического лица) будем перевыпускать. В нашем случае сертификат физического лица. Нажимаем «ВНЕСТИ СВЕДЕНИЯ».

На следующей странице можно изменить полномочия и некоторые данные, включаемые в новый сертификат.

Для клиентов казначейства не требуется полномочие «Landocs. Делопроизводство», т.к. оно используется только работниками казначейства.

В большинстве случаев используется класс защиты КС1.

После выбора полномочий и уточнения данных (если это необходимо) нажимаем «СОХРАНИТЬ И СФОРМИРОВАТЬ ЗАПРОС НА СЕРТИФИКАТ».

Подтверждаем доступ в интернет — нажимаем «Да».

Далее следует стандарное:

• выбор носителя для закрытого ключа: либо реестр, либо флешка, либо рутокен;
• генерация закрытого ключа посредством перемещения мыши или нажимания на клавиатуру;
• ввод нового пароля два раза.

Следующий шаг — внесение сведений о документах для получения сертификата.

На открывшейся странице можно отредактировать паспортные данные (в случае его смены), и прикрепить новую доверенность (если предыдущая уже неактуальна). Если все верно нажимаем «СОХРАНИТЬ».

Следующий шаг — формирование заявление на сертификат.

Заполняем в заявлении на получение сертификата название документа на основании которого обращаемся в УЦ, дата и регистрационный номер документа.

Вводим кодовое слово, должность владельца ЭП, И.О. Фамилия владельца ЭП, должность руководителя, И.О. Фамилия руководителя. Нажимаем «СОХРАНИТЬ И СФОРМИРОВАТЬ ПЕЧАТНУЮ ФОРМУ».

В следующем окне ставим галку напротив «Получать сведения об изменениях статуса запроса», вводим e-mail куда будут приходить извещения, сохраняем адрес и нажимаем «ПОДПИСАТЬ СВЕДЕНИЯ ЭП И ПОДПАТЬ ЗАПРОС».

Подписываем запрос ЭП.

Подтверждаем доступ.

Выбираем сертификат. Нажимаем «ПОДПИСАТЬ ЭП».

Копируем ссылку и отправляем ее руководителю на подписание запроса.

В результате мы видим такую форму.

Руководителю необходимо войти по сертификату в ФЗС, выбрать вкладу «Запросы на согласование», кликнуть на нужный запрос.

На следующей странице нажимаем на иконку «Согласовать».

На следующей странице внизу (пунтк 2) ставим галку напротив «Комплект на получение сертификата согласован» и нажимаем «СОГЛАСОВАТЬ И ПОДПИСАТЬ ЭП».

На следующей странице нажимаем «ПОДПИСАТЬ ЭП».

Далее подтверждаем доступ — выбираем «ДА».

Следующий шаг.

В итоге появляется такая страница.

Несмотря что пишут «личный визит в УЦ ФК не требуется», лучше позвонить в ваш УЦ и уточнить. Например, наш местный УЦ требует приносить новые формы согласий и доверенностей. Если поменяли паспорт, то визита в УЦ не избежать.

В период действия электронной подписи могут возникнуть ситуации:

• сменился или уволился уполномоченный сотрудник, на имя которого был выпущен сертификат;
• сменились данные владельца сертификата (например, поменялось название организации);
• сломался носитель;
• ключ потеряли, его украли или произошла иная компрометация ключа;
• в сертификате обнаружена ошибка;

Во всех этих случаях требуется выпуск нового ключа ЭП. Но прежде надо выполнить отзыв действующей электронной подписи.

На процедуру отзыва требуется определенное время, учитывайте этот момент в своей работе с документами или отчетностью.

КАК ОТОЗВАТЬ ЭЛЕКТРОННУЮ ПОДПИСЬ

Из раздела «Сотрудники/Электронные подписи»

1. Перейдите в раздел «Электронные подписи» из меню «Сотрудники» или из карточки вашей организации.
2. Откройте сертификат, который нужно отозвать.
3. Нажмите на « Отозвать ».
4. Укажите ФИО, e-mail и телефон сотрудника, занимающегося отзывом сертификата, причину отзыва.
5. Нажмите Отправить . В новой вкладке браузера откроется заявка на отзыв сертификата.

Из карточки сотрудника

1. Убедитесь, что реквизиты указаны верно, заполните заявление на отзыв сертификата и распечатайте его.
2. Заверьте подписью вашего руководителя и печатью организации, если есть.
3. По кнопке «Загрузить» прикрепите цветной скан заверенного заявления. Если у вас нет возможности прикрепить скан к заявке, отправьте его по почте или предоставьте заявление в наш офис.

Если сертификат отзывается по причине смены или увольнения уполномоченного сотрудника, и заявление подписано новым уполномоченным лицом, данные о котором еще не внесены в ЕГРЮЛ, обязательно приложите вместе с заявлением (в одном документе) скан приказа о назначении нового уполномоченного лица.

После отзыва ЭП в списке у нее будет статус «Сертификат отозван».

Также уведомление об отзыве ключа будет отправлено на электронную почту, адрес которой указан в контактных данных заявки.

1. Откройте карточку налогоплательщика.
2. На вкладке «Ответственные лица» нажмите «Отозвать сертификат».

В открывшемся бланке выберите причину отзыва и распечатайте заявление.

В случае компрометации мы должны отозвать сертификат, чтобы исключить возможность злоупотреблений. Как только сертификат помечен как отозванный, браузер знает, что ему нельзя доверять, даже если у него не закончился срок действия. Владелец запросил отзыв, и ни один клиент больше не должен принимать этот сертификат.

Как только мы узнаём о факте взлома, мы связываемся с CA и просим отозвать наш сертификат. Нужно доказать факт владения сертификатом, и как только мы сделали это, то CA помечает сертификат как отозванный. Теперь нужен способ сообщить об этом факте каждому клиенту, которому может потребоваться данная информация.

Протокол проверки статуса сертификата

OCSP предлагает намного более красивое решение проблемы и имеет значительное преимущество перед CRL. Здесь мы спрашиваем у CA статус единственного, конкретного сертификата. Это значит, что CA должен вернуть только простой ответ: сертификат либо хороший, либо отозван, и такой ответ гораздо меньше по размеру, чем список CRL. Отлично!

Полный сбой

Выше я говорил о CRL и OCSP, двух механизмах проверки сертификатов браузером, и они выглядят таким образом.

После получения сертификата браузер обратится к одному из этих сервисов и отправит запрос для окончательного выяснения статуса сертификата. А что, если у вашего CA плохой день и его инфраструктура в офлайне? Что, если ситуация выглядит так?

Здесь у браузера только два варианта. Он может отказаться принимать сертификат, поскольку не способен проверить его статус. Или взять на себя риск и принять сертификат, не зная его статус, отозван он или нет. У обоих вариантов есть свои преимущества и недостатки. Если браузер откажется принимать сертификат, то каждый раз при уходе инфраструктуры CA в офлайн ваши сайты тоже уходят туда же.

На самом деле сегодня браузеры выполняют так называемую проверку отзыва сертификата с частичным сбоем. То есть браузер попытается проверить статус сертификата, но если ответ не пришёл совсем или не пришёл за короткий промежуток времени, то браузер просто забывает об этом. Ещё хуже, что Chrome даже не пытается проверить сертификат. Да, вы прочитали правильно, Chrome даже

проверить статус сертификата, который ему поступает. Вы можете найти это странным, но я полностью согласен с их подходом и я рад сообщить, что Firefox тоже, вероятно, скоро начнёт работать так же. Позвольте объяснить. Проблема с полным сбоем очевидна: если у CA плохой день, то у нас тоже он будет, вот так мы пришли к логике частичного сбоя.

Браузер теперь пытается осуществить проверку сертификата на предмет отзыва, но полностью отказывается от неё, если она занимает слишком много времени или если кажется, что CA ушёл в офлайн. Погодите, какие были последние слова? Проверка сертификата на предмет отзыва отменяется, «если кажется, что CA ушёл в офлайн». Интересно, может ли злоумышленник имитировать такие условия?

Если вы осуществляете атаку MiTM, то вам нужно всего лишь блокировать запрос на проверку сертификата и создать впечатление, что CA не работает. Браузер тогда столкнётся с частичным сбоем проверки и продолжит радостно использовать отозванный сертификат. Если вас никто не атакует, то каждый раз при проверке этого конкретного сертификата вы тратите время и ресурсы на проверку, что сертификат не отозван.

И один раз, когда вас атакуют — тот единственный раз, когда вам по-настоящему нужна такая проверка — злоумышленник просто блокирует соединение, и браузер проходит через частичный сбой. Адам Лэнгли из Google лучше всех описал, что такое отзыв сертификата: это ремень безопасности, который рвётся в момент аварии, и он прав.

Вы каждый день садитесь в машину и пристёгиваете ремень безопасности — и он даёт вам приятное и комфортное ощущение безопасности. А потом в один день что-то идёт не по плану — вы попадаете в аварию, и вот тут вы вылетаете в ветровое стекло. В тот единственный раз, когда он действительно нужен, ремень безопасности вас подводит.

Проприетарные механизмы

Если сайт скомпрометирован и злоумышленник получил секретный ключ, то он может подделать этот сайт и причинить некоторый вред. Здесь ничего хорошего, но могло быть и хуже. Что если CA скомпрометирован и злоумышленник получил секретный ключ для промежуточного сертификата? Это было бы катастрофой, потому что тогда злоумышленник может подделать буквально любой сайт, который захочет, подписав собственный сертификат. Поэтому вместо онлайновой проверки промежуточных сертификатов на предмет отзыва у Chrome и Firefox есть собственные механизмы для той же задачи.

В Chrome он называется CRLsets, а в Firefox — OneCRL. Эти механизмы проверяют списки отозванных сертификатов, объединяя доступные CRL и выбирая оттуда сертификаты. Так проверяются особо ценные сертификаты вроде промежуточных, но что насчёт обычных, наших с вами?

Поддельные сертификаты

https://www.youtube.com/watch?v=upload

Если мы говорим об отзыве сертификатов, то должны рассмотреть тему их подделки. Если некто пытается скомпрометировать CA или как-то ещё получить сертификат, который ему не положен, то как он будет действовать? Если я прямо сейчас взломаю CA и получу сертификат на ваш сайт, то вы не узнаете об этом до тех пор, пока об этом не сообщат в новостях.

Авторизация центров сертификации

Предотвратить выдачу сертификата намного проще, чем пытаться отозвать его, и именно для этого нужна

scotthelme.co.uk. IN CAA 0 issue “letsencrypt.org”

Хотя авторизация CA — не особенно сильный механизм, и он не способен помочь во всех ситуациях некорректной выдачи сертификатов, но в некоторых случаях он полезен, так что следует заявить о своих предпочтениях, создав запись CAA.

Заключение

В настоящий момент существует реальная проблема, что мы не можем отозвать сертификат, если кто-то получил наш секретный ключ. Только представьте, во что это выльется при раскрытии следующей глобальной уязвимости масштаба Heartbleed! Одна вещь, которую вы можете попытаться сделать — это ограничить размер ущерба от утечки, сократив срок действия своего сертификата.

Для демонстрации проблемы и того, насколько она реальна, попробуйте зайти на новый поддомен, который я открыл на своём сайте, revoked.scotthelme.co.uk. Как вы вероятно догадываетесь, к этому поддомену прикреплён отозванный сертификат, и вполне вероятно, что он нормально загрузится в вашем браузере. Если нет, если ваш браузер выдаст предупреждение об истёкшем сроке действия, то это значит, что ваш браузер по-прежнему отправляет запросы OCSP и вы только что сообщили в CA о том, что посетили мой сайт.

Для доказательства, что такая проверка с мягким сбоем бесполезна, можете добавить в hosts домен ocsp.int-x3.letsencrypt.org с IP-адресом 127.0.0.1 или блокировать его каким-нибудь другим способом — и повторить попытку подключения. На этот раз страница нормально загрузится, потому что проверка отозванного сертификата не сработает, а браузер продолжит загружать страницу. Толку от такой проверки…

https://www.youtube.com/watch?v=ytpressru

Я бы хотел закончить статью вопросом: следует ли нам исправлять процедуру отзыва сертификатов? Впрочем, это тема для другой статьи.