Здравствуйте.
Очень хотелось бы найти ответ на вопрос, который будоражит длительное время.
Согласно пункту 11 «Порядка информационного взаимодействия ИС с НУЦ РК»
Информационной системе необходимо проверять регистрационные свидетельства подписывающей стороны согласно правилам проверки цифровой подписи и регистрационного свидетельства пользователей ЭЦП для НУЦ РК.
Вопрос следующий:
Означает ли это требование, что во всех случаях, для организации защищённого https соединения на WEB-сайтах, подлежащих аттестации, нужно использовать только SSL ключи от НУЦ?
По правилам безопасности мы должны использовать https соединение для защиты от перехвата паролей при логине на сайт.
Если использовать SSL - ключи от НУЦ, то:
- SSL-сертификаты от НУЦ не признаются корневыми сертифицированными удостоверяющими центрами Интернет.
В результате такие сайты считается недоверенными и отображаются с красным https в адресной строке.
Вместо того, чтобы успокоить пользователей, мы их отпугиваем.
- Google начал сайты с https в адресной строке повышать в поисковых рейтингах.
Получить бесплатный зелёный https ключ с автоматическим продлением стало возможным.
Возможно, этот вопрос уже обсуждался.
Сможет ли WEB-сайт пройти аттестацию, например с бесплатными ключами от
letsencrypt.org. Если ключи используются только для организации https соединения и
сайт не взаимодействует с НУЦ ?
