vrr/doc
2
0
Fork 0
mirror of https://github.com/bpmbpm/doc.git synced 2026-05-01 04:50:44 +00:00
Code Issues Projects Releases Packages Wiki Activity Actions

Update tsl_2.md

Browse source
This commit is contained in:
Dmitry 2025-12-17 11:21:51 +03:00 committed by GitHub
parent 114cd9d238
commit f6670bdf9b
No known key found for this signature in database
GPG key ID: B5690EEEBB952194
1 changed files with 57 additions and 0 deletions
Download patch file Download diff file Expand all files Collapse all files

57
IT/CADES/tsl_2.md
View file

@ -1,4 +1,5 @@
## TSL.xml vs CADES-XL
Алиса
## 1
"Файл TSL.xml (Trust-service Status List) содержит список аккредитованных удостоверяющих центров (УЦ), их сертификатов и связанных данных, необходимых для проверки квалифицированных электронных подписей. Без этого файла невозможно корректно верифицировать подпись, так как он служит основой для определения доверия к сертификатам."
Применительно к проверке подписи CADES-XL зачем нужен TSL.xml? Ведь OSCP сервис или вложенные CRL гарантирует наличие действующего сертификата как подписанта, так и всех промежуточных УЦ.
@ -96,4 +97,60 @@ CADES-XL разве не содержит в себе все необходим
- Документации КриптоПро и других поставщиков криптографических решений.
- Нормативным актам, регулирующим электронную подпись в России (например, ФЗ-63 «Об электронной подписи»).
## 3
Для проверки подписи CAdES-XL мы должны установить сертификат Корневого УЦ в доверенном хранилище пользователя и скачать tsl.xml? Например, Корневой УЦ - это Минцифры России, который аккредитовал УЦ "Контур". Мы устанавливаем Корневой УЦ Минцифры России как доверенный, а сертификат УЦ "Контур устанавливать не нужно, т.к. информация о его статусе содержится в tsl.xml?
Для проверки подписи CAdES-XL действительно требуется установка корневого сертификата доверенного УЦ (например, Минцифры России) в хранилище «Доверенные корневые центры сертификации» и использование TSL.xml. Однако установка сертификата УЦ «Контур» как промежуточного также важна для построения полной цепочки доверия. Рассмотрим детали.
## Роль корневого сертификата и TSL.xml
1. **Корневой сертификат Минцифры России** устанавливается в хранилище «Доверенные корневые центры сертификации». Это позволяет системе распознавать его как доверенный источник и строить цепочку доверия для сертификатов, выданных аккредитованными УЦ. [```1```](https://learn.microsoft.com/ru-ru/windows-hardware/drivers/install/trusted-root-certification-authorities-certificate-store)[```2```](https://taxcom.ru/support/ustanovka-kornevogo/)
2. **TSL.xml** содержит:
- Список аккредитованных УЦ, включая «Контур».
- Данные о корневых и промежуточных сертификатах.
- Ссылки на актуальные CRL и параметры OCSP-серверов.
- Правила валидации подписей. [```6```](https://www.cryptopro.ru/sites/default/files/products/svs/2/2828/cryptopro_svs_admin_guide.pdf)
TSL.xml подтверждает, что УЦ «Контур» аккредитован и имеет право выпускать сертификаты. Однако сам по себе он не заменяет установку сертификатов в системе.
## Установка сертификатов УЦ
**Промежуточный сертификат УЦ «Контур»** должен быть установлен в хранилище «Промежуточные центры сертификации». Это необходимо для:
- Построения полной цепочки доверия от сертификата подписанта до корневого УЦ.
- Проверки целостности и валидности всей цепочки сертификатов. [```2```](https://taxcom.ru/support/ustanovka-kornevogo/)[```3```](https://saby.ru/help/ep/workplace/esia/inst_corn)
Без промежуточного сертификата система не сможет связать сертификат подписанта с доверенным корневым сертификатом, даже если TSL.xml подтверждает аккредитацию УЦ.
## Процесс проверки подписи CAdES-XL
1. **Проверка цепочки сертификатов**:
- Система использует корневой сертификат Минцифры России для верификации промежуточного сертификата УЦ «Контур».
- Промежуточный сертификат, в свою очередь, используется для проверки сертификата подписанта.
2. **Использование TSL.xml**:
- TSL.xml подтверждает, что УЦ «Контур» аккредитован и его сертификаты доверенны.
- Система сверяет данные из TSL.xml с информацией в цепочке сертификатов.
3. **Проверка статуса сертификатов**:
- OCSP или CRL используются для определения текущего статуса сертификатов (активен/отозван). [```7```](https://forum.rutoken.ru/topic/3665/)
## Сравнение подходов
| Элемент | Назначение |
|---------|------------|
| Корневой сертификат Минцифры России | Основа доверия для всей цепочки. [```1```](https://learn.microsoft.com/ru-ru/windows-hardware/drivers/install/trusted-root-certification-authorities-certificate-store) |
| Промежуточный сертификат УЦ «Контур» | Связывает сертификат подписанта с корневым сертификатом. [```2```](https://taxcom.ru/support/ustanovka-kornevogo/) |
| TSL.xml | Подтверждает аккредитацию УЦ и правила валидации. [```6```](https://www.cryptopro.ru/sites/default/files/products/svs/2/2828/cryptopro_svs_admin_guide.pdf) |
| OCSP/CRL | Проверяют статус сертификатов в цепочке. [```7```](https://forum.rutoken.ru/topic/3665/) |
## Вывод
Для проверки подписи CAdES-XL необходимо:
1. Установить корневой сертификат Минцифры России в хранилище «Доверенные корневые центры сертификации».
2. Установить промежуточный сертификат УЦ «Контур» в хранилище «Промежуточные центры сертификации».
3. Использовать TSL.xml для подтверждения аккредитации УЦ.
4. Применять OCSP или CRL для проверки статуса сертификатов.
Таким образом, TSL.xml дополняет, но не заменяет установку сертификатов в системе. Он обеспечивает юридическую значимость и соответствие законодательным требованиям, а сертификаты — техническую возможность построения цепочки доверия.