Добрый день уважаемые модераторы и разработчики,
Мы для нашего ИС настроили проверку OCSP по примеру Java(Kalkan). У нас ответ OCSP к некоторым подписям "REVOKED", а в большинство случаях "GOOD". У отозванных вроде ЭЦП валидный, то есть с датой все нормально - ЭЦП этого года, при взаимодействий с другими ИС (Documentolog к прим.) у которых тоже настроен OCSP проверка, с их стороны нарекании не было. Но в логах ответ почему-то отозван.

Отозванный ответ выглядит след. образом:
OCSP Response sigAlg: GOST34311WITHECGOST34310
OCSP Response verify: true
OCSP Response is REVOKED
Time: Thu Jan 01 05:00:00 AQTT 1970
Reason: 6

Корневой сертификат "pki_gost.cer" брал по след. пути:
SDK 2.0\Keys and Certs\Текущий НУЦ\CA CERTS\НУЦ

Дата изменения файла 04.11.2015. SDK этого года, но месяц не знаю.

Добрый день

Вам необходимо использовать новые корневые сертификаты для проверки сертификатов, выпущенных с июня этого года. Новые корневые сертификаты можно найти в SDK (вместе с соответствующими тестовыми сертификатами) или на сайте pki.gov.kz. SDK последний раз обновлялся в сентябре, дату последнего изменения можно проверить в файле changelog.txt.

А какой именно сертификат использовать из pki.gov.kz? В чем разница между сертификатами от НУЦ и КУЦ?

На сайте след. сертификаты:
НУЦ (RSA_OLD) pki_rsa
НУЦ (GOST_OLD) pki_gost
КУЦ (RSA) root_rsa
КУЦ (GOST) root_gost
НУЦ (RSA) nca_rsa
НУЦ (GOST) nca_gost

Какой порядок проверки сертификатов?

Если вы проверяете сертификат выпущенный старым корневым сертификатом, то вам нужно указать старый корневой (НУЦ (RSA_OLD) pki_rsa, НУЦ (GOST_OLD) pki_gost). Если сертификат выпущен новым корневым, то указываете новый корневой (НУЦ (RSA) nca_rsa, НУЦ (GOST) nca_gost).

Про КУЦ и НУЦ можете прочитать здесь root.gov.kz/ или более подробно в разделе документация на сайте pki.gov.kz.

В примере проверки по OCSP в SDK указан только корневой НУЦ РК, но при необходимости вы можете дополнительно проверить вместе с корневым КУЦ РК.