Добрый день.
При реализации проекта заказчик попросил ответить на следующие вопросы относительно взаимодействия Nginx c сертифицированной ФСБ версией OpenSSL (обычная openSSL только с бумажкой от ФСБ):
1. Выполнение рекомендаций, изложенных в руководстве программиста соответствующего СКЗИ, т.е. используется ли при взаимодействии с openSSL только документированное высокоуровневое API?
2. Осуществляется ли очистка памяти после выполнения криптографических операций (удаление из памяти ключевой информации, контекстов хэша, криптопровайдера и т.д.)?
3. Правильно ли производится обработка Nginx ошибочных ситуаций при взаимодействии с СКЗИ?
4. Осуществляются ли следующие проверки перед выполнением криптографической операции:
- сроков действия используемых сертификатов, списка отозванных сертификатов;
- отсутствия используемых сертификатов в списке отозванных сертификатов;
- соответствия используемых сертификатов области применения (должна быть исключена возможность использования сертификата, предназначенного только для шифрования, при формировании ЭП);
- правильности построения цепочки используемых сертификатов, списка отозванных сертификатов (если цепочка заключается в связке «сертификат – корневой сертификат», «СОС - корневой сертификат», то проверка цепочки заключается в проверке подписи сертификата, СОС на корневом сертификате).
Можете, пожалуйста, что-то подсказать?