Операционные плейбуки

PKI-отказы редко выглядят как криптографические взломы. Они выглядят как истёкшие ключи OCSP-respondera в три ночи.

Что в главе

Настройка TSA — выбор TSA, окна свежести, redundancy, fallback.
Дисциплина OCSP / CRL — обнаружение устаревания, кэширование, режимы отказа (см. дневник 2026-04-07 — инцидент с истёкшим OCSP responder ключом в EJBCA как worked example).
Операции audit ledger — проверка целостности hash-цепочки, тюнинг block_size, retention, ротация.
EATF signing flow — eatf init → eatf doctor → eatf sign → eatf verify с per-tenant block_size и audit_event hooks (введены в апрельском substrate-обновлении 2026).
Реакция на инциденты — что делать, когда подпись не валидируется в проде, когда TSA ушёл в офлайн, когда CA молча ротировал OCSP signing key.

life/reflect/2026-04-07_eidas2-serial-uniqueness-strategy.md
life/reflect/2026-04-07_ejbca-ops-dossier-from-tmp.md
aletheia-ai/partner-integrations/QUICKSTART.md
Операционные заметки из работы Zetes / PKIC (с санитизацией — см. confidentiality risk в плане публикаций).