Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline two_oceans  
#1 Оставлено : 11 октября 2019 г. 6:45:57(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Добрый день.
Коллеги! Наверно вопрос не совсем по адресу, но до техподдержки федерального казначейства сложно достучаться. Возникла проблемка - ночью с позавчера на вчера были работы на сайте gasu-office.roskazna.ru и вот уже второй день не могу к нему подключиться. Проверяю на компьютере без антивируса c Win7 x64 (только майкрософтовский защитник), но все те же симптомы на другом компьютере и с Win 10 x64 с Касперским (там меньше браузеров). На том же компьютере Win7 x64 на госзакупки без проблем заходит по гост tls. Подскажите как диагностировать в чем именно ошибка.

В общем, получается проблема с самим tls соединением и до сертификатов явно не доходит. Ничего не понимаю: не нравится версия TLS, не нравится гост, не нравится время или на сайте просто что-то крашится? Как точно узнать причину или как интерперетировать эти 7 байт ответа сервера (15 03 03 00 02) + (02 28)? Почитать какой-то RFC наверно?

Отредактировано пользователем 11 октября 2019 г. 6:53:08(UTC)  | Причина: Не указана

Offline basid  
#2 Оставлено : 11 октября 2019 г. 7:50:28(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Не ответ - чисто для справки.
Offline Дмитрий Пичулин  
#3 Оставлено : 11 октября 2019 г. 10:09:51(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: two_oceans Перейти к цитате
Добрый день.
Коллеги! Наверно вопрос не совсем по адресу, но до техподдержки федерального казначейства сложно достучаться. Возникла проблемка - ночью с позавчера на вчера были работы на сайте gasu-office.roskazna.ru и вот уже второй день не могу к нему подключиться. Проверяю на компьютере без антивируса c Win7 x64 (только майкрософтовский защитник), но все те же симптомы на другом компьютере и с Win 10 x64 с Касперским (там меньше браузеров). На том же компьютере Win7 x64 на госзакупки без проблем заходит по гост tls. Подскажите как диагностировать в чем именно ошибка.

В общем, получается проблема с самим tls соединением и до сертификатов явно не доходит. Ничего не понимаю: не нравится версия TLS, не нравится гост, не нравится время или на сайте просто что-то крашится? Как точно узнать причину или как интерперетировать эти 7 байт ответа сервера (15 03 03 00 02) + (02 28)? Почитать какой-то RFC наверно?

Лучший вариант для отладки -- банальный дамп трафика, обычно всё сразу становится понятно.

Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#4 Оставлено : 11 октября 2019 г. 10:58:56(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Включил Wireshark на соседнем компьютере Win 7 32 - в Wireshark конечно есть расшифровка протокола, но понятнее стало не до конца: хромиум-гост 77 (...90) открыл 2 соединения до gasu-office.roskazna.ru и отправил в каждый ClientHello TLS 1.0, на это сервер ответил Alert, TLS 1.2, длина 2, содержание: Уровень: Fatal Описание: Internal error 80 (0x50).

Нашел коды https://blogs.msdn.micro...rotocol-the-alert-codes/
80 "An internal error unrelated to the peer or the correctness of the protocol makes it impossible to continue, such as a memory allocation failure. The error is not related to protocol. This message is always fatal."
Правильно ли я понимаю, что это что-то на серверной стороне не связанное напрямую с настройками клиентских машин и можно спокойно ждать исправления не меняя настроек?

Видно что у openssl был другой код ошибки 40 (0x28): handshake_failure. "Indicates that the sender was unable to negotiate an acceptable set of security parameters given the options available. This is a fatal error." то есть не сошлись шифры.

К слову, как отрегулировать чтобы хромиум отправил TLS 1.2?

Отредактировано пользователем 11 октября 2019 г. 11:01:33(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#5 Оставлено : 11 октября 2019 г. 11:28:00(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: two_oceans Перейти к цитате
Включил Wireshark на соседнем компьютере Win 7 32 - в Wireshark конечно есть расшифровка протокола, но понятнее стало не до конца: хромиум-гост 77 (...90) открыл 2 соединения до gasu-office.roskazna.ru и отправил в каждый ClientHello TLS 1.0, на это сервер ответил Alert, TLS 1.2, длина 2, содержание: Уровень: Fatal Описание: Internal error 80 (0x50).

Нашел коды https://blogs.msdn.micro...rotocol-the-alert-codes/
80 "An internal error unrelated to the peer or the correctness of the protocol makes it impossible to continue, such as a memory allocation failure. The error is not related to protocol. This message is always fatal."
Правильно ли я понимаю, что это что-то на серверной стороне не связанное напрямую с настройками клиентских машин и можно спокойно ждать исправления не меняя настроек?

Видно что у openssl был другой код ошибки 40 (0x28): handshake_failure. "Indicates that the sender was unable to negotiate an acceptable set of security parameters given the options available. This is a fatal error." то есть не сошлись шифры.

Можете приаттачить? Посмотрим.

Автор: two_oceans Перейти к цитате
К слову, как отрегулировать чтобы хромиум отправил TLS 1.2?

https://www.cryptopro.ru...&m=102945#post102945
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
two_oceans оставлено 11.10.2019(UTC)
Offline two_oceans  
#6 Оставлено : 11 октября 2019 г. 12:24:39(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Сейчас заработало, хотя никаких действий не предпринимал. Если появится снова ошибка в каком формате лучше сохранять дамп?
Offline Дмитрий Пичулин  
#7 Оставлено : 11 октября 2019 г. 16:55:13(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: two_oceans Перейти к цитате
Сейчас заработало, хотя никаких действий не предпринимал. Если появится снова ошибка в каком формате лучше сохранять дамп?

В любом формате, лучше .cap/.pcap.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.