С 1 ноября 2023 года изменится сертификат платной службы подтверждения действительности SK (OCSP). Будут введены сертификаты сроком действия 35 дней. Кроме того, с помощью модифицированного сервиса OCSP больше невозможно создать цифровую подпись в формате BDOC-TM.
Если до сих пор один и тот же сертификат службы подтверждения действительности SK OCSP RESPONDER 2011, выданный высшим органом по сертификации (EECCRCA), использовался для всех подсервисов CA для запросов, отправленных по адресу http://ocsp.sk.ee/, затем с 1 ноября 2023 г. — каждый раз для сертификатов, выданных промежуточным сертификатором CA.
Новые сертификаты подтверждения действительности имеют более короткий срок действия – сертификат действителен в течение 35 дней и меняется каждые 30 дней. Каждый сертификат OCSP выдается соответствующим промежуточным органом по сертификации. Эти же сертификаты используются и в свободно доступном сервисе OCSP (aia.sk.ee). SK не будет сообщать об изменении служебного сертификата в будущем.
Измененную службу нельзя использовать для создания подписей BDOC-TM. Цифровые подписи в формате BDOC-TM, созданные с 1 ноября 2023 г., больше не будут проверяться. Ранее созданные подписи BDOC-TM можно проверить.
Цель изменения — обеспечить устойчивость нашей платной услуги подтверждения действительности и еще большее соответствие международным стандартам, чем раньше. Общие условия использования услуги валидации не изменятся.
-
Изменения коснутся всех сервисов, которые используют услугу подтверждения действительности SK на ocsp.sk.ee для проверки действительности сертификатов Smart-ID, Mobile-ID, эстонской ID-карты и учреждения, а также сервисов, которые по-прежнему используют формат подписи BDOC-TM для цифровых подписание. Поддержка создания подписей в формате BDOC-TM будет прекращена, поскольку это специфичный для Эстонии формат цифровой подписи, использование которого не поддерживается в следующих версиях библиотеки digidoc, опубликованной RIA (Национальное агентство информационных систем). ) в этом году. Информацию о поддержке библиотек, публикуемую РИА, можно найти здесь.
Изменения не коснутся клиентов, использующих услугу OCSP бесплатного доступа, доступную на сайте aia.sk.ee.
-
Поставщики услуг, создавшие зависимости с сертификатом SK OCSP RESPONDER 2011, должны своевременно проверять логику работы своей информационной системы и при необходимости вносить изменения. С 1 ноября 2023 года информационная система должна доверять сертификатам OCSP, выданным соответствующим промежуточным CA. Те сервисы и информационные системы, которые до сих пор создали электронно-цифровую подпись в формате BDOC-TM, должны перейти на формат электронно-цифровой подписи AdES LT.
Пример: если после изменения в сервис ocsp.sk.ee отправляется запрос информации о действительности сертификата Mobile-ID, выданного из цепочки сертификации EID-SK 2016, сервис возвращает ответ, подписанный выданным сертификатом OCSP. по EID-SK 2016 (EID-SK 2016 AIA OCSP RESPONDER). Однако если вы отправите запрос на информацию о действительности сертификата удостоверения личности, выданного ESTEID2018, подписанный ответ будет возвращен в соответствии с сертификатом OCSP, выданным ESTEID2018 (ESTEID-SK 2018 AIA OCSP RESPONDER).
-
Чтобы сделать изменение более плавным, вы можете использовать нашу тестовую среду, для того чтобы проверить, насколько ваши сервисы соответствуют измененной логике службы проверки. Для тестирования мы обновили сервис подтверждения действительности demo.sk.ee/ocsp в общедоступной тестовой среде. Более подробную информацию о тестировании можно найти на Github.
Если вам нужна дополнительная информация или у вас есть какие-либо вопросы, свяжитесь с нами по адресу [email protected].
Источник: SK ID Solutions