Milyen magyar tanúsítványkiállítót?

 ( nice | 2018. december 11., kedd - 11:06 )

Sziasztok!

Vállalati munkatársak (pl. vezérigazgató) számára kell jogi értelemben elfogadott (pl. a kiállító felelősségbiztosításával megtámogatott) digitális aláírásokhoz széles körben elfogadott (az oprendszerek, böngészők, stb. tanúsítványtárában gyárilag benne levő főtanúsítvánnyal rendelkező) digitális X.509 tanúsítványokat beszereznem. Ezt korábban a Netlocknál intéztem, de úgy tudom, egy ideje nincsenek benne egyes főtanúsítványaik a Windows (és egyéb rendszerek) tanúsítványtáraiban, hanem importálni kell őket. Tudtok róla, hogy javult ez a helyzet, vagy tudtok-e olyan Magyarországon (is) működő tanúsítványkiállítóról, aki megfelel a fenti követelményeknek?

Előre is köszönöm a válaszokat.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

2-ből választhatsz: Netlock, Microsec.
Mindkettő széles körben elfogadott, egyik root CA tanúsítványát se kell importálni.

Köszönöm a választ.

Aláíró tanúsítványokra keress rá!
Én inkább a Microsec-et javaslom https://www.microsec.hu/
Ha veszel egy minősített kártyás tanúsítványt, akkor nem lesz gondod: https://srv.e-szigno.hu/kartyas_igenyles

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

Köszi szépen, utánanézek.

OK, utánanéztem és a cégekkel is kapcsolatba léptem. Teljesen jónak tűnik a tipped.

+1 Microsec

(Mit kellene tanúsítani: szervert vagy személyt? Az utóbbihoz talán 2017-es (vagy újabb) chipes szig is elég.)

Személyt. Egyébként köszi a választ. Lejjebb reagálok:

Ember számára digitális aláírás? E-személyi.

Aha. Ezek szerint az e-személyiben egy kártya méretű, X.509 szabványnak megfelelő titkos kulccsal dolgozó kriptográfiai smartcard is van? Milyen kártyaolvasó kell hozzá, hogy a Windowsban megjelenjen rendes aláíró tanúsítványként? PIN kóddal is védett a titkos kulcsa?

Ha igen, még kérdés, hogy a partnereink elfogadják el hitelesítő érvényűnek. Úgy hallottam, nem túl széles körű az elfogadottsága, pedig tök menő, hogy ilyen is van.

Az e-Személyi alkalmas digitális aláírásra, a törvény erejénél fogva ugyanolyan hitelességgel rendelkezik az így aláírt irat, mint a teljes bizonyító erejű magánokiratot eredményez.

Figyelembe kell viszont venni, hogy az e-Személyi igénylése során aláírt szerződés szerint a kártya nem használható semmilyen gazdasági tevékenységhez:

"Cég képviselőjeként is használhatom-e az e-aláírást?
Az elektronikus tároló elemet tartalmazó személyazonosító igazolványhoz kapcsolódó e-aláírást a tulajdonosa csak mint magánszemély használhatja fel (pl. ha magánszemélyként szeretne beadni az illetékes hatósághoz egy kérelmet). Az eSzemélyivel létrehozott e-aláírás nem használható fel munkavállalói, cégképviseleti minőségben. Például, ha valaki osztályvezető egy hivatalban, akkor a hivatali dokumentumokat nem írhatja alá a személyazonosító igazolványához kapcsolódó e-aláírással, vagy egy cég ügyvezetője nem írhat alá céges dokumentumokat cégvezetői minőségben a személyazonosítói igazolványához kapcsolódó e-aláírással. Az eSzemélyi e-aláírás funkciójához kibocsátott tanúsítványban ugyanis nem szerepeltethetők cégekre, a cégeknél betöltött pozíciókra vonatkozó információk (pl. hogy az adott személy X cég képviselője, ügyvezetője)."
https://eszemelyi.hu/gyik/gyik_elektronikus_alairas

Igen, teljesen szabványos X.509 aláíró tanúsítvány van benne, védett PIN kóddal.
Az elfogadása érdekes kérdés, nem tudom, miért ne fogadnák el, a magyar CertGov gyökértanúsítványa szerepel Windowsban is, így a vele aláírt dokumentumokat minden egyéb nélkül hitelesnek jeleníti meg a megfelelő szoftver.

Én tudtam a saját nevemben aláírni PDF-et, Word dokumentumot t a Word beépített (azaz végül az OS-t, és így a kártyaolvasót használó) aláírójával. Van hozzá kormányzati aláíró szoftver is, meg egy kártyamenedzser alkalmazás, amivel a PIN-t tudod menedzselni. Maga a kártya és az aláírás külön-külön PIN-nel védett, 8, illetve 7 számjegy.

Van hozzá sokféle kártyaolvasó, a hivatalosat a Magyar Posta forgalmazza. Ebből is kétféle van, az egyik hardveresen kéri be a PIN-t (van rajta gombsor), a másik esetben a hozzá készült szoftver kéri el a PIN-t és teszi az OS felé elérhetővé az aláíró funkciót. Az előbbi persze biztonságosabb, mert az utóbbi nem véd a keylogger ellen.

Arra vonatkozóan nem találok infót, hogy az e-személyihez és a Microsec által kiállított "e-Szignó" kártyás tanúsítványhoz lehet-e ugyanazt a kártyaolvasót használni, azaz technikai értelemben kompatibilisek-e egymással. Erről esetleg tudtok valamit?

SZERK: Időközben látom, hogy az e-Személyi érintésmentes RFID technológiával működik, míg a Microsec kártyái fizikai érintkezőket használnak, tehát nem kompatibilisek egymással. Amit még mindig nem találtam meg, hogy vannak-e a kártya-kártyaolvasó interfészre vonatkozó szabványok (és ha igen, melyek ezek) vagy inkább egyedi megoldások vannak használatban.

Azért az örömöd ne legyen túl korai: hasonlítsd össze az e-személyit egy piaci aláírói csomaggal. Elég sok különbség van köztük.

Csak néhány szempont:
- Mekkora a felelősségvállalás mértéke?
- Adott összegért milyen tanúsítványokat is kapsz?
- Mennyibe kerül az időbélyeg?
- Adnak-e olvasót?
- Mi történik, ha elromlik az olvasó? Ki, hogyan, mennyi idő alatt cseréli?
- Mi történik, ha elromlik a kártya? Ki, hogyan, mennyi idő alatt cseréli?
- Hogyan tudod a tanúsítványod megújítani? Mire van hozzá szükség?
- Hogy működik a tanúsítvány felfüggesztés/visszavonás?

Magyar seggbe magyar lófaszt... én eddig csak szívtam a hazai tanúsítványokkal... többnyire pont azzal, amit írsz, egyszerűen túl kicsi a piac ahhoz, hogy normális és korrekt szolgáltatást tudjanak nyújtani, egy felosztott piacon állami megrendelésekből élnek leginkább.

--
https://iotguru.live

A Microsecesek ma telefonon keresztül megesküdtek rá, hogy a főtanúsítványaik széles körben ismertek. Azért biztos jobb nálunk a helyzet mint mondjuk Moldovában vagy Macedóniában, esetleg Dél-Szudánban :-)

A mi self-signed certjeink is széles körben ismertek...
Bár Dél-Szudánban pont nem használják, így ott is.

Mit szívtál velük? Ez komolyan érdekel.

Leginkább azt szívtam, hogy néhány helyen nem volt valid a cert, mert nem tudták beimádkozni magukat a láncba. Például Android esetén ez probléma volt sokáig, pár hónapja is sikerült valamelyiknek olyan cert-et eladni a MÁV-nak, ami Android-on nem volt valid. Az ügyintézés körülményes, ami máshol automatikus, azzal szopni kell, meg ilyesmik. A klienseik fosul néznek ki (lásd például az e-Szignó Windows 3.1 stílusú kliensét), a support lassú és körülményes... egyszerűen ezek a cégek elvannak különösebb verseny nélkül az állami langyos vízben, ahova ez pont elég.

--
https://iotguru.live

Akkor nézzük csak:
- Bizalmi lánc
Netlock (https://www.netlock.hu/html/ssl/bongeszok.html) Android 2.3-as verziótól benne van.
Microsec (https://e-szigno.hu/hitelesites-szolgaltatas/tanusitvanyok/bongeszo-tamogatas.html) Android 2.3-as verziótól benne van.
Akkor milyen régi Android volt az, amiben nem volt benne? 1.0? Milyen tanúsítványnál nem épült fel a bizalmi lánc (aláíró, titkosító, authentikációs)?
- Ügyintézés/support körülményes
Mi a körülményes benne konkrétan? A személyes azonosítás, amit az életben egyszer kell megcsinálni? A tanúsítvány megújítás, amit elintézhetsz 2 perc alatt automatikusan? Tényleg érdekel konkrétum is a puffogáson kívül.
- Kliens kinézete
Az e-Szignó windowsos kliens kinézete tényleg puritán. Bár a 3.3.x-s verziók már korszerűbbnek hatnak egy fokkal.

Az állami rendszer pont az e-személyi. Ott próbálj meg ügyet intézni pl: tanúsítvány megújítás menete.

"Akkor milyen régi Android volt az, amiben nem volt benne? 1.0?"

8.1-es Android volt. Idén év elején, egészen pontosan január 10-én sikerült olyan tanúsítványt kiadni valamelyik cégnek (szerintem a NetLock lehetett, mert most is az van), ami Android esetén nem volt megbízható. Két nap alatt sikerült kicserélni jó tanúsítványra, addig mindenki szopott az Elvira jegyvásárlással, aki Android-ot használt volna.

Ugyanígy volt szívás például M2M kommunikációban, amikor a másik oldalon Microsec vagy Netlock cert volt és előfordult, hogy az oprendszer (desktop, server és embedded vegyesen) bizony nem tartja valid cert-nek ezeket, és akkor szopni kellett a tanúsítványokkal és ellenőrizgetni, hogy működik-e még... és nem mindenhol lehetett megoldani a kivételek kezelését, mert nem volt rá lehetőség.

"Tényleg érdekel konkrétum is a puffogáson kívül."

Nem puffogás. Leginkább a lassúság és a hozzá nem értés rémlik, nem ma volt, évekkel ezelőtt, amikor még volt a rokonságban könyvelő, aki ezekkel szívott. De csodálkoznék, ha jelentősen javult volna a szolgáltatás színvonala.

"Az e-Szignó windowsos kliens kinézete tényleg puritán."

Hát, az utoljára Windows 3.1-ben használt ikonkészletet, layout-ot és működésmódot lehet így is hívni. :D

--
https://iotguru.live

Valami főzött romot használtál? Nálam ez teljesen jónak tűnik épp egy hardreset után: https://prnt.sc/lu2w7p
"ami máshol automatikus, azzal..." - nem egy ssl cert igénylése a téma egy random weboldalhoz. :D
A MÁV-os sztorit keresem... de csak ezt találtam, ahol ha jól értem, lejárt a tanúsítvány: https://szagertoivelemeny.blog.hu/2016/01/07/a_mav_es_az_elektronikus_alairas
Nincs valami linked?

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."

Az egyik nagyobb online számlázó is netlock tanúsítványt használ az e-szamla kiküldésére és a legtöbb pdf-olvasó nem ismeri, bele kell töltögetni a tanúsítványt - kellemetlen.

Tudsz mondani a PDF olvasóra egy példát? Esetleg lett már ez a hiba jelezve a Netlocknak?
Amiket ismerek, azok között kétféle van: a Windows tanúsítványtárát használja vagy saját tanúsítványtárat használ. Ha az utóbbi, akkor simán el tudom képzelni ezt a hibát. Adobenél tudom, hogy saját tanúsítványtár van. Ott benne van a Microsec és a Netlock root CA-ja is.

Az Adobe DC-t néztem most, letöltöttem a tanusitványlistát, de azt írja:
"Az aláíró ismeretlen, mert nem szerepel a megbízható tanúsitványok helyi listájában, valamint az egyik szülő tanúsitványa sem megbízható tanusitvány"

Én Adobe Reader DC 2019.008.20081-t használok és nekem nem ír ilyen hibát az aláírt állományokra.

Én inkább arra lennék kiváncsi, hogy a java root cert listában bekerültek-e már, vagy még mindig kézzel importálós. Pár éve még tutira importálgatni kellett a netlockot.

Javanál kézzel kell importálni. Oracleből simán kinézem, hogy egy rakás pénzt kérne azért, hogy a tanúsítvány bekerüljön.
A biztonságos megoldás, ha beállítod, hogy milyen CA-kat fogadsz el az alkalmazás szerverben/alkalmazásban. Sehol se a default truststoret használták, amikkel eddig találkoztam.

Hallod, kb 8 sec keresés volt googleben: https://www.oracle.com/technetwork/java/javase/javasecarootcertsprogram-1876540.html
Lelövöm a poént, olvasnod se kelljen: ingyen van. (FAQ 1.)

De hát van workaround, minek csinálják meg rendesen?

--
https://iotguru.live

> The Oracle Java Root Certificate program is in a steady state and generally not accepting new participants. Only widely recognized Certificate Authorities with a significant customer base and global reach should consider applying.

A (főleg) magyar piac significant méretű customer base és global reach?

Visszaértünk a szál elejére: magyar seggbe magyar lófaszt. :)

--
https://iotguru.live

:-(

Esetleg valami cross signing egy igazi CA-val (vagy nem root CA alapítása), és megoldódik ez a probléma is?

nem, valójában az oldaná meg a problémát, ha az {Oracle,Apple,Google,Microsoft,amerikai tech cégek} nem tennének magasról a CEE piacra, ami viszont nyilván sosem fog megtörténni a CEE piac mérete és fragmentáltsága miatt

nem kell mosdatni az Oracle-t sem, másnak sikerült berakni magyar root CA-kat a termékeibe

Esetleg megoldás lehetne, hogy EU szinten hoznának létre olyan root CA-t, ami alá be tudnák gyömöszölni a sok kis apró balfasz céget és az EU már elég nagy piac lenne erre. Csak ugye akkor már nem lehetne magyar seggbe magyar lófaszt tenni...

--
https://iotguru.live

"másnak sikerült berakni magyar root CA-kat a termékeibe"
Azért na, a Windows alap tanúsítványtárban benne van mind a MicroSec, mind a NetLock is.

Ez igaz, a Microsoftot nem konkrétan a magyar CA-k miatt vettem a listára, hanem a tech cégekre jellemző általános hozzáállása miatt.

... ezt kifejtenéd, hogy hogyan hozol létre saját CA-t saját root ca nélkül? Csak érdeklődöm. :)
... a kereszthitelesítés sem megoldás erre a problémára.

Szerintem úgy, hogy nem akarsz mindenáron saját Root CA-t a chain tetejére, főleg, ha gazdasági szempontból molyfing a piacod.

--
https://iotguru.live

Aha. Értem. Jó ötlet, de szerintem ezt senki nem fogja bevállalni, feltéve ha nem teljesen őrült.
Javasolt olvasmány a Symantec CA sztori: https://wiki.mozilla.org/CA:Symantec_Issues
A következmények ismertek.

"Aha. Értem. Jó ötlet, de szerintem ezt senki nem fogja bevállalni, feltéve ha nem teljesen őrült."

Ha körülnézel a világban, akkor látod, hogy egy csomó példa van erre.

"Javasolt olvasmány a Symantec CA sztori: https://wiki.mozilla.org/CA:Symantec_Issues"

Speciel ezt a Symantec úgy művelte, hogy volt Root CA-ja...

--
https://iotguru.live

Gratulálok, ezt én is ismerem évek óta. Olvasd el és értelmezd is a feltételeket.