Цены снижены! Бесплатная доставка контурной маркировки по всей России

Проверить стс на подлинность онлайн: Как проверить СТС в 2020 году

Содержание

Как проверить СТС в 2020 году

Рынок автомобилей так велик, что для многих стало нормой менять стального коня спустя 3-5 лет. Продать подержанный автомобиль довольно просто, так же как и купить его, и тут кроется самая главная проблема.

Поддельных документов на рынке очень много, и часть из них подделки довольно высокого качества. Распознать их просто так не всегда возможно, а вот госавтоинспекция справляется с такой проверкой довольно легко.

Для чего необходима

На сегодня установлено огромное число фактов мошенничества при продаже подержанного авто. Несмотря на то, что будущие покупатели считают себя максимально подготовленными, процент обманутых не уменьшается.

Также как и число мошенников, которые используют самые разные возможности для незаконной наживы.

Так продажа по поддельным документам – это самый развитый вид мошенничества.

Для начала попробуем разобраться в том, какие опасности могут подстерегать потенциального покупателя:

  1. Автомобиль может быть угнан и сделаны левые документы. Здесь все более чем понятно, потому что как только выяснится, что машина угнана, новому владельцу придется с ней расстаться. А вот удастся ли ему вернуть деньги – это очень большой вопрос.
  2. У автомобиля перебиты номера. Причин этому много, и в лучшем случае, если не будет доказано что машина в угоне, то его не отберут, но для постановки на учет придется потратить очень много сил.
  3. Автомобиль может быть собран из нескольких, так называемый, конструктор, с левыми документами. Многие водители считают, что в конструкторе нет ничего страшного, но достаточно посмотреть статистику аварий на дороге и подумать что произойдет с машиной, которая была собрана в гараже за домом. Да и с постановкой на учет могут возникнуть проблемы.
  4. Автомобиль может находиться в залоге у банка. Как правило, в таких случаях ПТС остается в банке, но многие находят способы для того, чтобы обманом получить документы и продать машину.

Также неплохо посмотреть диагностическую карту, которая подтверждает что автомобиль прошел техосмотр и допущен к движении.

СТС — это документ, который должен быть всегда у водителя, потому что в противном случае ему грозит штраф. И как правило, для проверки по различным базам используется именно этот документ.

Итак, что же можно проверить и где?

На сайте ГИБДД можно выяснить соответствует ли автомобиль документам , а именно:

  • модель и марка автомобиля;
  • год выпуска;
  • кузов;
  • номер двигателя и его объем;
  • в угоне ли;
  • участвовало ли в ДТП.

Еще один интересный портал для проверки – это выяснение находится ли машина в залоге. Для этого нужно выйти на сайт нотариальной палаты и ввести данные VIN

Также есть еще один весьма полезный портал, правда за проверку автомобиля придется уплатить символическую сумму. Это Автокод.

Проверка включает в себя следующую информацию об автомобиле:

  • технические данные;
  • через сколько рук прошла машина;
  • участие в ДТП;
  • было ли коммерческое использование;
  • страховые случаи;
  • и многое другое.

Как проверить СТС по базе ГИБДД онлайн

Но проще всего провести проверку по официальной базе ГИБДД. Необходимо отметить, что, как и многие организации, ГИБДД имеет свой собственный сайт, который может оказаться полезным многим автомобилистам.

На сайте есть масса интересной информации практически по всем вопросам, которые возникают во время движения и при оформлении ТС. И здесь же есть ответ на вопрос как проверить СТС на подлинность?

Портал понятен простому обывателю и навигация по нему очень удобна. Для проверки автомобиля необходимо выйти на главную страницу и кликнуть по вкладке Сервисы.

В открывшемся окне появляется множество самых разных вкладок. Но в данный момент водителю интересна «Проверка автомобиля»

Для того чтобы проверить машину достаточно знать VIN. Как известно, этот номер индивидуален и принадлежит конкретной машине. Номер указан в СТС, поэтому в данном случае можно смело говорить о проверке свидетельства о регистрации.

Информация, которую можно получить в данном сервисе, достаточно разнообразна. Может быть здесь не будет представлена полная история машины, но для первичной проверки этого более, чем достаточно.

Так, по номеру машины можно узнать все необходимое, что поможет не попасть к мошенникам.

В самом низу проверки автомобиля есть две ссылки, которые очень важны. Первая позволяет узнать не находится ли в машина в залоге, а вторая — выяснить вопросы страховки ОСАГО. Данная информация имеет важное значение, особенно если автомобиль находится в залоге.

Некоторые автомобилисты уверены, что покупать автомобиль в залоге нельзя, но есть законная процедура продажи такого транспортного средства и если ее соблюсти, то автомобиль перейдет в собственность нового владельца без каких-либо проблем.

Но для заключения подобной сделки банк должен быть в обязательном порядке поставлен в известность. И разумнее будет, чтобы представитель банка присутствовал на сделке.

Как отличить подделку от оригинала визуально

Разумеется, первая проверка документов – это на глазок. Но тут важно учитывать ряд факторов.

На сегодня на рынке встречаются самые разные подделки. Некоторые, качество которых оставляет желать лучшего, легко можно определить визуально. Как правило, они сделаны наспех на цветном принтере и заламинированны.

Но надо отметить, что даже явная подделка иногда срабатывает и мошеннику удается продать автомобиль. Расчет на то, что покупатель будет невнимателен или излишне доверчив.

Неплохо знать как должно выглядеть подлинное свидетельство о регистрации ТС, чтобы представлять на что нужно обращать внимание.

В большинстве случаев — это плохо пропечатанные буквы, различие шрифтов и плохо различимые, размытые печати

Важно знать тот факт, что при проверке в ультрафиолетовом свете на СТС появляется надпись ГИБДД.

Также в таком свете видны беспорядочно расположенные защитные полоски, которые настолько тонкие, что увидеть их просто невозможно. Но в ультрафиолетовом свете они четко различимы

Что делать, если обнаружил фальшивый документ при покупке авто

Если подделка была обнаружена до совершения сделки, то стоит найти причину, чтобы отказаться от дальнейшего общения с данным продавцом.

Разумеется, нельзя исключать тот факт, что продавец может и не знать о том, что его документы поддельные, но проблемы возникнут у нового владельца.

Также стоит насторожиться если владелец отказываться сообщить данные документа для того чтобы проверить машину. Если с бумагами все в порядке, то продавцу нечего опасаться.

Поэтому если продавец ссылается на многочисленные причины, по которым он не может показать документы и позволить проверить их, то как ни была бы хороша машина, лучше не рисковать.

Проверить документы нужно обязательно, потому то если фальшивка будет обнаружена на стадии переоформления автомобиля, в а 90% случаев она будет обнаружена, то тут возможны неприятности.

Даже доказав свою добросовестность как приобретателя, водитель не сможет найти мошенника, потому что скорее всего поддельным окажется не только СТС, но и все остальные документы.

А также данные продавца в договоре купли-продажи. Таким образом, не удастся восстановить справедливость даже через суд.

Как наказывается подделка подписи

Для того чтобы разобраться в ситуации необходимо понимать за что могут наказать. В Уголовном кодексе РФ есть ст. 327 предусматривающая наказание за подделку документов.

Разбирая данную статью на основе судебной практики и теории права можно выделить:

  • подделку документов;
  • использование заведомо подложного документа.

СТС, другие документы на автомобиль, а также водительское удостоверение в случае подделки будут изъяты и на владельца будет заведено уголовное дело.

Подделка может быть полной, когда документ изготавливается, как говориться с чистого листа, и частичной.

Таким образом подделка подписи в СТС дает основание квалифицировать правонарушение по части 1 ст. 327, что предусматривает следующее наказание:

ограничение свободыдо 2 х лет
принудительные работыдо 2 х лет
арестдо 6 мес.
лишение свободыдо 2 х лет

Наказание назначается на усмотрение судьи в зависимости от обстоятельств дела.
Важно отметить тот факт, что частичной подделкой будет признано внесение в подлинный СТС незаконных данных.

Таким образом если в легально полученный СТС будет поставлена поддельная подпись, документ будет признан поддельным, и последует ответственность по вышеуказанной статье.

Приобретение машины может стать выгодной сделкой, а может принести достаточно хлопот будущему владельцу. Чтобы избежать этого, стоит быть максимально внимательным и избегать приобретения автомобиля с рук у подозрительных людей.

Перекупы, а именно так называют людей, которые скупают машины у одних, и продают другим, могут быть очень изобретательны, особенно когда речь идет о том, чтобы быстро продать проблемный автомобиль.

Проверить документы на автомобиль совсем не сложно, но этом поможет избежать большого количества проблем в будущем.

Видео: ПРОВЕРКА СТС (ПЛАСТИК ) И ДОГОВОР КУПЛИ ПРОДАЖИ

Внимание!

  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов. Базовая информация не гарантирует решение именно Ваших проблем.

Поэтому для вас круглосуточно работают БЕСПЛАТНЫЕ эксперты-консультанты!

  1. Задайте вопрос через форму (внизу), либо через онлайн-чат
  2. Позвоните на горячую линию:

ЗАЯВКИ И ЗВОНКИ ПРИНИМАЮТСЯ КРУГЛОСУТОЧНО и БЕЗ ВЫХОДНЫХ ДНЕЙ.

Как проверить авто по номеру СТС (свидетельству о регистрации ТС) онлайн

Практически все виды транспорта на территории нашей страны имеют специальный документ — свидетельство о регистрации ТС. Проверка авто по СТС поможет вам обезопасить себя при покупке ранее эксплуатируемой машины.

В этом официальном документе, выдаваемом в ГИБДД, содержится полная информация об автомобиле, включая:

  • год выпуска;
  • регистрационный знак и VIN-код;
  • данные собственника, района и подразделения ГИБДД, где было поставлено на учет транспортное средство;
  • модель и номер двигателя, его мощность;
  • точную марку и модель автомобиля;
  • цвет машины;
  • категорию транспортного средства;
  • номер шасси и кузова.

Использование всех этих сведений можно многое узнать об автомобиле и истории его использования.

Проверить авто по СТС онлайн

Сегодня сделать проверку авто по СТС онлайн может каждый. Достаточно иметь доступ в сеть интернет и знать, какими ресурсами можно пользоваться. Выбор сайтов будет зависеть от того, какую информацию вы хотите получить. Совсем нелишней станет проверка приобретаемого автомобиля со всех сторон: на ДТП, наличие задолженностей, возможного розыска и другого. Большинство пользователей сети Интернет отдает предпочтение следующим онлайн-сервисам:

  • сайт ГИБДД — самый популярный, востребованный и доступный ресурс;
  • сайт Центробанка — здесь можно оставить запрос на получение справки об автомобиле, узнать не находится ли он в залоге у банка;
  • портал правительства Москвы — на нем представлена полная информация по автомобилям, но только по зарегистрированным в Москве или Московской области;
  • сайт Федеральной нотариальной палаты — проверка автомобиля на наличие залога.

Сейчас можно встретить и другие ресурсы, которые позволяют узнать подробную информацию об автомобиле. Пользоваться ими нужно с осторожностью, выбирая только заслуживающие доверия источники. С ними вы сможете избежать сложностей при регистрации автомобиля в дальнейшем и его эксплуатации, а также сразу узнать о возможных скрытых повреждениях. Любая информация будет полезной при таком серьезном вложении, как покупка авто.

Проверить на официальном сайте ГИБДД

Кроме сайтов различных компаний и других источников вы всегда можете проверить машину с помощью официальных ресурсов. Проверка авто по СТС на сайте ГИБДД доступна каждому. Этот сервис полностью бесплатный и позволяет получить точную и актуальную информацию. Проведение проверки на сайте происходит в несколько этапов:

  1. Необходимо зарегистрироваться или авторизоваться на сайте, если вы уже делали это ранее.
  2. Далее перейти в раздел сервисы и выбрать пункт «Проверка автомобиля».
  3. После этого вы попадете на новую страницу, где потребуется ввести данные транспортного средства.
  4. Здесь вам необходимо будет воспользоваться свидетельством и указать VIN-код, номера кузова и шасси транспортного средства.
  5. После этого вы сможете увидеть все результаты проверки автомобиля.

Помимо этого, использование сайта ГИБДД поможет подтвердить подлинность СТС. В результаты проверок попадают все данные о транспортном средстве, а также информация о его прошлых владельцах.

Какую информацию можно получить по СТС авто

При наличии документа СТС уже можно много узнать об автомобиле. Если же вы решили сделать проверка авто по номеру свидетельства о регистрации, то при использовании сайт ГИБДД, вы сможете рассчитывать на получение следующих сведений:

  • участие машины в ДТП, которые были зарегистрированы не ранее начала 2015 года;
  • нахождение автомобиля в розыске, если такое имеет место быть;
  • наличие ограничений, наложенных на автомобиль;
  • имеющиеся неуплаченные штрафы, которые могут числиться за автомобилем, провести проверку штрафов ГИБДД можно также по номеру постановления на различных сайтах.

Кроме того, изучение информации на других ресурсах сможет показать вам находится автомобиль в залоге у банка или нет, является ли он нотариально заверенным залогом, какие нарушения были зарегистрированы в отношении данного автомобиля. С помощью некоторых сервисов также можно узнать, работала ли машина в такси, была ли незаконная перекраска или изменение конструкции автомобиля.

Получить сведения об автомобиле можно не только с помощью онлайн-ресурсов. Личное обращение в органы, занимающиеся государственной регистрацией автомобилей, не только поможет удостовериться в подлинности документа, но и узнать все интересующие вас сведения.

Проверить авто по свидетельству о регистрации ТС

Владелец автомобиля при продаже не всегда может предоставлять достоверную информацию о нем. Поэтому в осуществлении проверки авто по свидетельству о регистрации ТС заинтересован в первую очередь покупатель. Ведь как показывает практика многих автомобилистов поверхностного осмотра недостаточно, чтоб определить не только надежность автомобиля, но и его юридическую чистоту.

Сегодня существует много бесплатных эффективных сервисов, которые помогут вам перестраховаться при покупке поддержанной машины. Проверив ее по всем аспектам, в том числе и по наличию задолженностей перед ФССП и другими ведомствами, вы сможете быть уверены в своей покупке.

на подлинность, на ограничение регистрационных действий, на арест и залог, на трафы и историю собственников

Собираясь покупать мотоцикл или другое ТС с рук велик риск нарваться на мошенников. Поэтому к проверке документов отнеситесь с максимальным вниманием.

Проверка VIN, номера рамы и двигателя

Прежде чем начинать осмотр ТС проверьте все номера на ПТС и на приобретаемом транспорте. В тех местах где номер на раме или кузове осмотрите на предмет переделок. Злоумышленники часто перебивают номера на двигателе, на раме или кузове — вваривают целые куски металла с номером другого ТС. Так же стоит проверить:

  • Марку и модель
  • Цвет
  • Изготовителя ТС
  • Страну вывоза
  • Информацию о растаможке
  • Сравните информацию о текущем владельце в ПТС и СТС.

Если все данные верны — проверим бланк ПТС на оригинал.

Проверка бланка ПТС

Паспорт транспортного средства имеет несколько степеней защиты.

Узоры по всему бланку — должны быть чёткие и ровные, аккуратно и симметрично прорисованы.

Голограмма на первой странице бланка — в центре авто, окруженный узорами и надписями поверх узора, по краям звездочки. Все должно быть аккуратно прорисовано и появляться исчезать под разными углами обзора.

На последней странице ПТС есть узор, объемный на ощупь. В зависимости от угла обзора его цвет меняется от серого до ярко-зелёного.

Еще одна степень защиты — водный знак RUS*, который видно на просвет по всей площади листа ПТС.

Как проверить ПТС онлайн

После того как вы удостоверились в подлинности бланка ПТС и данные на самом транспортном средстве, самое время проверить данные с помощью сайта ГИБДД онлайн.

 

Переходим по ссылке на сайт ГИБДД: http://www.gibdd.ru/check/auto/#

В верхней части вводим VIN номер в поле, и запрашиваем интересующие проверки.

Что можно пробить через онлайн базу ГИБДД:

  • историю собственников
  • проверить через вин находится ли ТС в залоге
  • проверить автомобиль перед покупкой на юридическую чистоту
  • проверить автомобиль у судебных приставов
  • проверить автомобиль на ограничение регистрационных действий
  • проверить подлинность птс

Вы можете проверить информацию о ТС такую как модель, год выпуска и тд. Но самое важное — количество владельцев — оно должно совпадать с тем что написано в ПТС.

Так же можно узнать о зарегистрированных ДТП с участием этого автомобиля или мотоцикла:

Проверка на запрет регистрационных действий по тем или иным причинам:

Так же можно узнать не находится ли ТС в розыске или угоне:

Таким образом вы сможете проверить перед покупкой всю информацию о транспорте в онлайн режиме прямо со смартфона или компьютера.

 

Как самому проверить номер двигателя автомобиля при покупке?

Любую машину можно идентифицировать по номеру двигателя и кузова. На основании полученных данных проверяется факт угона ТС, устанавливается подлинность маркировки двигателя. Символы на двигателе должны быть идентичны данным по ПТС, СТС. Недопустимы механические, коррозионные повреждения или полное отсутствие знаков. Это чревато последствиями – такое авто невозможно поставить на учет в ГИБДД РФ.

Главные критерии проверки:

  • Соответствие выгравированного номера документальным данным;
  • Наличие и состояние цифр – их могли пытаться «корректировать»;
  • Отдельная проверка на предмет угона.

На моторах некоторых машин символы на табличке могут быть повреждены или отсутствовать вовсе, хотя они предусмотрены производителем. При угоне буквы и цифры затираются и перебиваются заново. Помните, многие символы очень похожи: единица и латинская «l», буква «О» и ноль. Этим элементам следует уделить особое внимание. На вторичном рынке нет никаких гарантий у покупателя. Покупая б/у авто всегда есть риск приобрести машину с чужими запчастями либо находящуюся в розыске. Подержанные авто и криминал – довольно частая комбинация.

Этапы самостоятельной проверки номера двигателя

Для проверки соответствия номера на моторе с документальными, вам не потребуется никакого дополнительного оборудования. Её несложно провести самостоятельно. Достаточно сравнить табличку с выгравированным номером на агрегате и главные документы – ПТС, СТС.

Для самостоятельного осмотра вам необходимо:

  • Встретиться с продавцом авто, открыть крышку капота и найти номер на корпусе мотора;
  • Сравнить символы на корпусе агрегата с символами в свидетельстве о регистрации авто;
  • В случае отсутствия свидетельства о регистрации ТС сопоставить номер с указанным в ПТС;
  • При отсутствии номера на самом двигателе (такой случай не единичный на американских авто), надо посмотреть на номер в ПТС (там он всегда есть).

Увидеть и рассмотреть символы – не всегда одно и то же, особенно если мотор загрязнен или сама табличка неудобно расположена. Такое место сложно очистить и рассмотреть без зеркала. Обычно номер находится под щупом уровня масла на металле. В разных моделях авто месторасположение может отличаться, но у большинства машин он находится там.

Если двигатель сильно загрязнен, следует протереть табличку от пыли и грязи салфеткой или влажной тряпкой. Салфеток потребуется много, так как предстоит разглядеть 17 символов – букв латиницей и цифр. Если в поле зрения попадают не все знаки, воспользуйтесь зеркалом. Прочитав номер на табличке, сопоставляем с заявленным в документах, делаем выводы. Даже при полном совпадении имеет смысл осуществить дальнейшую проверку на предмет угона.

Проверяем номер двигателя автомобиля в ГИБДД

Для совершения безопасной сделки важно знать, как провести проверку авто по факту угона. Проверить ТС в ГИБДД по VIN-коду можно совершенно бесплатно. Для этого достаточно лично приехать в отделение ГАИ или посетить специализированный онлайн-сервис http://www.gibdd.ru. Посетив официальный сайт, находим вкладку Сервисы, далее переходим на Проверка автомобиля. Далее вводим VIN-код, идентификатор кузова или шасси.

Процедура обязательной проверки ТС по номеру двигателя была упразднена еще в 2011 году, однако сотрудники ГАИ имеют необходимые полномочия для её осуществления. Этот факт поделил сотрудников ГИБДД на две категории – тех, кто проверяет, и тех, кто не проверяет.

Если интересующий автомобиль окажется в розыске, из покупателя вы автоматически превращаетесь в свидетеля по уголовному делу. Вместо долгожданного средства передвижения новоиспеченный хозяин получит кучу неприятностей в виде запрета на вождение, а сам автомобиль окажется на штрафной стоянке.

Проверяем через специализированный сервис

Для оперативной проверки и получения дополнительной информации по интересующей машине, обратите внимание на специализированный сервис Автопроверка. За несколько секунд вы будете располагать полным отчетом по автомобилю. На ресурс поступает информация из различных баз и картотек – база ГИБДД, Федеральной службы судебных приставов, страховых компаний. Коммерческий способ получения информации по праву считается более надежным.

Проверка авто по VIN-коду через сервис Автопроверка предоставит полную картину об истории автомобиля:

  • Информация о прошлых владельцах;
  • История штрафов и ДТП;
  • Ограничения;
  • Сможете оценить техническое состояние;
  • Информация об угоне авто.

Формирования такого отчета об истории автомобиля прояснит главные юридические моменты эксплуатации, связанные с прошлым владельцем. Помните, проверка лишней не бывает.

Проверить сайт на уникальность контента онлайн, проверить страницы сайта на уникальность

Ваши последние проверки

Для доступа к истории проверок нужно войти в систему

Новости сервиса

20. 09.2020 22.09.2019 13.01.2019

Проверка страниц сайта на уникальность

Для проверки отдельной страницы достаточно ввести адрес в соответствующее поле. Система выделит контент страницы, удалит навигационные элементы, не имеющие отношения к тексту, а затем проверит на уникальность.

Если нужно проверить несколько страниц и у вас есть их список, воспользуйтесь пунктом «Пакетная проверка» и вы сможете ввести весь список сразу. Мы проверим их по очереди и вы сможете увидеть результаты каждой из проверок.

Автоматическая регулярная проверка сайта

Попробуйте нашу автоматическую регулярную проверку — добавьте страницы сайта на защиту, и мы будем мониторить их уникальность и отправлять вам отчеты на почту!

Лимиты

Нужно проверить весь сайт, а лимитов не хватает? Вы можете купить подписку и проверять значительно больше!

Автоматический подбор разделов сайта

Когда вам нужно проверить страницы определенного раздела сайта или все они имеют похожий адрес, можно воспользоваться новым функционалом сканирования сайта и не искать их вручную.

Проверка идет в два этапа. Сначала укажите адрес сайта, и мы просканируем его и покажем все разделы. Затем вы можете одним кликом проверить любой раздел!

Поиск ссылки на источник

Пользователям с подписками доступна новая функция — автоматический поиск ссылок на проверяемый сайт. Мы будем искать упоминание или активную ссылку на ваш сайт при каждой проверке. Это позволит вам быстро принять решение о том, является ли копия плагиатом или нет.

Пожалуйста, сообщайте об ошибках, оставляйте отзывы и предложения.

Обратите внимание, на нашем сайте можно также проверить текст на уникальность.

Проверка штрафов за парковку по номеру постановления, автомобиля и СТС

Чем крупнее мегаполис, тем больше в нем автотранспорта. Чем больше машин, тем насыщеннее движение. Чем больше на дорогах авто, тем больше проблем с парковками. Это набор довольно заезженных истин, но в Москве он актуален как нигде.

Платные парковки, внедряемые в столице повсеместно, призваны навести порядок со стоянками автотранспорта. Одновременно подобные паркинги закономерно увеличивают и число нарушителей – тех, кто воспользовался услугами не заплатив. Неважно, вольно или невольно произошло нарушение, выписанный штраф надо оплачивать. Но сначала узнать – действительно ли подобное взыскание наложено.

Разберем подробно несколько распространенных способов проверки штрафов за неоплаченную парковку. Где узнать про них, как проверить реальность полученного постановления, какими способами лучше не пользоваться – об этом и о многом другом читайте далее.

По каким данным можно проверить штрафы?

Самым распространенным методом получения информации о штрафе за парковку является почтовое уведомление. Однако бывают случаи – и мы просим отнестись к этой информации как к предупреждению – когда постановления присылают мошенники. Стилизовав письмо под официальное, приходит поддельная информация с «левым» счетом для перечисления оплаты.

Справиться с этой проблемой просто – проверьте постановление на реальность. Для этого достаточно воспользоваться одним из приведенных ниже способов официальной проверки.

Проверку реальности постановления нужно осуществлять по УИН – многозначному уникальному номеру, который присваивается каждому аналогичному документу. Просто введите его в соответствующее поле, и получите полную информацию о документе.

Проверку можно осуществлять и по другим параметрам, к примеру, номеру водительского удостоверения, номеру авто или свидетельства ТС, но если речь идет о проверке подлинности постановления, то лучше использовать УИН. Другие методы подойдут для проверки наличия штрафа (когда постановления еще не получено). О них и поговорим далее.

Где посмотреть штраф за парковку онлайн?

Современная инфраструктура мегаполиса предполагает несколько различных методик проверки. Большинство из них связанны с онлайн-способами, но есть и СМС-сервис. Перечислим основные из них, а далее приведем пошаговые инструкции использования некоторых:

  • По СМС.
  • В соответствующем разделе сайта московской мэрии.
  • На портале «Автокод» — сервис для автолюбителей от правительства Москвы.
  • На сайте ГИБДД.
  • Через мобильное приложение «Парковки Москвы».
  • С помощью специального сервиса Яндекс.Деньги.

Здесь сразу стоит сказать о некоторых трудностях. Вопросами платных парковок и, следовательно, штрафами за их незаконное использование, занимается отдельная организация – АМПП – Администратор Московского парковочного пространства.

Приложение «Парковки», сайт московской мэрии, «Автокод» и СМС-сервис связываются с ней напрямую. Другие способы, и прежде всего через ГИБДД, могут получать информацию не сразу, а через некоторое время. Соответственно, отсутствие штрафа за неоплаченную парковку на портале ГИБДД не означает его отсутствия вообще. Возможно, он появится там позже.

Как узнать, есть ли штрафы за неоплаченную парковку по номеру постановления, гос номеру автомобиля или СТС?

Рассмотрим подробно несколько популярных сервисов проверки штрафов за неоплаченную парковку в виде пошаговых инструкций их применения.

СМС проверка штрафов за парковку по номеру ВУ или СТС

Способ достаточно прост. Для проверки нужно выполнить всего два простых шага:

  1. Отправить СМС на номер 7377 с текстом «штраф [номер прав или свидетельства ТС]».
  2. Дождаться ответа со сведениями о наличии штрафов.

Запрашивать можно и по номеру водительского удостоверения, и по свидетельству ТС – оба варианта равнозначны. Обратите только внимание, что номер свидетельства пишется без пробелов, например, 77яя999777, а права указываются в виде серии и номера через пробел, к примеру, 77яя 999777.

В ответном сообщении придет информация обо всех имеющихся штрафах, какая бы организация их не выставляла – АМПП, ГИБДД, МАДИ. Вместе с тем, информация будет довольно сжатой (под формат СМС), а для более подробного оповещения лучше использовать другие способы.

Как проверить на сайте Мэра Москвы?

Для этого на московском портале существует отдельный сервис. Для его использования:

  1. Перейдите на страницу услуги.
  2. Выберите сервис «Поиск и оплата штрафа».

  3. Откроется форма ввода. Будем использовать вкладку «Удостоверение водителя и СТС», но для проверки конкретного УИН можно применять и функцию «Номер постановления».

  4. Вводится необходимая информация (номера прав и дата выдачи, номер свидетельства авто), и нажимается кнопка «Проверить штрафы».
  5. Открывается страница с результатами.

При отсутствии штрафов будет предоставлена соответствующая информация либо открывшаяся страница окажется пустой.

Права или СТС могут вводиться как вместе, так и по отдельности. При этом введение обоих сведений ограничат поиск конкретным водителем и автомобилей, а поочередное даст информацию по всем штрафам, связанным с водителем (вне зависимости от авто) или машине (независимо от лица, управлявшего ТС).

Поиск штрафов на портале «Автокод»

Данный сервис так же предоставляется с помощью портала московского мэра (сервис является поддоменом мос. ру), но работает на собственных принципах, и делает независимые запросы к базам данных:

  1. Входим на главную страницу сервиса.
  2. В верхнем меню в разделе «Штрафы и нарушения» выбираем пункт «Проверка и оплата штрафов».

  3. Откроется страница сервиса, на которой имеется форма ввода информации для запроса: номер ВУ, СТС или постановления. Выбрать можно один из способов. При вводе данных о правах нужно будет указать (выбрать) и дату их выдачи.

  4. Нажимаем кнопку «Проверить».
  5. Открывается страница с результатами.

В том же разделе меню есть пункт «Таблица штрафов». Это справочная информация по всем возможным санкциям за конкретные правонарушения. Обратите внимание, что данные актуальны только для Москвы, т.к. содержат сведения не только из федерального КоАП, но и региональных законов.

Одновременно с этим, нормы применяются по месту совершения правонарушения, а не по месту регистрации нарушителя или его автомобиля.

Как найти па сайте ГИБДД по номеру машины или СТС?

Напоминаем, что информация о штрафах на данном портале моментально появляется только в случаях, если постановление выписано этим ведомством. Парковки находятся в зоне ответственности АМПП, поэтому сведения могут поступать с некоторой задержкой.

Структура проверки максимально облегчена:

  1. Переход на страницу сервиса.
  2. Ввод сведений (номер машины или СТС).

  3. Запрос проверки и получение результата.

Обратите внимание, что проверки по номеру постановления в данной форме нет. Проверка штрафов за парковку ограничена автомобилем, т.к. данные о водителе напрямую не вводятся (косвенно они могут быть учтены из СТС, но штрафы по этому же владельцу, но по другим авто, показаны не будут).

Через приложение «Парковки Москвы»

Это приложение для мобильных телефонов, которое можно скачать по этой ссылке (сначала откроется официальная странице сервиса, на которой можно будет выбрать тип операционной системы смартфона – Android или Apple). Далее:

  1. В системе необходимо зарегистрироваться, введя телефон, а далее пароль, который пришлют СМС.
  2. Далее добавляются сведения об авто: значок меня в верхнем левом углу – «Мои автомобили» — ввод запрашиваемых данных и сохранение информации.
  3. Через это же меню выберите пункт «Штрафы».
  4. Информация по имеющимся штрафам сразу же появится на экране телефона. Будут использованы сведения о ТС, введенные в приложение на шаге №2.

Обратите внимание, что информация может содержать сведения и об уже оплаченных штрафах. В этом случае неоплаченные будут подсвечены красным цветом, а уже выполненные обязательства – зеленым.

Оплата штрафа за парковку или обжалование

Выявив наличие штрафа, у автовладельца есть два варианта: оплатить или оспорить его. Способов оплаты множество и, как правило, каждый из способов проверки на конечном этапе предлагает различные методики погашения задолженности.

Важно понимать, что штраф за неоплаченную парковку не попадает под действие ч. 1.3 ст.32.2 КоАП РФ – о возможности 50% скидки при быстрой оплате. Выплачивать штраф необходимо в полном размере. Для этого у нарушителя есть 60 дней с момента вступления постановления в силу.

Альтернативой оплате является оспаривание штрафа. Сделать это необходимо в течение 10 дней, а обращаться в ту организацию, которая его выписала. Это довольно непростая процедура, полностью описанная в данном материале.

За правонарушение придется расплачиваться. Размер штрафа за неоплаченную парковку не маленький, особенно в Москве. Однако сначала необходимо выяснить, точно ли оно было. Будет не лишним знать заранее о наличии штрафа, т.к. письменное уведомление может не дойти.

Теперь вы знаете основные способы проверки штрафов за неоплаченную парковку. Используйте их. Будьте в курсе происходящего, чтобы ни финансовые затраты, ни действия мошенников не застали вас врасплох.

➡️ Не забудьте подписаться на наш ТГ-канал. Мы проводим там опросы и публикуем важные правовые новости.

Консультации по тел: 8(800)350-23-68. Звонок бесплатный на территории РФ.

Задать вопрос эксперту сайта «Юрист-консультант»

Вопрос-ответ — СК «Надежда»

Вопрос
19.01.2017
При регистрации в личном кабинете или при заполнении паспортных данных собственника транспортного средства получил уведомление о недействительности паспорта. Что делать в этом случае?
Развернуть ответ

Сообщение о недействительности паспорта сформировалось после проверки данных по базе МВД России. Обратитесь в территориальное отделение Управления по вопросам миграции МВД России для изменения данных о статусе паспорта, в случае если данные МВД России некорректны.
В случае, если оформление полиса ОСАГО требуется срочно, наиболее быстрый способ – обратиться в органы МВД за справкой о действительности паспорта и представить ее в страховую компанию.

Вопрос
18.01.2017
Почему действие е-ОСАГО начинается только на следующий день за днем заключения договора?
Развернуть ответ

Это предусмотрено действующим законодательством.

Вопрос
18.01.2017
Что делать, если меня остановит ГИБДД?
Развернуть ответ

Распечатайте заранее файл электронного полиса на принтере и возите с собой.
Ездить с распечатанным полисом законно! ГИБДД проверяет действительность вашего полиса по базе РСА. Вы сами можете проверить действительность своего полиса на сайте РСА, воспользовавшись специальным сервисом.
Вместе с полисом на электронную почту мы присылаем памятку ваших действий в случае ДТП.

Вопрос
18.01.2017
Нужно ли заверять печатью электронный полис? Зачем нужна электронная подпись?
Развернуть ответ

Электронное ОСАГО — это оригинал вашего полиса.
1.    Распечатайте файл электронного полиса на принтере и возите с собой в машине.
2.    Распечатанный полис НЕ нужно заверять печатью или подписью в офисе!
3.    Его не обязательно нужно обменивать на бумажный полис в офисе.
Вместо печати и подписи электронное ОСАГО заверяет электронная подпись, код подтверждения приходит на ваш телефон.

Вопрос
18.01.2017
Как оформить е-ОСАГО, если транспортное средство зарегистрировано за рубежом?

Развернуть ответ

Оформить онлайн ОСАГО на транспортное средство, зарегистрированное не в РФ, в электронном виде невозможно. Пожалуйста, обратитесь в офис страховой компании.

Вопрос
18.01.2017
Как происходит покупка ОСАГО онлайн?
Развернуть ответ

1.    Регистрируетесь в личном кабинете.
2.    Заполняете все данные для расчета в онлайн-калькуляторе:
на транспортное средство,
на собственника ТС,
на лиц, допущенных к управлению
3.    Подтверждаете проект договора простой электронной подписью (вводите код, отправленный с сайта на ваш номер сотового телефона).
4. Оплачиваете покупку банковской картой.
5. Получаете полис и сопроводительные документы на email.

Вопрос
18.01.2017
Период действия страхового полиса заканчивается через месяц. Оформлял на 3 месяца в печатном виде. Могу ли я продлить этот страховой полис онлайн?
Развернуть ответ

Нет, продлить период использования можно только в случае, если полис ОСАГО выписан онлайн, и только в той компании, в которой его оформляли.
Для продления бумажного полиса необходимо обратиться в офис Вашей страховой компании.

Вопрос
18.01.2017
Я все забиваю правильно, почему возникают ошибки?
Что делать?

Развернуть ответ

Ошибки возникают по причине несовпадения данных   пользователя в калькуляторе и в данных, которые находятся в АИС РСА. Такое возможно, если у вас изменились паспортные данные, или при оформлении оператором была допущена ошибка в номере диагностической карты, в данных ТС и т. д.  В таких ситуациях мы рекомендуем обратиться в нашу службу поддержки по адресу [email protected].  Вам необходимо предоставить сканированные изображения ваших документов и сделать скриншоты с экрана вашего устройства всех шагов заполнения анкеты.  После проверки данных и внесения необходимых корректировок мы свяжемся с вами для дальнейшего взаимодействия.  

Если вы впервые оформляете полис, вам необходимо также отправить фотографии машины (при наличии), и сканированные изображения СТС, ДК, на указанный адрес. Оператор проверит данные, скорректирует информацию в базе данных, и вы сможете оформить договор на сайте.  

Вопрос
18.01.2017
Ошибки, не пускает далее, что делать?
Развернуть ответ

Главное правило: введенные вами данные о водителях, автомобиле, собственнике должны полностью совпадать с данными, которые содержатся в системе РСА.

1. Убедитесь, что вы правильно заполнили все данные заявления на страхование (проверьте опечатки, даты, адреса).
2. Если все необходимые условия оформления страховки выполняются, но вы все равно видите ошибку, РЕКОМЕНДУЕМ отправить на почту [email protected] скан-копии документов, подтверждающие введенную вами информацию, и скриншот с экрана монитора. Данные будут проверены сотрудником техподдержки, и вы сможете оформить договор на сайте.

Вопрос
18.01.2017
Что нужно, чтобы оформить е-полис?
Развернуть ответ

Для оформления электронного полиса ОСАГО Вам понадобится:

•    Паспорт собственника транспортного средства
•    Паспорт страхователя
•    Документы транспортного средства
•    Сканированные изображения или фотографии документов (в том случае, если представленные страхователем сведения не соответствуют информации, содержащейся в АИС РСА или отсутствуют в ней)
•    Фотографии транспортного средства (при наличии)
•    Банковская карта на имя страхователя

ВНИМАНИЕ! САО «Надежда» вправе взыскать со страхователя сумму страховой выплаты в порядке регресса в случае предоставления страховщику недостоверных сведений, приведших к необоснованному уменьшению размера страховой премии.

Вопрос
18.01.2017
Какую скидку я получу за 10 лет безаварийной езды?
Развернуть ответ

За каждый год безаварийной езды начисляется скидка 5%. Таким образом, максимальный размер скидки за 10 лет страхования может составить 50%.
    На нашем сайте вы можете проверить свой КБМ и страховой класс.

Вопрос
18.01.2017
Я купил б/у автомобиль, у которого нет ни талона ТО, ни ОСАГО. Могу ли я доехать до оператора ТО без полиса ОСАГО?
Развернуть ответ

Владельцы транспортных средств обязаны застраховать свою гражданскую ответственность до регистрации транспортного средства, но не позднее чем через 10 дней после возникновения права владения им. Таким образом, в течение 10 дней можно доехать до пункта технического осмотра без полиса ОСАГО, пройти технический осмотр приобретенного транспортного средства, после чего заключить договор ОСАГО.

Вопрос
18. 01.2017
Могу ли я оформить ОСАГО по временной регистрации?
Развернуть ответ

Да, если у вас нет постоянной регистрации в РФ. Если постоянная регистрация имеется, при расчете ОСАГО будет учитываться именно этот региональный коэффициент.

Вопрос
18.01.2017
Когда пора продлевать ОСАГО?
Развернуть ответ

Продлить ОСАГО лучше до истечения текущего полиса, чтобы не было перерывов в страховании.
    Продлить полис можно не ранее, чем за 2 месяца (60 дней) до истечения предыдущего ОСАГО.
    Напоминаем, что за просроченную страховку ОСАГО и за езду без полиса полагается штраф.

Вопрос
18.01.2017
Хочу период страхования указать не на 1 год, а на определенный период. Как это сделать?
Развернуть ответ

Чтобы застраховаться на срок менее 1 года, выберите в настройках онлайн-калькулятора период использования автомобиля на первом шаге «На 1 год. Транспортное средство может использоваться только в указанные периоды» Срок страхования при этом останется равным 1 году, но период использования полиса будет скорректирован в соответствии с выбранным вами сроком.

Вопрос
18.01.2017
Где брать извещение о ДТП при покупке полиса е-ОСАГО?
Развернуть ответ

Извещение о ДТП отправляется в электронном виде вместе с полисом в виде ссылки на скачивание.
Достаточно скачать PDF-файл, распечатать и возить с собой вместе с пакетом документов.

Вопрос
18.01.2017
Нужно ли показывать сотруднику ГИБДД электронный полис?
Развернуть ответ

Мы рекомендуем распечатать полученный на email электронный полис и список законных оснований для страхования в электронной форме и всегда иметь эти документы при себе в момент управления автомобилем!
Наряды ДПС могут проверять онлайн наличие электронного полиса ОСАГО через сеть ИМТС МВД России или сайт РСА. При наличии в информационной системе сведений о заключении такого договора они обязаны исключить привлечение водителя к административной ответственности по части 2 статьи 12.3 КоАП РФ*

*Согласно письму ГУОБДД МВД России от 03.07.2015 № 13/12-у-4440 Начальнику ЦСН БДД МВД России, начальникам подразделений ГАИ на региональном уровне «Об изменениях в законодательстве Российской Федерации».

Вопрос
18.01.2017
Каков порядок расторжения договора ОСАГО, оформленного в электронном виде?
Развернуть ответ

Расторжение электронного договора ОСАГО возможно только в офисе страховщика.  Для расторжения договора необходимо обратиться в любой офис страховщика с заявлением о расторжении договора, документом, удостоверяющим личность и документами, подтверждающими основания для расторжения договора.

Вопрос
18.01.2017
Как можно проверить подлинность электронного полиса ОСАГО?
Развернуть ответ

Вопрос
18. 01.2017
Нужна ли диагностическая карта (техосмотр, ТО) для оформления электронного ОСАГО?
Развернуть ответ

Диагностическая карта требуется для легковых  транспортных средств, не используемых в качестве такси, старше 3 лет, включая год выпуска. Если Ваше транспортное средство старше трех лет и у Вас нет действующей на дату заключения договора  диагностической карты, то для заключения договора ОСАГО сначала необходимо пройти техосмотр. Обращаем внимание на то, что три года исчисляются с 1 января года изготовления транспортного средства и не зависят от даты его покупки или даты выдачи ПТС. Данные о наличии действующей ДК страховые компании также получают из АИС РСА.

Вопрос
18.01.2017
Страховая история, моя скидка за безаварийное вождение (коэффициент бонус-малус — КБМ) при оформлении электронного ОСАГО применяется?
Развернуть ответ

При оформлении полиса ОСАГО (в любом виде) применяется коэффициент, соответствующий страховой истории, содержащейся в автоматизированной информационной системе РСА (Российского союза автостраховщиков). Поэтому скидки за безаварийное вождение (если информация о них содержится в РСА), будут применены. Информация о новом договоре ОСАГО, заключенном в электронном виде, будет также передана в РСА.

Вопрос
18.01.2017
Почему бланк е-ОСАГО не розовый, а черно-белый?
Развернуть ответ

«Полис ОСАГО в электронном виде при его оформлении сразу передается в единую базу договоров ОСАГО в РСА. На сайте РСА информацию по полису можно увидеть уже через час. Сотрудники полиции при проверке действительности полиса ОСАГО будут руководствоваться сведениями из единой базы РСА. Взамен электронного полиса ОСАГО страховщик в любое время может выписать полис на розовом бланке. Для этого надо обратиться в ближайший офис САО «Надежда» или направить заявку на направление полиса почтой на электронную почту. Направление полиса почтой производится за счет клиента».

Вопрос
18.01.2017
Отличается ли стоимость полиса ОСАГО, оформленного на бумажном бланке строгой отчетности от оформленного онлайн?

Может ли в разных страховых компаниях стоимость одного и того же полиса отличаться?

Развернуть ответ

Тарифы по договорам ОСАГО устанавливаются в соответствии с указаниями Банка России. Страховщики вправе самостоятельно устанавливать размеры базовой ставки при расчете стоимости ОСАГО в зависимости от территории преимущественного использования ТС, но с учетом минимальной и максимальной ставки, утвержденной Банком России.
О том, какой тариф конкретный страховщик будет применять, страховщик в обязательном порядке уведомляет Банк России. Устанавливать разные тарифы в зависимости от способа оформления полиса ОСАГО страховщики не вправе.
Таким образом, стоимость полиса ОСАГО у одного и того же страховщика, независимо от способа его оформления, отличаться не может. При этом стоимость полиса на одно и то же ТС у разных страховщиков может отличаться.  

Вопрос
18.01.2017
Для оформления полиса ОСАГО онлайн физическим лицам требуется электронная подпись. Где ее можно оформить или получить?
Развернуть ответ

Для создания простой электронной подписи используется специальный ключ, который направляется страховщиком в виде смс-сообщения на сотовый номер телефона, который вы указываете при регистрации. Указанный ключ в целях безопасности каждый раз генерируется уникальный.

Вопрос
18.01.2017
Страховая компания «Х», на сайт которой я обратился для оформления полиса ОСАГО онлайн, предложила мне оформить полис ОСАГО САО «Надежда». Я проживаю в субъекте РФ, где офисы САО «Надежда» отсутствуют. Подскажите, как поступить в этом случае?
Развернуть ответ

Право выбора страховой компании, где приобретать полис ОСАГО, безусловно, у потребителя. Вы вправе отказаться от приобретения полиса любой страховой компании, куда бы не перенаправляли Вас с сайта выбранного Вами страховщика.
На сайте выбранного Вами страховщика Вы можете обратиться с заявлением об отказе от передачи Ваших данных другой страховой компании и вправе потребовать выписать полис ОСАГО, в том числе в электронном виде.

Вопрос
18.01.2017
Страховая компания «Х», на сайт которой я обратился для оформления полиса ОСАГО онлайн, предложила мне оформить полис ОСАГО САО «Надежда». Я согласился, но при оформлении полиса на вашем сайте требуется вводить снова все данные. Могу ли я отказаться от вашего полиса и оформить полис ОСАГО в СК «Х»?
Зачем заполнять заново данные на сайте САО «Надежда», если я соглашаюсь оформить ваш полис?

Развернуть ответ

Право выбора страховой компании, где приобретать полис ОСАГО, безусловно, у потребителя. Вы вправе отказаться от приобретения полиса любой страховой компании, куда бы не перенаправляли Вас с сайта выбранного Вами страховщика.

В случае, если Вы согласились приобрести полис САО «Надежда» после того как заполнили сведения на сайте другого страховщика, заново заполнять эти сведения не требуется (если с Вашей стороны не было отказа от передачи сведений).

Вопрос
18.01.2017
Возможно ли приобрести полис ОСАГО онлайн на сайте САО «Надежда»?
Развернуть ответ

С 01.01.2017г. возможность приобретения полиса ОСАГО онлайн имеется на сайтах всех страховщиков, имеющих лицензию на ОСАГО, в том числе и в САО «Надежда».

Вопрос
18.01.2017
Марка моего автомобиля отсутствует в списке на сайте САО «Надежда». Как оформить полис ОСАГО?
Развернуть ответ

Предлагаем направить сканы документов на электронную почту [email protected], чтобы мы могли связаться с Вами для оформления полиса.

Страница не найдена

Документы

Моя библиотека

раз
    • Моя библиотека
    «» Настройки файлов cookie

    Аутентификация, авторизация и безопасность в SharePoint

    • 7 минут на чтение

    В этой статье

    Что нового в SharePoint для проверки подлинности, авторизации и безопасности

    В SharePoint добавлены следующие улучшения:

    Аутентификация и авторизация

    SharePoint поддерживает безопасность доступа пользователей к веб-сайту, списку, списку или папке библиотеки, а также на уровнях элементов.Управление безопасностью основано на ролях на всех уровнях, обеспечивая согласованное управление безопасностью на платформе SharePoint с единым пользовательским интерфейсом на основе ролей и объектной моделью для назначения разрешений для объектов. В результате безопасность на уровне списка, папки или элемента реализует ту же модель пользователя, что и безопасность на уровне веб-сайта, что упрощает управление правами пользователей и прав групп на всем веб-сайте. SharePoint также поддерживает уникальные разрешения для папок и элементов, содержащихся в списках и библиотеках документов.

    Авторизация относится к процессу, с помощью которого SharePoint обеспечивает безопасность веб-сайтов, списков, папок или элементов, определяя, какие пользователи могут выполнять определенные действия с данным объектом. Процесс авторизации предполагает, что пользователь уже прошел аутентификацию, что относится к процессу, с помощью которого SharePoint идентифицирует текущего пользователя. SharePoint не реализует свою собственную систему для проверки подлинности или управления удостоверениями, а вместо этого полагается на внешние системы, будь то проверка подлинности Windows или проверка подлинности, отличная от Windows.

    SharePoint поддерживает следующие типы аутентификации:

    • Windows: Поддерживаются все возможности интеграции служб IIS и проверки подлинности Windows, включая базовую, дайджест, сертификаты, Windows NT LAN Manager (NTLM) и Kerberos. Проверка подлинности Windows позволяет IIS выполнять проверку подлинности для SharePoint.

      Для получения информации о входе в SharePoint в режиме утверждений Windows см. Входящие утверждения: вход в SharePoint.

    • ASP.NET Forms: Поддерживается система управления удостоверениями, отличная от Windows, которая использует подключаемую систему проверки подлинности на основе форм ASP.NET. Этот режим позволяет SharePoint работать с различными системами управления идентификацией, включая определяемые извне группы или роли, такие как облегченный протокол доступа к каталогам (LDAP) и облегченные системы управления идентификацией баз данных. Проверка подлинности с помощью форм позволяет ASP.NET выполнять проверку подлинности для SharePoint, часто с перенаправлением на страницу входа.В SharePoint формы ASP.NET поддерживаются только при проверке подлинности на основе утверждений. Поставщик форм должен быть зарегистрирован в веб-приложении, настроенном для утверждений.

      Дополнительные сведения о входе в SharePoint с использованием членства в ASP. NET и пассивного входа с ролью см. В разделе Входящие утверждения: вход в SharePoint.

    Примечание

    SharePoint не поддерживает работу с поставщиком членства с учетом регистра. Он использует хранилище SQL без учета регистра для всех пользователей в базе данных, независимо от поставщика членства.

    Идентификация и аутентификация на основе утверждений

    Удостоверение на основе утверждений — это модель удостоверения в SharePoint, которая включает такие функции, как проверка подлинности для пользователей систем на базе Windows и систем, не основанных на Windows, несколько типов проверки подлинности, более строгая проверка подлинности в реальном времени, более широкий набор основных типов, и делегирование идентификации пользователя между приложениями.

    Когда пользователь входит в SharePoint, токен пользователя проверяется и затем используется для входа в SharePoint.Токен пользователя — это токен безопасности, выпущенный поставщиком утверждений. Поддерживаются следующие режимы входа или доступа:

    • Вход в систему в режиме утверждений Windows (по умолчанию)

    • SAML пассивный режим входа

    • Членство в ASP.NET и пассивный вход в роли

    • Вход в классический режим Windows (не рекомендуется в этом выпуске)

    Когда вы создаете приложения с поддержкой утверждений, пользователь представляет вашему приложению удостоверение в виде набора утверждений.Одно утверждение может быть именем пользователя, другое — адресом электронной почты. Идея заключается в том, что внешняя система идентификации настроена для предоставления вашему приложению всей необходимой информации о пользователе при каждом запросе, а также криптографической гарантии того, что данные идентификации, полученные вашим приложением, поступают из надежного источника.

    В рамках этой модели гораздо проще реализовать единый вход, и ваше приложение больше не несет ответственности за следующее:

    • Аутентификация пользователей

    • Хранение учетных записей пользователей и паролей

    • Обращение к корпоративным каталогам для поиска идентификационных данных пользователя

    • Интеграция с системами идентификации других платформ или компаний

    В рамках этой модели ваше приложение принимает решения, связанные с идентификацией, на основе утверждений, предоставленных пользователем. Это может быть что угодно, от простой персонализации приложения с помощью имени пользователя до авторизации пользователя для доступа к более важным функциям и ресурсам в вашем приложении.

    Аутентификация на основе форм

    Проверка подлинности на основе форм обеспечивает настраиваемое управление удостоверениями в SharePoint путем реализации поставщика членства, который определяет интерфейсы для идентификации и проверки подлинности отдельных пользователей, и диспетчера ролей, который определяет интерфейсы для группирования отдельных пользователей в логические группы или роли.В SharePoint поставщик членства должен реализовать требуемый метод System.Web.Security.Membership.ValidateUser. По имени пользователя система поставщика ролей возвращает список ролей, к которым принадлежит пользователь.

    Поставщик членства отвечает за проверку учетных данных с помощью метода System.Web.Security.Membership.ValidateUser (теперь требуется в SharePoint). Но фактический токен пользователя создается службой токенов безопасности (STS). Служба STS создает токен пользователя из имени пользователя, подтвержденного поставщиком членства, и из набора членства в группах, связанного с именем пользователя, предоставленного поставщиком членства.

    Менеджер ролей не является обязательным. Если настраиваемая система аутентификации не поддерживает группы, менеджер ролей не нужен. SharePoint поддерживает одного поставщика членства и одного диспетчера ролей для каждой URL-зоны (SPUrlZone). Роли форм ASP.NET не имеют связанных с ними неотъемлемых прав. Вместо этого SharePoint назначает права ролям форм через свои политики и авторизацию. В SharePoint проверка подлинности на основе форм интегрирована с моделью удостоверений на основе утверждений. Если вам нужно дополнительное расширение, чтобы обойти ограничение, связанное с наличием одного поставщика ролей для каждой URL-зоны, вы можете положиться на поставщиков утверждений.

    При членстве в ASP.NET и пассивном входе с ролью вход осуществляется путем перенаправления клиента на веб-страницу, где размещены элементы управления входом ASP. NET. После создания объекта удостоверения, представляющего удостоверение пользователя, SharePoint преобразует его в объект ClaimsIdentity (который представляет представление пользователя на основе утверждений).

    SharePoint использует стандартный интерфейс поставщика ролей ASP.NET для сбора групповой информации о текущем пользователе. Для целей аутентификации роли и группы — это одно и то же: способ группировки пользователей в логические наборы для авторизации.Каждая роль ASP.NET рассматривается SharePoint как группа домена.

    Для получения информации о подключаемой платформе проверки подлинности, предоставляемой ASP.NET, см. Документацию разработчика ASP.NET.

    См. Также

    Медленная работа сайта из-за проверки CRL сертификата SharePoint STS — SharePoint

    • 5 минут на чтение
    • Применимо к:
      SharePoint Foundation 2010, SharePoint Server 2010

    В этой статье

    Симптомы

    Предположим, что у вас есть веб-приложение, использующее проверку подлинности на основе утверждений в SharePoint Foundation 2010 или SharePoint Server 2010.Сервер SharePoint не имеет доступа к Интернету или сервер защищен брандмауэром с ограниченным количеством открытых портов. В этой ситуации пользователи периодически сталкиваются с длительными задержками при выполнении определенных операций, таких как вход на сайт или выполнение поиска. Пользователи также могут столкнуться с тайм-аутом HTTP при выполнении этих операций.

    Причина

    SharePoint использует сертификаты для подписи маркеров безопасности, выпущенных службой маркеров безопасности (STS).Как и все сертификаты, действительность сертификата STS необходимо периодически проверять, чтобы убедиться, что сертификат не был отозван. По умолчанию корневой сертификат в цепочке не добавляется в хранилище доверенных корневых центров сертификации серверов SharePoint. По этой причине проверка списка отзыва сертификатов (CRL) для сертификата выполняется через Интернет. Если по какой-либо причине к серверу CRL в сети невозможно получить доступ с сервера SharePoint, по умолчанию операция завершается через 15 секунд.Даже если проверка CRL завершится неудачно через 15 секунд, страница SharePoint все равно может отображаться после задержки.

    Ошибки проверки сертификатов можно отследить, включив ведение журнала событий CAPI2 на сервере SharePoint. Когда ведение журнала событий CAPI2 включено и проверка сертификата Интернета не выполняется, вы часто будете видеть следующие сообщения об ошибках в журнале событий CAPI2:

    • Ошибка цепочки сборки

      Идентификатор события: 11
      Категория задачи: Цепочка построения
      subjectName (взято из сведений о событии): служба маркеров безопасности SharePoint

    • Получить объект из сети Ошибка

      Код события: 53
      Категория задачи: Получить объект из сети

      URL (взято из сведений о мероприятии): https: // www. download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

    Пожалуйста, обратитесь к разделу «Дополнительная информация» для получения информации о том, как включить ведение журнала CAPI2.

    Разрешение

    Чтобы решить эту проблему, выполните одно из следующих действий:

    Обходной путь 1

    Установите сертификат корневого центра сертификации SharePoint в хранилище доверенных корневых центров сертификации. После добавления корневого сертификата в локальное хранилище сертификатов проверка сертификата больше не выполняется через Интернет.Следующие ниже шаги приведут к тому, что BuildChain успешно найдет сертификат в локальном хранилище, что устранит необходимость извлечения объекта из сети. Для добавления корневого сертификата в локальное хранилище сертификатов на каждом сервере SharePoint в ферме необходимо выполнить следующие шаги:

    1. Экспортируйте сертификат корневого центра SharePoint как физический файл (. cer). Запустите командную консоль SharePoint 2010 от имени администратора, а затем выполните следующие команды Windows PowerShell:

        $ rootCert = (Get-SPCertificateAuthority).RootCertificate
      $ rootCert.Export ("Сертификат") | Set-Content C: \ SharePointRootAuthority.cer -Байт кодирования
        

      Примечание Это позволит экспортировать внутренний корневой сертификат (файл .cer) для SharePoint на диск C. Вы можете скопировать и использовать этот файл на всех серверах в ферме для импорта без повторного запуска команд PowerShell.

    2. Импортируйте сертификат корневого центра сертификации SharePoint в хранилище доверенных корневых центров сертификации. Чтобы добавить сертификат корневого центра сертификации SharePoint в хранилище доверенных корневых центров сертификации, выполните следующие действия:

      Примечание «Администраторы» — это минимально необходимое членство в группе для выполнения этих шагов.

      1. Коснитесь или щелкните Начать , введите mmc в Начать поиск и нажмите Enter.
      2. В меню Файл щелкните Добавить / удалить оснастку .
      3. В разделе Доступные оснастки , щелкните Сертификаты , а затем щелкните Добавить .
      4. Под Эта оснастка всегда будет управлять сертификатами для , выберите Учетная запись компьютера , а затем нажмите Далее .
      5. Выберите Локальный компьютер и нажмите Готово .
      6. Если у вас больше нет оснасток для добавления в консоль, нажмите ОК .
      7. В дереве консоли дважды щелкните Сертификаты .
      8. Щелкните правой кнопкой мыши хранилище доверенных корневых центров сертификации.
      9. Щелкните Все задачи , щелкните Импорт , чтобы импортировать сертификат, а затем следуйте инструкциям мастера импорта сертификатов.

    Временное решение 2

    Отключите автоматическое обновление корневых сертификатов на серверах SharePoint.Для этого выполните следующие действия:

    1. В узле Конфигурация компьютера в редакторе локальной групповой политики дважды щелкните Политики .
    2. Дважды щелкните Параметры Windows , дважды щелкните Параметры безопасности , а затем дважды щелкните Политики открытого ключа .
    3. В области сведений дважды щелкните Параметры проверки пути сертификата .
    4. Щелкните вкладку Network Retrieval , установите флажок Define these policy settings , а затем снимите флажок Автоматически обновлять сертификаты в программе корневых сертификатов Microsoft (рекомендуется) .
    5. Нажмите ОК , а затем закройте редактор локальной групповой политики.
    6. Запустите gpupdate / force, чтобы политика вступила в силу немедленно.

    Примечание При отключенном автоматическом обновлении вам, возможно, придется следить за появлением новых выпусков, а затем вручную обновлять доверие сертификатов по мере необходимости.

    Последствия отключения автоматического обновления корневого сертификата

    Не должно быть особых последствий для SharePoint, потому что мы используем самозаверяющие сертификаты и сами управляем ими.У сертификатов SharePoint действительно есть срок действия, но есть правило работоспособности, которое отслеживает это и затем предупреждает администратора о необходимости их обновления или повторного запуска.

    Основной аспект, который следует учитывать, — это другие сертификаты, которые используются на компьютере (например, сертификаты SSL, сертификаты для доверенных пакетов загрузки или для политики SAFER и т. Д.), Которые выдаются из сертификатов, связанных цепочкой с сертификатами в доверенных корневых центрах сертификации. хранить.

    Дополнительная информация

    Включить и сохранить журнал CAPI2 из пользовательского интерфейса средства просмотра событий

    1. Открыть программу просмотра событий. Чтобы открыть средство просмотра событий, щелкните Пуск , щелкните Панель управления , дважды щелкните Администрирование , а затем дважды щелкните Средство просмотра событий .
    2. Если появится диалоговое окно Контроль учетных записей пользователей , подтвердите, что отображаемое действие — это то, что вы хотите выполнить, и затем щелкните Продолжить .
    3. На панели консоли разверните Просмотр событий , разверните Журналы приложений и служб , разверните Microsoft , разверните Windows , а затем разверните CAPI2 .
    4. Теперь вы можете выполнять следующие действия:
      • Чтобы включить ведение журнала CAPI2, щелкните правой кнопкой мыши Operational , а затем выберите Enable Log .

      • Чтобы сохранить журнал в файл, щелкните правой кнопкой мыши Operational и выберите Сохранить события как . Вы можете сохранить файл журнала в формате EVTX (который можно открыть с помощью средства просмотра событий) или в формате XML.

      • Чтобы отключить ведение журнала CAPI2, щелкните правой кнопкой мыши Operational и выберите Disable Log .

      • Если в журнале есть данные, прежде чем вы попытаетесь воспроизвести проблему, мы рекомендуем очистить журнал. Это позволяет собрать из сохраненного журнала только данные, относящиеся к сценарию проблемы. Чтобы очистить журнал, щелкните правой кнопкой мыши Operational и выберите Clear Log .

      • Для диагностики CAPI2 размер журнала может быстро увеличиваться, и мы рекомендуем увеличить размер журнала как минимум до 4 мегабайт (МБ), чтобы фиксировать соответствующие события.Чтобы увеличить размер журнала, щелкните правой кнопкой мыши Operational и выберите Properties . В свойствах журнала увеличьте максимальный размер журнала.

        Примечание Размер журнала событий по умолчанию — 1 МБ.

    Все еще нужна помощь? Перейдите в сообщество SharePoint.

    AM 6> Руководство по обслуживанию токенов безопасности

    Управление доступом

    Управление для предоставления или запрета доступа к ресурсу.

    Блокировка учетной записи

    Действие временной или постоянной неактивности учетной записи после нескольких неудачных попыток аутентификации.

    Действия

    Определено как часть политик, эти глаголы показывают, что авторизованные идентификаторы могут делать с ресурсами.

    Консультация

    В контексте политического решения об отказе в доступе, Подсказка для пункта применения политики о корректирующих действиях, которые необходимо предпринять это может привести к разрешению доступа.

    Администратор агента

    Пользователь, имеющий права только на чтение и запись профиля агента информация о конфигурации, обычно создается для делегирования агента создание профиля для пользователя, устанавливающего веб-агент или Java-агент.

    Аутентификатор агента

    Сущность с доступом только для чтения к нескольким профилям агентов, определенным в то же царство; позволяет агенту читать профили веб-служб.

    Заявка

    В общих чертах сервис, предоставляющий защищенные ресурсы.

    В контексте политик AM, приложение представляет собой шаблон, который ограничивает политики которые регулируют доступ к защищенным ресурсам. Приложение может иметь ноль или более политик.

    Тип приложения

    Типы приложений действуют как шаблоны для создания приложений политик.

    Типы приложений определяют предустановленный список действий и функциональную логику, такие как поиск политики и логика компаратора ресурсов.

    Типы приложений также определяют внутреннюю нормализацию, логика индексации и логика компаратора для приложений.

    Управление доступом на основе атрибутов (ABAC)

    Управление доступом, основанное на атрибутах пользователя, таких как возраст пользователь является или является ли пользователь платящим клиентом.

    Аутентификация

    Акт подтверждения личности принципала.

    Цепочка аутентификации

    Серия модулей аутентификации, настроенных вместе, которые принципал должен вести переговоры, как настроено для аутентификации успешно.

    Уровень аутентификации

    Положительное целое число, связанное с модулем аутентификации, обычно раньше требовал успеха с более строгими мерами аутентификации, когда запрашивающие ресурсы, требующие особой защиты.

    Модуль аутентификации

    Блок аутентификации AM, который обрабатывает один способ получения и проверка учетных данных.

    Авторизация

    Действие по определению того, предоставлять или запрещать доступ основному лицу к ресурсу.

    Сервер авторизации

    В OAuth 2.0 выдает токены доступа клиенту после аутентификации владельцем ресурса и подтверждая, что владелец разрешает клиенту получить доступ к защищенному ресурсу. AM может играть эту роль в OAuth 2.0. структура авторизации.

    Автофедерация

    Соглашение об объединении идентичности принципала автоматически на основе по общему значению атрибута, совместно используемому профилями принципала в разные провайдеры.

    Массовая федерация

    Пакетное задание, постоянно объединяющее профили пользователей между сервисами поставщик и поставщик удостоверений на основе списка подходящих пользователей идентификаторы, которые существуют у обоих поставщиков.

    Круг доверия

    Группа поставщиков, включая как минимум одного поставщика удостоверений, который согласились доверять друг другу участие в провайдере SAML v2.0 федерация.

    Клиент

    В OAuth 2.0, запрашивает защищенные веб-ресурсы от имени владелец ресурса получил разрешение владельца. AM может сыграть эту роль в среде авторизации OAuth 2.0.

    Клиентские сеансы

    AM сеансы для которого AM возвращает состояние сеанса клиенту после каждого запроса, и потребовать его передачи с последующим запросом. Для браузера клиентов, AM устанавливает cookie в браузере, который содержит сеанс Информация.

    Для браузерных клиентов AM устанавливает cookie в браузере, который содержит состояние сеанса.Когда браузер передает cookie обратно в AM, AM декодирует состояние сеанса из куки.

    Условия

    Определено как часть политик, они определяют обстоятельства, при которых применяется политика.

    Условия окружающей среды отражают такие обстоятельства, как IP-адрес клиента, время суток, способ аутентификации субъекта, или достигнутый уровень аутентификации.

    Условия объекта отражают характеристики объекта, например аутентифицирован ли субъект, личность субъекта, или претензии в JWT темы.

    Хранилище данных конфигурации

    Служба каталогов LDAP, содержащая данные конфигурации AM.

    Междоменный единый вход (CDSSO)

    Возможность единого входа в систему через разные DNS домены.

    сеансов на основе CTS

    сеансов AM которые находятся в хранилище токенов Core Token Service. Сеансы на основе CTS также могут кэшироваться в памяти на одном или нескольких AM. серверы. AM отслеживает эти сеансы, чтобы обрабатывать такие события, как выход из системы и тайм-аут, чтобы разрешить ограничения сеанса и уведомить приложения, участвующие в SSO по окончании сеанса.

    Делегация

    Предоставление пользователям прав администратора с помощью AM.

    Права

    Решение, определяющее, к каким именам ресурсов можно и нельзя получить доступ для данной личности в контексте конкретного приложения, какие действия разрешены, а какие запрещены, и любые соответствующие советы и атрибуты.

    Расширенные метаданные

    Информация о конфигурации объединения, относящаяся к AM.

    Расширяемый язык разметки управления доступом (XACML)

    Стандартный язык политик управления доступом на основе XML, включая модель обработки для принятия решений об авторизации на основе политик.

    Federation

    Стандартизированные средства для агрегирования идентификаторов, совместного использования аутентификации и данные авторизации между доверенными поставщиками и разрешение принципалам для доступа к услугам разных поставщиков без повторная аутентификация.

    Fedlet

    Приложение поставщика услуг, способное участвовать в круге доверять и разрешать федерацию без установки всех AM на сторона поставщика услуг; AM позволяет создавать Java Fedlets.

    с возможностью горячей замены

    Относится к свойствам конфигурации, изменения которых могут вступить в силу без перезапуска контейнера, в котором работает AM.

    Личность

    Набор данных, однозначно описывающих человека или объект, например устройство или приложение.

    Федерация удостоверений

    Связывание удостоверений участника между несколькими поставщиками.

    Поставщик удостоверений (IdP)

    Сущность, которая создает утверждения о принципале (например, как и когда участник аутентифицирован, или что профиль участника имеет указанное значение атрибута).

    Репозиторий идентификационных данных

    Хранилище данных, содержащее профили пользователей и информацию о группах; разные репозитории идентичности могут быть определены для разных сфер.

    Java-агент

    Веб-приложение Java, установленное в веб-контейнере, который действует как точка применения политики, фильтрация запросов к другим приложениям в контейнере с политиками, основанными на URL-адресах ресурсов приложения.

    Метаданные

    Информация о конфигурации федерации для поставщика.

    Политика

    Набор правил, определяющих, кому предоставляется доступ к защищенному ресурсу когда, как и при каких условиях.

    Агент политики

    Java, веб-агент или пользовательский агент, который перехватывает запросы на ресурсы, направляет принципалов к AM для аутентификации и обеспечивает выполнение решений политики от AM.

    Точка администрирования политик (PAP)

    Объект, который управляет и хранит определения политик.

    Точка принятия решения о политике (PDP)

    Объект, который оценивает права доступа, а затем выдает авторизацию решения.

    Точка применения политик (PEP)

    Сущность, которая перехватывает запрос на ресурс и затем применяет стратегические решения от PDP.

    Точка информации о политике (PIP)

    Сущность, которая предоставляет дополнительную информацию, такую ​​как атрибуты профиля пользователя что PDP необходимо для принятия решения.

    Основной

    Представляет объект, который был аутентифицирован (например, пользователь, устройство или приложение), и таким образом отличается от других сущностей.

    Когда субъект успешно аутентифицируется, AM связывает Субъект с Принципалом.

    Привилегия

    В контексте делегированного администрирования набор административных задач, которые могут выполняться указанными удостоверениями в данной сфере.

    Федерация поставщиков

    Соглашение между поставщиками об участии в круге доверия.

    Область

    Блок AM для организации информации о конфигурации и идентичности.

    Сферы можно использовать, например, когда разные части организации иметь разные приложения и хранилища пользовательских данных, и когда разные организации используют одно и то же развертывание AM.

    Администраторы могут делегировать администрирование области. Администратор назначает пользователям права администратора, позволяя им выполнять административные задачи в пределах области.

    Ресурс

    Что-то, что пользователь может получить по сети, например, веб-страницу.

    Определено как часть политик, они могут включать подстановочные знаки для соответствия нескольким реальным ресурсам.

    Владелец ресурса

    В OAuth 2.0, сущность, которая может авторизовать доступ к защищенной сети ресурсы, такие как конечный пользователь.

    Сервер ресурсов

    В OAuth 2.0 сервер, на котором размещаются защищенные веб-ресурсы, может обработка токенов доступа для ответа на запросы таких ресурсов.

    Атрибуты ответа

    Определенные как часть политик, они позволяют AM вернуть дополнительную информацию в виде «атрибутов» с ответом на политическое решение.

    Управление доступом на основе ролей (RBAC)

    Управление доступом, основанное на том, предоставлен ли пользователю набор разрешений (роль).

    Security Assertion Markup Language (SAML)

    Стандартный язык на основе XML для обмена аутентификацией и данные авторизации между поставщиками удостоверений и поставщиками услуг.

    Поставщик услуг (SP)

    Сущность, которая использует утверждения о принципале (и предоставляет сервис, к которому пытается получить доступ участник).

    Сеанс аутентификации

    Интервал, в течение которого пользователь или объект аутентифицируются в AM.

    Сеанс

    Интервал, который начинается после аутентификации пользователя и заканчивается, когда пользователь выходит из системы или когда его сессия завершена. Для браузерных клиентов AM управляет пользователем сеансы в одном или нескольких приложениях, установив файл cookie сеанса. См. Также сеансы на основе CTS и клиентские сеансы.

    Высокая доступность сеанса

    Возможность, которая позволяет любому AM-серверу в кластерном развертывании получить доступ общая постоянная информация о сеансах пользователей из токена CTS хранить.Пользователю не нужно снова входить в систему, если только все развертывание идет вниз.

    Маркер сеанса

    Уникальный идентификатор, выданный AM после успешной аутентификации. Для сеансов на основе CTS токен сеанса используется для отслеживать сеанс директора.

    Единый выход (SLO)

    Возможность, позволяющая принципалу завершить сеанс один раз, тем самым завершив ее сеанс в нескольких приложениях.

    Единый вход (SSO)

    Возможность, позволяющая принципалу пройти аутентификацию один раз и получить доступ для нескольких приложений без повторной аутентификации.

    Участок

    Аналогично настроена группа серверов AM, доступ через уровень балансировщика нагрузки. Балансировщик нагрузки обрабатывает отработку отказа для обеспечения доступности на уровне обслуживания.

    Балансировщик нагрузки также можно использовать для защиты служб AM.

    Стандартные метаданные

    Стандартные сведения о конфигурации федерации, которыми вы можете поделиться с другое программное обеспечение для управления доступом.

    Служба без гражданства

    Службы без сохранения состояния не хранят никаких данных локально в службе.Когда службе требуются данные для выполнения какого-либо действия, она запрашивает их. из хранилища данных. Например, служба проверки подлинности без сохранения состояния хранит состояние сеанса для вошедших в систему пользователей в базе данных. Таким образом, любой сервер в развертывании можно восстановить сеанс из базы данных и службы запросы для любого пользователя.

    Все службы AM не имеют состояния, если не указано иное. Видеть также клиентские сеансы и CTS-сессии.

    Тема

    Сущность, запрашивающая доступ к ресурсу

    Когда личность успешно аутентифицируется, AM связывает личность с Принципалом что отличает его от других идентичностей.Удостоверение может быть связано с несколькими участниками.

    Хранилище данных пользователя

    Служба хранилища данных, содержащая профили участников; базовое хранилище может быть службой каталогов LDAP или настраиваемой Реализация IdRepo .

    Веб-агент

    Собственная библиотека, установленная на веб-сервере, которая действует как точка применения политики с политиками, основанными на URL-адресах веб-страниц.

    2.

    Установите службу маркеров безопасности (STS)

    Примечание : Пробная версия Shetab SharePoint Live Authentication использует уже установленную службу STS при проверке подлинности.shetabtech.com, поэтому вам не нужно читать этот документ при использовании пробной версии.

    SharePoint перенаправляет процесс входа в систему для доверенного поставщика удостоверений на веб-сайт STS, после покупки продукта вам следует установить веб-приложение STS на веб-сервере. Этот веб-сайт STS существует в папке STS, куда вы извлекаете решение.

    Требование

    SharePoint Live Authentication версии 3.4 или выше

    1. Сервер IIS с .NET 4.5
    2. У вас должны быть права администратора
    3. Любой действительный или самозаверяющий сертификат (PFX).Если у вас его нет, вы можете создать его, прочитав Как создать самозаверяющий сертификат.
      Этот сертификат будет использоваться только между STS и SharePoint Server, поэтому в этом случае самозаверяющий сертификат с длительным сроком действия лучше, чем действительный сертификат.
    SharePoint Live Authentication версии 3.3 или более ранней
    1. Сервер IIS с .NET 3.5
    2. Microsoft Windows Identity Foundation 3.5 (WIF).
    • WIF 3.5 уже установлен Microsoft SharePoint 2010.Если на вашем STS-сервере установлен Microsoft SharePoint 2010, вы можете установить WIF 3.5 отсюда.
    • Запустить iisreset после установки WIF 3.5
  • У вас должны быть права администратора.
  • Любой действительный или самозаверяющий сертификат (PFX). Если у вас его нет, вы можете создать его, прочитав Как создать самозаверяющий сертификат.
    Этот сертификат будет использоваться только между STS и SharePoint Server, поэтому в этом случае самозаверяющий сертификат с длительным сроком действия лучше, чем действительный сертификат.
  • Создание веб-сайта STS

    1. Получите коммерческий выпуск Shetab SharePoint Live Authentication и извлеките его.
    2. Скопируйте папку « STS» из извлеченной папки Shetab SharePoint Live Authentication в папку « wwwroot» . Вы можете скопировать его куда угодно, но wwwroot уже имеет безопасность по умолчанию, необходимую для запуска веб-приложений IIS, если вы выберете другое расположение, вы должны установить необходимые разрешения для IIS в этой папке. расположение wwwroot по умолчанию: C: \ inetpub \ wwwroot \
    3. Диспетчер открытых информационных служб Интернета (IIS).Вы можете открыть его с помощью команды « InetMgr.exe ».
    4. Выберите свой веб-сервер и щелкните правой кнопкой мыши, затем выберите элемент « Добавить веб-сайт… ».
    5. В имени сайта напишите « Shetab Live Auth STS »
    6. В « Physical path» выберите папку, которую вы копируете «Shetab SharePoint Live Authentication STS», например:
      «C: \ inetpub \ wwwroot \ STS. ”
    7. Выберите привязку признания, чтобы веб-приложение было доступно из Интернета. URL-адрес этого приложения представляет собой URL-адрес для входа, который необходимо указать при установке Shetab SharePoint Live Authentication в качестве надежного поставщика удостоверений.
    8. Нажмите ОК.
      Для получения дополнительной информации в Microsoft: добавьте веб-сайт на сайт IIS
    Примечание:
    • SharePoint Live Authentication Version 3.4 или более поздней версии перейдите в «Пулы приложений» IIS и убедитесь, что для версии .NET CLR установлено значение V4 .0.
    • SharePoint Live Authentication версии 3.3 или более ранней перейдите в «Пулы приложений» IIS и убедитесь, что для версии .NET CLR установлено значение V2.0.

    Откройте диспетчер сертификатов для учетной записи компьютера.

    Вы должны установить сертификат входа на сервер, где вы устанавливаете STS.Этот сертификат не обязательно должен быть действительным, поскольку он используется совместно вашим сервером SharePoint и сервером STS, поэтому вы можете использовать любой самозаверяющий сертификат и установить его в надежном хранилище. если у вас нет сертификата, вы можете создать его, прочитав «Создать самозаверяющий сертификат». Вам следует установить сертификат в учетную запись компьютера и позволить IIS использовать свой закрытый ключ, чтобы позволить веб-сайту STS подписывать сообщения для входа между собой. и веб-приложения SharePoint.

    1. Откройте окно командной строки.
    2. Введите « mmc» и нажмите клавишу ENTER. Обратите внимание, что для просмотра сертификатов в хранилище локального компьютера вы должны быть в роли администратора.
    3. В меню « Файл» щелкните « Добавить / удалить оснастку» .
    4. Щелкните « Добавить» .
    5. В диалоговом окне Добавить автономную оснастку выберите « Сертификаты» .
    6. Щелкните « Добавить» .
    7. В диалоговом окне оснастки «Сертификаты» выберите « Учетная запись компьютера» и нажмите Далее.
    8. В диалоговом окне «Выбор компьютера» нажмите « Готово» .
    9. В диалоговом окне «Добавить автономную оснастку» нажмите « Закрыть» .
    10. В диалоговом окне «Добавить / удалить оснастку» нажмите « ОК» .
    11. В корневом окне консоли щелкните Сертификаты (локальный компьютер), чтобы просмотреть хранилища сертификатов для компьютера.
      Дополнительная информация в Microsoft: как просмотреть сертификаты с помощью оснастки MMC.

    Установить сертификат

    После открытия диспетчера сертификатов для учетной записи компьютера вы должны установить сертификат в учетную запись компьютера и позволить IIS использовать свой закрытый ключ, чтобы разрешить веб-сайту STS подписывать сообщения входа между собой и веб-приложениями SharePoint.

    Теперь вы должны указать службе STS аутентификации SharePoint Live использовать этот сертификат.

    1. Найдите файл « CER» вашего сертификата. Файл «CER» обычно поставляется с файлом « PFX» , его также можно экспортировать из файла «PFX».
    2. Откройте сертификат (файл CER), дважды щелкнув по нему.
    3. Перейдите на вкладку « Details» и выберите « Serial Number» .

    4. Напишите где-нибудь «Серийный номер » без пробелов.Пример:
      af655225af100bb643fa0fa462481f7d
    5. Откройте « web. config» из «SharePoint Live Authentication STS» в блокноте. Пример:
      «C: \ inetpub \ wwwroot \ STS \ Web.config»
    6. Найдите тег « signatureCertificate» и установите для атрибута serialNumber Серийный номер сертификата, который вы написали на предыдущем шаге. Пример:
    7. Сохранить « web.config «.
    8. Теперь вы настроили веб-сайт« SharePoint Live Authentication STS »и можете установить его URL-адрес в качестве URL-адреса для входа для доверенного поставщика удостоверений. Чтобы установить его в качестве страницы для входа, просто отредактируйте« vars.bat «и установите значение» SigningUr l «для URL вашего сайта STS. Чтобы вступить в силу, вам необходимо переустановить доверенного провайдера, выполнив» zReinit.bat «из папки Configure.

    % PDF-1.4 % 4455 0 объект > endobj xref 4455 485 0000000016 00000 н. 0000010056 00000 п. 0000010295 00000 п. 0000029487 00000 п. 0000029663 00000 п. 0000029733 00000 п. 0000029836 00000 п. 0000029939 00000 н. 0000030095 00000 п. 0000030158 00000 п. 0000030221 00000 п. 0000030372 00000 п. 0000030535 00000 п. 0000030663 00000 п. 0000030787 00000 п. 0000030973 00000 п. 0000031173 00000 п. 0000031391 00000 п. 0000031585 00000 п. 0000031802 00000 п. 0000032002 00000 п. 0000032194 00000 п. 0000032311 00000 п. 0000032430 00000 п. 0000032493 00000 п. 0000032698 00000 п. 0000032810 00000 п. 0000032962 00000 п. 0000033224 00000 п. 0000033318 00000 п. 0000033532 00000 п. 0000033640 00000 п. 0000033756 00000 п. 0000033901 00000 п. 0000034073 00000 п. 0000034202 00000 п. 0000034404 00000 п. 0000034606 00000 п. 0000034796 00000 п. 0000034988 00000 п. 0000035190 00000 п. 0000035451 00000 п. 0000035568 00000 п. 0000035712 00000 п. 0000035841 00000 п. 0000035969 00000 п. 0000036152 00000 п. 0000036396 00000 п. 0000036512 00000 п. 0000036731 00000 п. 0000036879 00000 п. 0000037046 00000 п. 0000037217 00000 п. 0000037402 00000 п. 0000037509 00000 п. 0000037625 00000 п. 0000037755 00000 п. 0000037890 00000 п. 0000038030 00000 п. 0000038164 00000 п. 0000038299 00000 п. 0000038481 00000 п. 0000038612 00000 п. 0000038830 00000 п. 0000038964 00000 п. 0000039121 00000 п. 0000039269 00000 п. 0000039332 00000 н. 0000039517 00000 п. 0000039679 00000 п. 0000039838 00000 п. 0000039901 00000 н. 0000040013 00000 п. 0000040129 00000 п. 0000040310 00000 п. 0000040373 00000 п. 0000040485 00000 п. 0000040601 00000 п. 0000040791 00000 п. 0000040854 00000 п. 0000040966 00000 п. 0000041082 00000 п. 0000041274 00000 п. 0000041453 00000 п. 0000041560 00000 п. 0000041721 00000 п. 0000041904 00000 п. 0000042012 00000 н. 0000042135 00000 п. 0000042262 00000 п. 0000042445 00000 п. 0000042576 00000 п. 0000042717 00000 п. 0000042865 00000 п. 0000042988 00000 п. 0000043100 00000 п. 0000043207 00000 п. 0000043333 00000 п. 0000043581 00000 п. 0000043688 00000 п. 0000043804 00000 п. 0000043974 00000 п. 0000044151 00000 п. 0000044301 00000 п. 0000044469 00000 п. 0000044577 00000 п. 0000044700 00000 п. 0000044827 00000 н. 0000044949 00000 п. 0000045061 00000 п. 0000045168 00000 п. 0000045291 00000 п. 0000045414 00000 п. 0000045591 00000 п. 0000045698 00000 п. 0000045821 00000 п. 0000045998 00000 п. 0000046181 00000 п. 0000046289 00000 п. 0000046400 00000 п. 0000046583 00000 п. 0000046703 00000 п. 0000046824 00000 п. 0000046947 00000 п. 0000047059 00000 п. 0000047166 00000 п. 0000047292 00000 п. 0000047552 00000 п. 0000047659 00000 п. 0000047775 00000 п. 0000047952 00000 п. 0000048120 00000 н. 0000048228 00000 н. 0000048351 00000 п. 0000048478 00000 п. 0000048600 00000 н. 0000048712 00000 п. 0000048819 00000 н. 0000048942 00000 н. 0000049126 00000 п. 0000049233 00000 п. 0000049394 00000 п. 0000049577 00000 п. 0000049685 00000 п. 0000049808 00000 п. 0000049935 00000 н. 0000050118 00000 п. 0000050231 00000 п. 0000050352 00000 п. 0000050488 00000 п. 0000050611 00000 п. 0000050723 00000 п. 0000050830 00000 п. 0000050956 00000 п. 0000051063 00000 п. 0000051179 00000 п. 0000051303 00000 п. 0000051480 00000 п. 0000051648 00000 п. 0000051756 00000 п. 0000051879 00000 п. 0000052006 00000 п. 0000052128 00000 п. 0000052240 00000 п. 0000052347 00000 п. 0000052470 00000 п. 0000052730 00000 н. 0000052914 00000 п. 0000053021 00000 п. 0000053175 00000 п. 0000053352 00000 п. 0000053538 00000 п. 0000053721 00000 п. 0000053829 00000 п. 0000053952 00000 п. 0000054079 00000 п. 0000054262 00000 п. 0000054375 00000 п. 0000054496 00000 п. 0000054650 00000 п. 0000054800 00000 п. 0000054923 00000 п. 0000055035 00000 п. 0000055142 00000 п. 0000055268 00000 п. 0000055375 00000 п. 0000055491 00000 п. 0000055668 00000 п. 0000055836 00000 п. 0000055944 00000 п. 0000056067 00000 п. 0000056194 00000 п. 0000056316 00000 п. 0000056428 00000 п. 0000056535 00000 п. 0000056658 00000 п. 0000056781 00000 п. 0000056967 00000 п. 0000057168 00000 п. 0000057312 00000 п. 0000057448 00000 п. 0000057631 00000 п. 0000057815 00000 п. 0000057945 00000 п. 0000058067 00000 п. 0000058213 00000 п. 0000058351 00000 п. 0000058485 00000 п. 0000058613 00000 п. 0000058718 00000 п. 0000058873 00000 п. 0000059049 00000 п. 0000059208 00000 п. 0000059413 00000 п. 0000059527 00000 н. 0000059653 00000 п. 0000059783 00000 п. 0000059962 00000 н. 0000060129 00000 п. 0000060295 00000 п. 0000060409 00000 п. 0000060531 00000 п. 0000060678 00000 п. 0000060818 00000 п. 0000060976 00000 п. 0000061108 00000 п. 0000061240 00000 п. 0000061379 00000 п. 0000061510 00000 п. 0000061638 00000 п. 0000061768 00000 п. 0000061885 00000 п. 0000062029 00000 п. 0000062092 00000 п. 0000062248 00000 п. 0000062364 00000 п. 0000062626 00000 п. 0000062803 00000 п. 0000062970 00000 п. 0000063136 00000 п. 0000063310 00000 п. 0000063418 00000 п. 0000063541 00000 п. 0000063668 00000 п. 0000063763 00000 п. 0000063882 00000 п. 0000063991 00000 п. 0000064129 00000 п. 0000064236 00000 п. 0000064390 00000 н. 0000064567 00000 п. 0000064751 00000 п. 0000064919 00000 п. 0000065027 00000 п. 0000065150 00000 п. 0000065277 00000 п. 0000065399 00000 п. 0000065511 00000 п. 0000065618 00000 п. 0000065766 00000 п. 0000065889 00000 п. 0000066012 00000 п. 0000066130 00000 п. 0000066253 00000 п. 0000066315 00000 п. 0000066470 00000 п. 0000066631 00000 п. 0000066818 00000 п. 0000066881 00000 п. 0000067037 00000 п. 0000067153 00000 п. 0000067334 00000 п. 0000067397 00000 п. 0000067553 00000 п. 0000067669 00000 п. 0000067855 00000 п. 0000068035 00000 п. 0000068142 00000 п. 0000068258 00000 п. 0000068435 00000 п. 0000068603 00000 п. 0000068711 00000 п. 0000068834 00000 п. 0000068961 00000 п. 0000069083 00000 п. 0000069195 00000 п. 0000069302 00000 п. 0000069425 00000 п. 0000069548 00000 п. 0000069655 00000 п. 0000069771 00000 п. 0000069948 00000 н. 0000070116 00000 п. 0000070224 00000 п. 0000070347 00000 п. 0000070474 00000 п. 0000070596 00000 п. 0000070708 00000 п. 0000070815 00000 п. 0000070938 00000 п. 0000071061 00000 п. 0000071213 00000 п. 0000071412 00000 п. 0000071674 00000 п. 0000071853 00000 п. 0000072039 00000 п. 0000072229 00000 п. 0000072410 00000 п. 0000072587 00000 п. 0000072849 00000 п. 0000072956 00000 п. 0000073079 00000 п. 0000073341 00000 п. 0000073448 00000 п. 0000073602 00000 п. 0000073779 00000 п. 0000073887 00000 п. 0000074070 00000 п. 0000074178 00000 п. 0000074301 00000 п. 0000074428 00000 п. 0000074611 00000 п. 0000074724 00000 п. 0000074845 00000 п. 0000074981 00000 п. 0000075104 00000 п. 0000075216 00000 п. 0000075323 00000 п. 0000075449 00000 п. 0000075711 00000 п. 0000075818 00000 п. 0000075979 00000 п. 0000076162 00000 п. 0000076270 00000 п. 0000076393 00000 п. 0000076520 00000 п. 0000076703 00000 п. 0000076816 00000 п. 0000076929 00000 п. 0000077057 00000 п. 0000077180 00000 п. 0000077292 00000 п. 0000077399 00000 п. 0000077525 00000 п. 0000077632 00000 п. 0000077784 00000 п. 0000077961 00000 п. 0000078163 00000 п. 0000078299 00000 п. 0000078517 00000 п. 0000078700 00000 п. 0000078808 00000 п. 0000078931 00000 п. 0000079058 00000 н. 0000079241 00000 п. 0000079354 00000 п. 0000079475 00000 п. 0000079611 00000 п. 0000079734 00000 п. 0000079856 00000 п. 0000079963 00000 н. 0000080091 00000 п. 0000080237 00000 п. 0000080363 00000 п. 0000080481 00000 п. 0000080623 00000 п. 0000080685 00000 п. 0000080840 00000 п. 0000080956 00000 п. 0000081170 00000 п. 0000081363 00000 п. 0000081469 00000 п. 0000081585 00000 п. 0000081755 00000 п. 0000081932 00000 п. 0000082132 00000 п. 0000082308 00000 п. 0000082475 00000 п. 0000082583 00000 п. 0000082706 00000 п. 0000082833 00000 п. 0000082954 00000 п. 0000083065 00000 п. 0000083171 00000 п. 0000083293 00000 п. 0000083485 00000 п. 0000083591 00000 п. 0000083706 00000 п. 0000083882 00000 п. 0000084049 00000 п. 0000084156 00000 п. 0000084278 00000 п. 0000084404 00000 п. 0000084525 00000 п. 0000084636 00000 п. 0000084742 00000 п. 0000084864 00000 н. 0000085046 00000 п. 0000085152 00000 п. 0000085267 00000 п. 0000085443 00000 п. 0000085610 00000 п. 0000085717 00000 п. 0000085839 00000 п. 0000085965 00000 п. 0000086086 00000 п. 0000086197 00000 п. 0000086303 00000 п. 0000086425 00000 п. 0000086605 00000 п. 0000086711 00000 п. 0000086826 00000 п. 0000087002 00000 п. 0000087169 00000 п. 0000087276 00000 п. 0000087398 00000 п. 0000087524 00000 п. 0000087645 00000 п. 0000087756 00000 п. 0000087862 00000 п. 0000087984 00000 п. 0000088090 00000 н. 0000088205 00000 п. 0000088381 00000 п. 0000088548 00000 п. 0000088655 00000 п. 0000088777 00000 п. 0000088903 00000 п. 0000089024 00000 п. 0000089135 00000 п. 0000089241 00000 п. 0000089363 00000 п. 0000089480 00000 п. 0000089644 00000 п. 0000089852 00000 п. 0000089975 00000 п. 00000 00000 п. 00000

    00000 п. 00000

    00000 п. 00000

    00000 п. 00000

    00000 п. 00000

    00000 н. 00000

    00000 п. 00000

    00000 п. 0000091211 00000 п. 0000091408 00000 п. 0000091541 00000 п. 0000091661 00000 п. 0000091793 00000 п. 0000091981 00000 п. 0000092123 00000 п. 0000092240 00000 п. 0000092372 00000 п. 0000092498 00000 п. 0000092615 00000 п. 0000092747 00000 п. 0000092877 00000 п. 0000092994 00000 п. 0000093126 00000 п. 0000093266 00000 п. 0000093383 00000 п. 0000093444 00000 п. 0000093596 00000 п. 0000093711 00000 п. 0000093845 00000 п. 0000093980 00000 п. 0000094104 00000 п. 0000094246 00000 п. 0000094307 00000 п. 0000094414 00000 п. 0000094553 00000 п. 0000094677 00000 п. 0000094737 00000 п. 0000094800 00000 п. 0000094960 00000 п. 0000095500 00000 п. 0000096142 00000 п. 0000096577 00000 п. 0000097282 00000 п. 0000098136 00000 п. 0000102797 00000 н. 0000112092 00000 н. 0000112248 00000 н. 0000010450 00000 п. 0000029462 00000 н. трейлер ] >> startxref 0 %% EOF 4456 0 объект > endobj 4457 0 объект > / Кодировка> >> / DA (/ Helv 0 Tf 0 г) >> endobj 4938 0 объект > транслировать HLTTWg2 $ IdB $ H! MQ% vQ-Ju.muhRH [wU ڕ Z + Z, Vz⫭ * ‘(| T = Uwo {

    draft-margolis-smtp-sts-00

     Использование TLS в приложениях Д. Марголис
    Интернет-проект М. Ришер
    Предполагаемый статус: Эталонная трасса Н. Лидзборски
    Истекает: Сентябрь 19, 2016 W. Chuang
                                                                     Б. Лонг
                                                                 Google, Inc
                                                             Б.Рамакришнан
                                                                 Yahoo !, Inc
                                                                  А. Бротман
                                                                Comcast, Inc
                                                                    Дж.  Джонс
                                                              Microsoft, Inc
                                                                   Ф. Мартин
                                                                    LinkedIn
                                                                   К.Умбач
                                                                    М. Лабер
                              1 & 1 Mail & Media Development & Technology GmbH
                                                              18 марта 2016 г.
    
    
                         Строгая транспортная безопасность SMTP
                           черновик-марголис-smtp-sts-00
    
    Абстрактный
    
       SMTP STS - это механизм, позволяющий поставщикам почтовых услуг объявлять
       их способность получать соединения, защищенные TLS, объявлять
       конкретные методы для проверки сертификата и для отправки запроса
       SMTP-серверы для сообщения и / или отказа в доставке сообщений, которые
       не может быть доставлен надежно.Статус этой памятки
    
       Данный Интернет-проект представлен в полном соответствии с
       положения BCP 78 и BCP 79. 
    
       Интернет-проекты являются рабочими документами Интернет-инженерии.
       Целевая группа (IETF). Обратите внимание, что другие группы также могут распространять
       рабочие документы в виде Интернет-проектов. Список текущих Интернет-
       Черновики находятся на http://datatracker.ietf.org/drafts/current/.
    
       Интернет-проекты - это проекты документов, срок действия которых составляет не более шести месяцев.
       и могут быть обновлены, заменены или исключены другими документами в любой
       время.Неуместно использовать Интернет-черновики в качестве справочника.
       материала или цитировать их иначе, как «незавершенная работа».
    
       Срок действия этого Интернет-проекта истекает 19 сентября 2016 года.
    
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 1] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
    Уведомление об авторских правах
    
       Авторские права (c) 2016 IETF Trust и лица, указанные как
       авторы документа. Все права защищены.
    
       Этот документ регулируется BCP 78 и Правовой нормой IETF Trust. 
       Положения, касающиеся документов IETF
       (http: // попечитель.ietf.org/license-info), действующий на дату
       публикация этого документа. Просмотрите эти документы
       внимательно, поскольку они уважительно описывают ваши права и ограничения
       к этому документу. Компоненты кода, извлеченные из этого документа, должны
       включить упрощенный текст лицензии BSD, как описано в разделе 4.e
       Правовые положения Trust и предоставляются без гарантии, как
       описана в упрощенной лицензии BSD.
    
    Оглавление
    
       1. Введение  . . . . . . . . . . . .. . . . . . . . . . . . 2
         1.1. Терминология. . . . . . . . . . . . . . . . . . . . . . . 3
       2. Родственные технологии. . . . . . . . . . . . . . . . . . . . 4
         2.1. Отличия от DANE. . . . . . . . . . . . . . . . . . 4
         2.2. Преимущества при использовании с DANE. . . . . . . . . . . . . 4
         2.3. Преимущества при использовании без DANE. . . . . . . . . . . . 4
         2.4. Недостатки при использовании без DANE. . . . . . . . . . 5
       3. Семантика политики.  . . . .. . . . . . . . . . . . . . . . . 5
         3.1. Формальное определение. . . . . . . . . . . . . . . . . . . . 6
         3.2. Срок действия полиса. . . . . . . . . . . . . . . . . . . 8
         3.3. Проверка подлинности политики. . . . . . . . . . . . . . . . . . 8
         3.4. Проверка политики. . . . . . . . . . . . . . . . . . . . 9
         3.5. Применение политики. . . . . . . . . . . . . . . . . . . 9
       4. Отчет об отказах. . . . . . . . . . . . . . . . . . . . . . 10
       5. Соображения IANA.. . . . . . . . . . . . . . . . . . . . 12
       6. Соображения безопасности. . . . . . . . . . . . . . . . . . . 12
       7. Дальнейшая работа. . . . . . . . . . . . . . . . . . . . . . . . . 13
       8. Приложение 1. Псевдокод проверки. . . . . . . . . . . . . . 14
       9. Приложение 2: Пример записи STS владельца домена. . . . . . . . . 14
       10. Приложение 3: Схема XML для отчетов об отказах. . . . . . . . . 14
       11. Приложение 4: Пример отчета. . . . . . . . . . . . . . . . . 16
       12. Нормативные ссылки..  . . . . . . . . . . . . . . . . . . 17
       Адреса авторов. . . . . . . . . . . . . . . . . . . . . . . 18
    
    1. Введение
    
       Расширение STARTTLS для SMTP [RFC3207] позволяет клиентам SMTP и
       хосты для установления безопасных сеансов SMTP через TLS. В нынешнем
       форма, однако, она не обеспечивает (а) конфиденциальность сообщения -
       потому что оппортунистический STARTTLS подвергается атакам на более раннюю версию - и
    
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 2] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
       (б) подлинность сервера - потому что доверительные отношения из электронной почты
       Идентификатор домена к серверу MTA не проверяется криптографически.Хотя такие «гибкие» протоколы шифрования обеспечивают высокую
       барьер от пассивного перехвата трафика человек посередине, любой
       злоумышленник, который может удалить части сеанса SMTP (например, "250
       STARTTLS "ответ) или кто может перенаправить весь сеанс SMTP
       (возможно, путем перезаписи разрешенной записи MX доставки
       domain) может выполнить такую ​​атаку перехода на более раннюю версию или перехвата. 
    
       Этот документ определяет механизм публикации доменов получателей.
       политики, определяющие:
    
       o могут ли MTA, отправляющие почту в этот домен, рассчитывать на поддержку TLS
    
       o как MTA могут проверить сертификат сервера TLS, представленный во время
          Доставка почтой
    
       o что внедряющий отправитель должен делать с сообщениями, когда TLS
          не может быть успешно согласован
    
       Описанный механизм разделен на четыре логических компонента:
    
       1.семантика политики: могут ли отправители ожидать сервер для
           домен получателя для поддержки TLS-шифрования и способы проверки
           представленный сертификат TLS
    
       2. проверка подлинности политики: как определить подлинность
           опубликованная политика, доставленная через DNS
    
       3. Формат отчета о сбоях: механизм информирования получателя
           домены о совокупной статистике отказов
    
       4. Обработка сбоев: что отправляющие MTA должны делать в случае
           ошибки политики
    
    1.1. Терминология
    
       Ключевые слова ДОЛЖНЫ, НЕ ДОЛЖНЫ, НЕОБХОДИМЫ, НЕ ДОЛЖНЫ, НЕ ДОЛЖНЫ,
       НЕ ДОЛЖЕН, РЕКОМЕНДУЕТСЯ, МОЖЕТ и НЕОБЯЗАТЕЛЬНО, когда они появляются в этом
       документ, следует интерпретировать, как описано в [RFC2119]. Мы также определяем следующие термины для дальнейшего использования в этом документе:
    
       o Политика STS: определение ожидаемой доступности TLS и
          поведение, а также желаемые действия для данного домена, когда
          отправка MTA приводит к другим результатам.
    
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 3] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
       o Домен политики: домен, в отношении которого определяется политика STS.2. Родственные технологии
    
       Запись DANE TLSA [RFC7672] похожа, поскольку DANE также
       разработан для обновления гибкого шифрования до необходимого
       шифрование. DANE требует DNSSEC [RFC4033] для безопасной доставки
       политики; описанный здесь механизм представляет собой вариант
       системы, еще не поддерживающие DNSSEC, и определяет метод для
       сообщение об ошибках согласования TLS.
    
    2.1. Отличия от DANE
    
       Основное различие между описанным здесь механизмом и DANE
       заключается в том, что DANE требует использования DNSSEC для аутентификации DANE TLSA
       записей, тогда как SMTP STS полагается на центр сертификации (CA)
       система и подход доверия при первом использовании (TOFU), чтобы избежать
       перехват. Модель TOFU обеспечивает уровень безопасности, аналогичный
       что HPKP [RFC7469], уменьшая сложность, но без
       гарантии при первом использовании, предлагаемые DNSSEC. (Для тщательного
       обсуждение этого компромисса см. в разделе _Безопасность_
       _Considerations_.)
    
       Кроме того, SMTP STS представляет механизм отчетов об ошибках.
       и режим только для отчетов, позволяющий постепенно развертывать и проверять
       на соответствие.
    
    2.2. Преимущества использования с DANE
    
       SMTP STS можно развернуть для домена получателя, который также публикует
       Запись DANE TLSA для SMTP.В этих случаях политика SMTP STS может
       дополнительно объявить процесс сообщения об ошибках.
    
    2.3. Преимущества при использовании без DANE
    
       При развертывании без записи DANE TLSA SMTP STS предлагает
       следующие преимущества по сравнению с DANE:
    
       o _Инфраструктура: _ По сравнению с DANE это предложение не
          требовать развертывания DNSSEC на отправляющем или принимающем
          домен. Кроме того, функция отчетов SMTP STS может быть
          развернуты для автономного анализа отказов STARTTLS,
          позволяя поставщикам почты получить представление о безопасности своих
          SMTP-соединения без необходимости изменять кодовые базы MTA
          напрямую. o _Incrementalism: _ DANE не предоставляет механизм отчетности и
          не имеет понятия «только отчет» для отказов; как
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 4] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
          В результате у поставщика услуг нет выбора, кроме как "щелкнуть выключателем"
          и повлиять на весь почтовый поток сразу.
    
    2.4. Недостатки при использовании без DANE
    
       При одиночном развертывании (т.е. без записи DANE и с использованием веб-PKI
       для проверки сертификата) SMTP STS предлагает следующее
       Недостатки по сравнению с DANE:
    
       o Инфраструктура. Некоторым поставщикам может быть проще развернуть DANE.
          В частности, для провайдеров, которые уже поддерживают DNSSEC, SMTP STS.
          дополнительно потребует, чтобы они получили подписанный CA x509
          сертификат для домена получателя.
    
       o Безопасность: DANE предлагает преимущество перед DoS при поиске политик.
          приступы; то есть, в то время как подписанный DNSSEC ответ NX на DANE
          поиск авторитетно указывает на отсутствие записи DANE, например
          опция аутентификации отсутствия политики не существует, когда
          поиск политики по простому DNS. 3. Семантика политики
    
       Политики SMTP STS распространяются в домене политики либо через
       новая запись ресурса или как записи TXT (аналогично политикам DMARC)
       под названием «_smtp_sts». (Текущие реализации развертываются как TXT
       записей.) Например, для домена политики "example.com"
       SMTP-политику STS получателя можно получить из
       "_smtp_sts.example.com."
    
       (Будущие реализации могут перейти к альтернативным методам политики
       открытие или распространение. См. Раздел _Future_ _Work_ для получения дополнительной информации.
       обсуждение.)
    
       Политики ДОЛЖНЫ указывать следующие поля:
    
       o v: Версия (обычный текст, обязательно). В настоящее время только "STS1"
          поддерживается.
    
       o to: TLS-Only (обычный текст, обязательно). Если "истина", принимающий MTA
          запрашивает доставку сообщений только в том случае, если они соответствуют
          Политика СТС. Если "false", принимающий MTA запрашивает эту ошибку.
          отчеты доставляются, как указано в параметре rua.
    
       o mx: шаблоны MX (разделенный запятыми список совпадений MX с открытым текстом
          выкройки, обязательно). Один или несколько шаблонов, разделенных запятыми
          соответствует ожидаемому MX для этого домена. Например,
          "_.example.com, _. example.net" указывает, что почта для этого домена
    
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 5] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
          может обрабатываться любым MX, имя хоста которого является поддоменом
          example.com или example.net.
    
       o a: механизм, используемый для аутентификации самой политики.Видеть
          раздел _Policy_ _Authentication_ для более подробной информации. Возможный
          значения:
    
          * webpki: URI, где URI указывает на ресурс HTTPS в
             домен получателя, обслуживающий тот же текст политики.
    
          * dnssec: указывает, что политика должна быть обслужена
             через DNSSEC.
    
       o c: Ограничения на сертификат TLS получателя MX (простой текст,
          требуется). См. Раздел _Policy_ _Validation_ для получения дополнительной информации.
          Детали. Возможные значения:
    
          * webpki: означает, что сертификат TLS, представленный
             MX получателя будет проверен в соответствии с "веб-PKI"
             механизм. * tlsa: означает, что сертификат TLS, представленный
             получатель MX будет соответствовать (предположительно существующей) записи DANE TLSA.
    
       o e: Максимальное время жизни политики (целое число в секундах). Что ж-
          клиенты ДОЛЖНЫ кэшировать политику до этого значения от
          время получения последней политики.
    
       o rua: адрес, на который МОЖЕТ быть отправлена ​​сводная обратная связь (запятая-
          разделенный текстовый список адресов электронной почты, необязательно). За
          например, mailto: [email protected] из [RFC3986].3.1. Формальное определение
    
       Формальное определение формата SMTP STS с использованием [RFC5234] выглядит следующим образом:
       следует:
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 6] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
       sts-uri = URI ["!" 1 * ЦИФРА ["k" / "m" / "g" / "t"]]
                          ; «URI» импортируется из [RFC3986]; запятые (ASCII
                          ; 0x2C) и восклицательный знак (ASCII 0x21)
                          ; ДОЛЖЕН быть закодирован; числовая часть ДОЛЖНА соответствовать
                          ; внутри беззнакового 64-битного целого числа
    
       sts-record = sts-version sts-sep sts-to
                          [sts-sep sts-mx]
                          [стс-сеп стс-а]
                          [sts-sep sts-c]
                          [sts-sep sts-e]
                          [sts-sep sts-auri]
                          [sts-sep]
                          ; компоненты кроме sts-версии и
                          ; sts-to может появляться в любом порядке
    
       sts-version = "v" * WSP "=" * WSP% x53% x54% x53% x31
    
       sts-sep = * WSP% x3b * WSP
    
       sts-to = "to" * WSP "=" * WSP ("истина" / "ложь")
    
       sts-mx = "mx" * WSP "=" * WSP список-доменов sts
    
       sts-domain-list = (совпадение-домена * ("," совпадение-домена))
    
       domain-match = ["*. "] 1 * dtext * (". "1 * dtext)
    
       dtext =% d30-39 /; 0-9
                          % d41-5A /; а-я
                          % 61-7A /; А-Я
                          % 2D; "-"
    
       sts-a = "a" * WSP "=" * WSP (URI / "dnssec")
    
       sts-c = "c" * WSP "=" * WSP ("webpki" / "tlsa")
    
       sts-e = "e" * WSP "=" * WSP 1 * 6 ЦИФРОВ
    
       sts-auri = "rua" * WSP "=" * WSP
                          sts-uri * (* WSP "," * WSP sts-uri)
    
       Ограничение размера в sts-uri, если оно предусмотрено, интерпретируется как
       количество единиц, за которым следует ДОПОЛНИТЕЛЬНЫЙ размер единицы («k» для килобайт,
       «m» - мегабайты, «g» - гигабайты, «t» - терабайты).20 и др.
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 7] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
    3.2. Срок действия политики
    
       Чтобы противостоять злоумышленникам, вставляющим мошенническую политику, SMTP STS
       полисы рассчитаны на длительный срок действия, обычно с истечением срока действия
       более двух недель. Действительность политики контролируется двумя
       отдельные сроки действия: срок действия, указанный в полисе
       ("e =") и TTL самой записи DNS. Срок действия политики
       обычно будет длиннее, чем TTL DNS, а отправители
       СЛЕДУЕТ кэшировать политику (и применять ее ко всей почте получателю
       домен) до истечения срока действия политики.
    
       Важным соображением для доменов, публикующих политику, является то, что
       отправители увидят истечение срока действия политики относительно получения
       политика, кэшированная их рекурсивным преобразователем. Следовательно, отправитель
       МОЖЕТ рассматривать политику как действительную до {expiration time} + {DNS TTL}.
       Таким образом, издатели ДОЛЖНЫ ожидать, что отправители будут применять старые
       политики на срок до этого срока.3.3. Проверка подлинности политики
    
       Безопасность домена, реализующего политику SMTP STS, от
       активный человек посередине зависит прежде всего от долгоживущих
       кеширование политик. Однако, чтобы разрешить доменам получателей безопасно
       обслуживать новые политики _до_ истечения срока действия кэшированной политики, и
       для предотвращения долгосрочных (злонамеренных или активных) отказов в обслуживании,
       важно, чтобы отправители могли подтвердить новую политику
       получено для домена получателя.  Есть два поддерживаемых механизма
       для проверки политики:
    
       o Web PKI: в этом механизме указывается значением webpki
          поле "a", отправитель извлекает ресурс HTTPS из URI
          указано.Например, a = webpki:  указывает, что отправитель должен получить
          ресурс . В
          Чтобы политика была действительной, тело ответа HTTP будет отправлено по адресу
          этот ресурс ДОЛЖЕН точно соответствовать политике, изначально загруженной через
          метод DNS TXT, и ДОЛЖЕН обслуживаться конечной точкой HTTPS в
          домен, соответствующий домену получателя. (Поскольку этот RFC
          прогресс, авторы намерены зарегистрировать.хорошо известный / smtp-sts.
          См. [RFC5785]. См. _Future_ _Work_ для получения дополнительной информации.)
    
       o DNSSEC: в этом механизме обозначается значением "dnssec" параметра
          "a", отправитель ДОЛЖЕН получить политику через подписанный DNSSEC
          ответ на запись TXT _smtp_sts. 
    
       При получении новой политики, если она еще не известна, или когда
       получение политики для домена с истекшей политикой,
       политикам, не прошедшим аутентификацию, НЕОБХОДИМО доверять и соблюдать их. При получении
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 8] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
       политика и ее аутентификация, как подробно описано в _Policy_
       _Application_, политики будут аутентифицироваться с помощью механизма
       указывается существующей кэшированной политикой.Обратите внимание, однако, как подробно описано в _Policy_ _Application_, что
       новые политики НЕ ДОЛЖНЫ считаться действительными, если они не подтверждают
       при первом применении. То есть недавно полученная (и неиспользованная) политика
       то, что не было успешно применено, ДОЛЖНО игнорироваться.
    
    3.4. Проверка политики
    
       При отправке на MX в домене, для которого отправитель имеет действительный
       и политика SMTP STS с неограниченным сроком действия, отправляющий MTA, соблюдающий SMTP STS
       ДОЛЖЕН подтвердить, что получатель MX поддерживает STARTTLS и предлагает
       Сертификат TLS, действительный в соответствии с семантикой SMTP
       Политика СТС. Политики могут указывать срок действия сертификата в одном из двух
       способами, задав значение поля «c» в описании политики.
    
       o Web PKI: если в поле "c" установлено значение "webpki", сертификат
          представленный принимающим MX ДОЛЖЕН быть действительным для имени MX и
          цепочка к корневому ЦС, которому доверяет отправляющий MTA. В
          сертификат ДОЛЖЕН иметь CN или SAN, соответствующий имени хоста MX (как
          описано в [RFC6125]), и срок его действия не истек.
    
       o DANE TLSA: если в поле «c» установлено значение «tlsa», принимающий MX
          ДОЛЖЕН быть охвачен записью DANE TLSA для домена получателя,
          и представленный сертификат ДОЛЖЕН быть действительным в соответствии с этим
          запись (как описано в [RFC7672]).Отправляющий MTA, который не поддерживает требуемый метод проверки:
       например, MTA, у которого нет DNSSEC-совместимого преобразователя -
       ДОЛЖЕН вести себя так, как если бы политика не прошла проверку. Как описано в
       раздел о _Policy_ _Application_, политике, которая никогда не
       был успешно проверен, НЕ ДОЛЖЕН использоваться для отклонения почты. 
    
    3.5. Заявление о политике
    
       При отправке на MX в домене, для которого отправитель имеет действительный
       Политика SMTP STS с неограниченным сроком действия, отправляющий MTA, соблюдающий SMTP STS, МОЖЕТ
       применить результат проверки политики одним из двух способов:
    
       o Только отчет: в этом режиме отправка MTA просто отправляет отчет
          назначенный адрес отчета, указывающий применение политики
          неудачи.Это можно сделать в автономном режиме, т.е. на основе журналов MTA,
          и, таким образом, является подходящим вариантом с низким уровнем риска для MTA, которые хотят
          повысить прозрачность взлома TLS, не усложняя
          изменения в производственной инфраструктуре обработки почты.
    
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 9] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
       o Принудительно: в этом режиме отправка MTA ДОЛЖНА обрабатывать политику STS.
          сбои, в которых действие политики - "отклонить", как письмо
          ошибка доставки, и СЛЕДУЕТ разрывать SMTP-соединение, а не
          доставка почты получателю MTA. Однако в принудительном режиме отправляющие MTA ДОЛЖНЫ сначала проверить наличие нового
       _authenticated_ перед фактической обработкой сбоя сообщения как
       фатальный.
    
       Таким образом, поток управления для отправляющего MTA, который выполняет онлайн-политику
       приложение состоит из следующих шагов:
    
       1. Проверьте кешированную политику с истекшим сроком действия. Если его нет, загрузите
           последний и кешируйте его.
    
       2. Подтвердите получатель MTA по политике. Если действительно, доставьте почту.
    
       3. Если политика недействительна и в политике указывается отчет, сгенерируйте
           отчет.4. Если политика недействительна и в политике указано отклонение, выполните
           следующие шаги:
    
           * Проверьте наличие новой (не кэшированной) политики _authenticated_. Если один
              существует, обновите текущую политику и перейдите к шагу 1.
    
           * Если такового не существует или новая политика также не работает, обработайте
              доставка как сбой.
    
       Понимание деталей шага 4 имеет решающее значение для понимания
       поведение системы в целом.
    
       Помните, что у каждой политики есть срок действия (который ДОЛЖЕН быть
       долго, порядка дней или месяцев) и метод проверки.С
       эти два механизма и процедура, указанная в шаге 4,
       получатели, публикующие политику, фактически имеют средства обновления
       кэшируемая политика с произвольными интервалами, без риска (человека-
       посередине атаки) они бы понесли, если бы сократили
       срок действия полиса.
    
    4. Отчет об отказе
    
       Сводная статистика сбоев политики МОЖЕТ передаваться в URI
       указывается в поле «rua» политики. Отчеты SMTP STS содержат
       информация о сбоях в политике, позволяющая диагностировать
       неправильная конфигурация и злонамеренная активность.Марголис и др. Истекает 19 сентября 2016 г. [Страница 10] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
       (Также может потребоваться более подробная «криминалистическая»
       отчетность на начальных этапах развертывания. Чтобы решить эту проблему,
       авторы рассматривают возможность необязательного дополнительного
       "режим судебно-медицинской экспертизы", в котором более подробная информация - например, сертификат
       сети и баннеры MTA - можно сообщать. См. Раздел _Future_
       _Work_ для более подробной информации.)
    
       Сводные отчеты содержат следующие поля:
    
       o Примененная политика SMTP STS (в виде строки)
    
       o Начало и конец отчетного периода
    
       Повторяющиеся записи содержат следующие поля:
    
       o Тип отказа: этот список начинается с минимального набора, указанного ниже, и
          ожидается, что со временем он будет расти, исходя из реального опыта. В
          начальный набор:
    
          * mx-mismatch: указывает, что MX разрешен для
             домен получателя не соответствует ограничению MX, указанному в
             политика.* certificate-mismatch: это означает, что сертификат
             представленный получающим MX не соответствует имени хоста MX
    
          * invalid-certificate: указывает, что сертификат
             представленный получателем MX не подтвержден в соответствии с
             ограничение проверки политики. (Либо он не был подписан
             доверенного центра сертификации или не соответствует записи DANE TLSA для
             получатель MX.)
    
          * expired-certificate: это означает, что сертификат имеет
             истекший.* starttls-not-supported: указывает, что получатель MX
             не поддерживает STARTTLS.
    
          * tlsa-invalid: указывает на ошибку проверки политики.
             Домен, определяющий проверку "tlsa".
    
          * dnssec-invalid: указывает на сбой при проверке DNS.
             записи для домена политики с указанием проверки "tlsa" или
             "dnssec" аутентификация.
    
          * sender-does-not-support-validation-method: указывает на
             отправляющая система никогда не может подтвердить, используя запрошенный
             механизм проверки.Марголис и др. Истекает 19 сентября 2016 г. [Страница 11] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
       o Count: количество раз, когда возникла ошибка.
    
       o Имя хоста: имя хоста MX-получателя.
    
       Обратите внимание, что типы сбоев неисключительны; сводный отчет
       МОЖЕТ содержать перекрывающееся количество типов сбоев, когда одна отправка
       попытка обнаружила несколько ошибок.
    
       При отправке отчетов о сбоях отправка MTA НЕ ДОЛЖНА соблюдать SMTP STS или
       DANE TLSA сбои.5. Соображения IANA
    
       ". Хорошо известный" URI для доменов политик для размещения их политик STS
       будет зарегистрирован в соответствии с процедурой, описанной в [RFC5785]
       (т.е. отправив запрос на "[email protected]"
       список рассылки для просмотра и комментариев). Предлагаемый суффикс URI:
       "smtp-sts".
    
    6. Соображения безопасности
    
       SMTP Strict Transport Security защищает от активного злоумышленника
       кто хочет перехватывать или вмешиваться в почту между хостами, которые поддерживают
       STARTTLS.Рассматриваются два класса атак:
    
       o Помешать согласованию TLS, например, удалив "250
          STARTTLS "ответ сервера или изменение сеанса TLS.
          Переговоры. Это приведет к тому, что сеанс SMTP произойдет через
          открытый текст, несмотря на то, что обе стороны поддерживают TLS.
    
       o Выдача себя за почтовый сервер назначения, в результате чего отправитель
          может доставить сообщение самозванцу, который затем сможет отслеживать
          и / или изменять сообщения, несмотря на оппортунистический TLS. Этот
          олицетворение может быть выполнено путем подмены записи MX DNS
          для домена получателя или путем перенаправления клиентских подключений на
          законный сервер-получатель (например, изменив BGP
          таблицы маршрутизации).SMTP Strict Transport Security полагается на проверку сертификата через
       либо проверка идентичности TLS [RFC6125], либо DANE TLSA [RFC7672].
       Злоумышленники, которые могут получить действующий сертификат для целевой
       почтовый сервис получателя (например, путем взлома центра сертификации)
       таким образом, выходят за рамки данной модели угроз.
    
       В режиме ограничения WebPKI злоумышленник, который может заблокировать DNS
       ответы могут подавить доставку политики STS, в результате чего
       Похоже, что у домена политики нет политики STS.Модель кеширования
       описанная в _Policy_ _Expirations_ призвана противостоять этому
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 12] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
       атаки, и в разделе _Будущее_ _Работа_ обсуждается
       будущие механизмы распространения, устойчивые к этой атаке.
    
    7. Будущая работа
    
       Авторы хотели бы предложить несколько соображений на будущее.
       обсуждение.o Прикрепление сертификата: одно из потенциальных улучшений надежности
          из обсуждаемых методов проверки сертификатов будет
          развертывание закрепления открытого ключа, как определено для HTTP в [RFC7469].
          Расширение политики, поддерживающее эту семантику, включило бы политику
          Домены для указания сертификатов, которые ДОЛЖНЫ появляться в MX
          цепочка сертификатов, тем самым обеспечивая устойчивость к взломанным
          Ключи зоны CA или DNSSEC.
    
       o Распространение политики: как и в случае с сертификатом прозрачности ([RFC6962]),
          может быть возможно предоставить проверяемый журнал политики
          _observations_ (что означает, какая политика соблюдалась для
          данный домен политики).Это даст представление о политике
          подделка или несуществование поддельной политики. Это может быть особенно
          полезно для доменов политики, не использующих DNSSEC, так как это обеспечит
          отправка MTA авторитетного источника информации о том,
          ожидается для данного домена.
    
       o Ограничения на получение: издатели политики могут также пожелать
          указать доменам, _принимающим_ почту из домена политики, что
          ожидается, что вся такая почта будет отправлена ​​через TLS. Это может позволить
          издатели политики получать отчеты об отправке MTA
          неправильная конфигурация.Однако свойства безопасности
          "принудительная" система отличается от нынешних
          дизайн; в частности, активный злоумышленник может быть
          возможность использовать неправильно настроенную отправку MTA таким образом, чтобы не
          быть возможным сегодня с моделью, ориентированной на отправителя.
    
       o Ограничения по версиям шифра и TLS: издатели политики также могут
          хотите ограничить согласование TLS определенными шифрами или TLS
          версии.
    
       Кроме того, авторы оставляют в настоящее время открытыми следующие детали:
    
       o Должна ли быть и насколько более подробная «судебно-медицинская экспертиза»
          выполнено, как описано в разделе _Failure_ _Reporting_.o Регистрация URI .well-known / smtp-sts согласно [RFC5785].
    
    
    
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 13] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
    8. Приложение 1. Псевдокод проверки.
    
          policy = policy_from_cache ()
          если не policy или is_expired (policy):
            policy = policy_from_dns () // получить и аутентифицировать!
            update_cache = правда
          если политика:
            if invalid_mx_or_tls (policy): // проверяем сертификат MX и TLS
              если rua:
                generate_report ()
              если p_reject ():
                policy = policy_from_dns () // получить и аутентифицировать # 2!
                update_cache = правда
                если invalid_mx_or_tls (политика):
                  reject_message ()
                  update_cache = ложь
            если update_cache:
              кеш (политика)
    
    9.Приложение 2: Пример записи STS владельца домена
    
    
        Владелец желает начать пользоваться СТС
        с политикой, которая будет запрашивать совокупную обратную связь от получателей
        не влияя на то, как сообщения обрабатываются, чтобы:
    
        * Подтвердите, что его законные сообщения отправляются через TLS
    
        * Проверить действительность сертификатов
    
        * Проверьте, какие шифры используются
    
        * Определите, на сколько сообщений повлияет строгая политика
    
        _smtp_sts IN TXT ("v = STS1; to = false;"
                             "rua = mailto: sts-feedback @ example.com ")
    
    10. Приложение 3: XML-схема для отчетов об отказах
    
     
     
        
        
          
            
    
    
    
    Марголис и др.Истекает 19 сентября 2016 г. [Страница 14] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
            
          
        
    
        
        
          
            
            
            
            
            
          
        
    
    
        
        
          
            
            
          
        
    
        
        
          
            
            
            
          
        
    
        
        
          
            
            
            
            
            
            
            
          
        
    
    
    
    
    Марголис и др.Истекает 19 сентября 2016 г. [Страница 15] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
        
        
          
            
            
          
        
    
        
        
          
            
            
            
            
            
          
        
    
         
        
          
            
              
              
              
        
              
            
          
        
     
    
    11.Приложение 4: Пример отчета
    
    
    
    
    
    
    
    
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 16] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
            
               1 
              
                 Компания XYZ 
                 [email protected] 
                 
                 12345 
                  1439227624 
                1439313998 
                
              <прикладная_политика>
                <домен> компания.com 
                 * .mx.mail.company.com 
                 WebPKI 
              
                только отчет 
              <запись>
                   ExpiredCertificate 
                   13128 
                   mta7.am0.yahoodns.net. 
                   98.136.216.25 
              
              <запись>
                   StarttlsNotSupported 
                   19 
                  <имя хоста> mta7.am0.yahoodns.net. 
                   98.22.33.99 
              
            
    
    12. Нормативные ссылки
    
       [RFC2119] Брэднер, С. "Ключевые слова для использования в RFC для обозначения
                  Уровни требований », BCP 14, RFC 2119,
                  DOI 10.17487 / RFC2119, март 1997 г.,
                  .
    
       [RFC3207] Хоффман П., "Расширение службы SMTP для безопасного протокола SMTP через
                  Безопасность транспортного уровня », RFC 3207, DOI 10.17487 / RFC3207,
                  Февраль 2002 г., .
    
       [RFC3986] Бернерс-Ли, Т., Филдинг, Р., и Л. Масинтер, "Униформа
                  Идентификатор ресурса (URI): Общий синтаксис », STD 66,
                  RFC 3986, DOI 10.17487 / RFC3986, январь 2005 г.,
                  .
    
    
    
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 17] 

    Internet-Draft SMTP-STS Март 2016 г.
    
    
       [RFC4033] Арендс, Р., Остейн, Р., Ларсон, М., Мэсси, Д., и С.
                  Роуз, «Введение в безопасность DNS и требования»,
                  RFC 4033, DOI 10.17487 / RFC4033, март 2005 г.,
                  .
    
       [RFC5234] Crocker, D., Ed. и П. Оверелл, "Расширенный BNF для синтаксиса
                  Технические характеристики: ABNF », STD 68, RFC 5234,
                  DOI 10.17487 / RFC5234, январь 2008 г.,
                  .
    
       [RFC5785] Ноттингем, М.и Э. Хаммер-Лахав, "Определение хорошо известного
                  Универсальные идентификаторы ресурсов (URI) », RFC 5785,
                  DOI 10.17487 / RFC5785, апрель 2010 г.,
                  .
    
       [RFC6125] Сен-Андре, П. и Дж. Ходжес, "Представление и
                  Проверка подлинности службы приложений на основе домена
                  в инфраструктуре открытых ключей Интернета с использованием X.509
                  (PKIX) Сертификаты в контексте транспортного уровня
                  Безопасность (TLS) », RFC 6125, DOI 10.17487 / RFC6125, март
                  2011 г., .
    
       [RFC6962] Лори, Б., Лэнгли, А., и Э. Каспер, "Сертификат
                  Прозрачность », RFC 6962, DOI 10.17487 / RFC6962, июнь 2013 г.,
                  .
    
       [RFC7469] Эванс, К., Палмер, С., и Р. Сливи, «Закрепление открытого ключа
                  Расширение для HTTP », RFC 7469, DOI 10.17487 / RFC7469, апрель
                  2015 г., .[RFC7672] Духовни В. и У. Хардакер, "Безопасность SMTP через
                  Оппортунистическая аутентификация именованных объектов на основе DNS
                  (DANE) Безопасность транспортного уровня (TLS) ", RFC 7672,
                  DOI 10.17487 / RFC7672, октябрь 2015 г.,
                  .
    
    Адреса авторов
    
       Даниэль Марголис
       Google, Inc
    
       Электронная почта: dmargolis (at) google.com
    
    
       Марк Ришер
       Google, Inc
    
       Электронная почта: risher (at) google (точка com)
    
    
    
    Марголис и др. Истекает 19 сентября 2016 г. [Страница 18] 

     Internet-Draft SMTP-STS Март 2016 г.  Николас Лидзборски
     Google, Inc  Электронная почта: nlidz (at) google (точка com)  Вэй Чуанг
     Google, Inc  Электронная почта: weihaw (at) google (точка com)  Брэндон Лонг
     Google, Inc  Электронная почта: blong (at) google (точка com)  Бину Рамакришнан
     Yahoo !, Inc  Электронная почта: rbinu (at) yahoo-inc (точка com)  Александр Бротман
     Comcast, Inc  Электронная почта: alexander_brotman (at) кабель.comcast (точка com)  Джанет Джонс
     Microsoft, Inc  Электронная почта: janet.jones (at) microsoft (dot com)  Франк Мартин
     LinkedIn  Электронная почта: fmartin (at) linkedin (dot com)  Клаус Умбах
     1 & 1 Mail & Media Development & Technology GmbH  Электронная почта: klaus.

alexxlab / 08.12.2018 / Разное

Добавить комментарий

Почта не будет опубликована / Обязательны для заполнения *