Разъяснение по использованию кросс-сертификатов

В информационной системе головного удостоверяющего центра на удостоверяющем центре 2 информационной системы головного удостоверяющего центра (далее – УЦ 2 ИС ГУЦ) 22.07.2017 истек срок действия сертификата, а также все выданные на нем кросс-сертификаты. При этом, последний кросс-сертификат на УЦ 2 ИС ГУЦ был выпущен 18.12.2014; финальный СОС на УЦ 2 ИС ГУЦ выпущен – 07.12.2016, а закрытый ключ УЦ 2 ИС ГУЦ, в соответствии с эксплуатационной документацией1, выведен из эксплуатации.

В соответствии с эксплуатационной документацией2 на программно-аппаратный комплекс (далее - ПАК) УЦ 2 ИС ГУЦ, максимальный срок действия закрытого ключа составляет 1 год и 3 месяца для формирования сертификатов пользователей и до 3-х лет для формирования списка отозванных сертификатов (далее – СОС).

Вместе с тем, начиная с 24.07.2017 в адрес ситуационного центра электронного правительства (далее – СЦ) начали поступать запросы об ошибках, связанных с проверкой пользовательских сертификатов ключей проверки электронной подписи (далее – СКПЭП) ввиду истечения срока действия сертификата закрытого ключа УЦ 2 ИС ГУЦ.

Возникшие проблемы с проверкой пользовательских СКПЭП, выданных некоторыми аккредитованными удостоверяющими центрами (далее – АУЦ), обусловлены следующими нарушениями Федерального закона -ФЗ «Об электронной подписи» (далее – Федеральный закон), а также эксплуатационной документации ПАК УЦ, допущенными АУЦ:

НЕ нашли? Не то? Что вы ищете?
В нарушение части 2.1 статьи 15 Федерального закона, АУЦ после 08.07.2017 продолжали выдавать пользовательские СКПЭП с использованием для этих целей самоподписанных сертификатов, для которых ранее ими был получен кросс-сертификат, выданный на УЦ 2 ИС ГУЦ.

       При этом, в соответствии с частью 2.1 статьи 15 Федерального закона, для предупреждения использования после 08.07.2017 кросс-сертификатов, начиная с 01.04.2016: 1) ГУЦ не выдает кросс-сертификаты для АУЦ на всех своих ПАК, в том числе на ПАК УЦ 1 ИС ГУЦ, ПАК УЦ 2 ИС ГУЦ и ПАК ГУЦ; 2) АУЦ должны прекратить выдачу пользовательских СКПЭП для проверки которых используются кросс-сертификаты, выданные на ПАК ГУЦ.

В нарушение требований эксплуатационной документации ряда ПАК УЦ3, АУЦ осуществлялась выдача пользовательских СКПЭП с нарушением срока использования закрытого ключа.

       В частности, поскольку, как указывалось выше, последний кросс-сертификат на УЦ 2 ИС ГУЦ выпущен 18.12.2014, а максимальный срок действия закрытого ключа составляет 1 год и 3 месяца, то последний пользовательский СКПЭП, выпущенный АУЦ с использованием кросс-сертификата, изданного на УЦ 2 ИС ГУЦ, должен приходиться на 18.03.2016.

       В этой связи, в силу части 2.1 статьи 15 Федерального закона, указанные пользовательские СКПЭП, выпущенные АУЦ после 18.03.2016, не являются квалифицированными.

Учитывая вышеизложенное, АУЦ следует получить в ГУЦ подчиненный сертификат АУЦ и произвести с его использованием перевыпуск СКПЭП, выпущенных с указанными выше нарушениями.

Для получения в ГУЦ подчиненного сертификата, АУЦ необходимо направить в СЦ (*****@***minsvyaz. ru) файл запроса, сформированного с учетом требований Приказ ФСБ России , на выдачу подчиненного сертификата удостоверяющего центра в виде архива в формате, совместимом с архиваторами WinRAR и WinZip, а также заполненную анкету (шаблон опубликован по адресу http://minsvyaz. ru/uploaded/files/anketauts2016v5.docx).

1 Глава 14 ЖТЯИ.00067-02 90 04. КриптоПро УЦ. Центр сертификации. Руководство по эксплуатации на платформе MS Windows Server 2008

2 Глава 11.1 ЖТЯИ.00067-02 90 04. КриптоПро УЦ. Центр сертификации. Руководство по эксплуатации на платформе MS Windows Server 2008

3 ЖТЯИ.00067-02 90 04. КриптоПро УЦ. Центр сертификации. Руководство по эксплуатации на платформе MS Windows Server 2008

RU.40308570.501430.004.ФО. Программно-аппаратный комплекс «Юнисерт-ГОСТ». Версия 2.1. Формуляр