Евала бе, електронна митница! – втора част

Както знаете от първа част, валидността на SSL сертификата на системата за EORI регистрация на агенция „Митници“ беше изтекла на 18.07.2012. Мога да ви зарадвам, че от няколко дни сертификатът на сървъра е подменен!

След изпращането на писма до и телефонни разговори със служители на агенцията без никакъв ефект, накрая писах и директно до кабинета на г-н Ваньо Танов. Не знам дали моето последно писмо има нещо общо, но малко след това подновеният сертификат беше инсталиран. Естествено, и в този случай наблюдавах типичният при комуникация с държавната администрация ефект „черна дупка“ – демек отговор няма. По-важното е, че има някакъв реален ефект от цялата работа и макар и много бавно нещо се случва. И така, да разгледаме така бленувания нов сертификат:

eori-new-cert.png

Забелязват се няколко интересни неща.

Сертификатът е издаден на 10 август 2012 (компютърът на който направих скрийншота явно е настроен да работи с формат mm/dd/yyyy). Хувабото е, че това е станало няколко дни преди аз да забележа и сигнализирам за проблема. Тоест има вероятност и сами да са го забелязали, или пък някой друг да е сигнализирал преди мен. Лошото е, че подновяването на сертификата се е случило около 20 дни след неговото изтичане. Нормално би било обратното – мерки по подновяването да се вземат още преди да е изтелка валидността на текущия сертификат. Още по-лошото е, че инсталирането на подновеният сертификат на сървъра явно е отнело повече от месец! Причината за това за мен си остава загадка, също както не ми е ясно защо издаването на ЕОРИ номер отнема 5 дни. Резултатът обаче е, че сървърът е работил с невалиден сертификат повече от 50 дни. Сега остава и да си оправят инструкциите за употреба, че да има и някаква полза от валидния сертификат. В момента те съветват просто да се игнорират всякакви предупреждения от браузъра.

Друг любопитен факт е, че подновеният сертификат има идентичен сериен номер със стария. Това ми се струва малко странно и не мога да си обясня причината от „Информационно обслужване“ да не го променят. В момента не се сещам за някакви проблеми със сигурността, които могат да бъдат резултат от това, но не прави добро впечатление. По принцип серийният номер трябва да е уникален за всеки сертификат на даден издател. Така двойката сериен номер/издател е уникален идентификатор за всеки един сертификат. В текущия случай обаче, поради преизползване на серийния номер се получава дублиране.

Тук ще вметна, че трябва да се разграничат понятията „подновяване“ и „преиздаване“ на сертификат. При подновяването само се удължава периодът на валидност, но се запазва съществуващата двойка ключове. При преиздаването се генерира изцяло нова двойка ключове. И при двата варианта обаче винаги се променя серийният номер. Ето мой превод на част от дефиницията на термина „подновяване на сертификат“ от rfc4949:

За един X.509 сертификат с публичен ключ този термин означава, че периодът на валидност се удължава (и, разбира се, присвоява се и нов сериен номер) …

Ако имате идея каква е причината за практиката на StampIT да не се променят серийните номера, или пък до какви желани или нежелани ефекти може да доведе това ще се радвам да споделите в коментарите.

Едно мнение по „Евала бе, електронна митница! – втора част

  1. plam

    Ако се използва .NET, при еднакви серийни номера, то новия и стария сертификат са неразличими : X509Certificate.Equals Method – Two X509Certificate objects are considered equal if they have the same issuer and serial number.
    разбира се ако това не е търсеното поведение, може да се направи нов метод който да включва и сравнение на THUMBPRINT-ите (които почти сигурно ще са различни) и/или Expire date…
    btw – това е обща практика на българските ДУУ-та – да преиздават сертификатите без да им променят серийните номера

Вашият отговор на plam Отказ

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *