Sidorin Yuriy писал(а):P.S. Странно, что согласно определению квалифицированного сертификата в 63ФЗ и предложенном проекте, аккредитованный УЦ не может выпускать никаких сертификатов кроме квалифицированных...
По крайней мере, насчёт сертификатов ключей ЭП, вероятно, так дела и обстоят. Действительно, странно. Не обратил на это внимание.
Тогда становится немного понятным пункт 4 из требований.
4. При включении в состав квалифицированного сертификата дополнительных полей, требования к их назначению и расположению в квалифицированном сертификате определяются в техническом задании на разработку (модернизацию) средств УЦ, которое согласовывается с ФСБ России.
Если каждый сертификат, изготовленный аккредитованным УЦ, - квалифицированный (по определению), и, следовательно, должен удовлетворять обсуждаемым требованиям, то выполнить это можно только проверив функциональность софта УЦ при аккредитации, что он не вкладывает не разрешённые поля в сертификаты (только это даст гарантии, что ВСЕ сертификаты, выданные этим УЦ будут удовлетворять требованиям). Это значит, что в требованиях должен содержаться не минимальный набор полей, как я думал раньше, а наоборот, полный набор полей, который может встретиться в сертификате. Иначе в будущем можно будет обвинить УЦ, что он выпускает квалифицированные сертификаты (а раз он аккредитованный УЦ, то он только такие и выпускает), не удовлетворяющие требованиям. Правильно рассуждаю?
Это означает, что в документе надо указать все допустимые расширения, все допустимые компоненты имени в RDN, (т.е., действительно, надо не забыть AIA, CDP, Freshest CRL, SubjectAltName, IsssuerAltName, SubjectKeyId, AuthorityKeyId, EKU, CertPolicy, PrivateKeyUsagePeriod).
Аккредитованный УЦ должен уметь выдавать кросс-сертификаты (в том числе для подчинённых CA)? Тогда не забудьте еще BasicConstraints, NameConstraints, PolicyMappings, PolicyConstraints, Inhibit anyPolicy (для полноты картины).
Аккредитованный УЦ должен поддерживать OCSP? Не забудем тогда еще id-pkix-ocsp-nocheck.
Может, ещё для каких популярных в госорганах приложениях нужны какие-нибудь расширения? Тоже их надо тут упомянуть.
И ещё следствие. Если необходимость в неудовлетворяющих требованиям сертификатах все-таки будет (чтобы не ломать существующие корпоративные системы), аккредитованному УЦ понадобится своё отдельное юридическое лицо? Ничего не напутал?
Или, может быть, пункт 4 требований ослабить? Тогда достаточно в этом документе будет достаточно прописать минимальный набор полей, благодаря которым сертификат сможет носить имя квалифицированного. А остальные поля УЦ может добавлять, никого не спрашивая?