Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline aalexnew  
#1 Оставлено : 13 июля 2015 г. 20:03:12(UTC)
aalexnew

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.07.2015(UTC)
Сообщений: 5
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
На сервере установлена одна из 4 версий Крипто Про. Я строю соединение с данным сервером по TLS. Строится двухсторонний TLS, на криптосьюте TLS_GOST_R_3410_01_WITH_28147_CNT_IMIT (криптосьюты 2012 в списке поддерживаемых не указываются). Расширение renegotiation_info присутствует.

В ответ на мой ClientHello мне приходит алерт unexpected_message. На версии 3.9 данный сценарий нормально работал.

В чем может быть проблема? Что может вызывать подобную реакцию сервера?

Отредактировано пользователем 13 июля 2015 г. 20:04:39(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#2 Оставлено : 13 июля 2015 г. 20:57:28(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Выложите client hello целиком, желательно из wireshark.
Какая точно версия на сервере?
Знания в базе знаний, поддержка в техподдержке
Offline aalexnew  
#3 Оставлено : 14 июля 2015 г. 10:13:56(UTC)
aalexnew

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.07.2015(UTC)
Сообщений: 5
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Версию сервера к сожалению сказать не могу, так как она на чужом сервере. Это сайт nalog.ru. Известно только, что вероятнее всего это Java. И точно известно, что это версия, поддерживающая криптосьюты 2012 года.
Приложено сообщение ClientHello.
До этого проходит первая попытка соединения, где приходит CertificateRequest. Так как на этот момент сертификата нет, то возвращаем ошибку. Добавляется сертификат в креденшелы и первый же запрос ClientHello после этого приводит к ошибке. hello.rar (8kb) загружен 3 раз(а).
Offline Максим Коллегин  
#4 Оставлено : 14 июля 2015 г. 10:19:03(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
А что за софт на клиенте?
Знания в базе знаний, поддержка в техподдержке
Offline aalexnew  
#5 Оставлено : 14 июля 2015 г. 10:23:58(UTC)
aalexnew

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.07.2015(UTC)
Сообщений: 5
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
IE работает через реализацию SSP/AP.
Offline Максим Коллегин  
#6 Оставлено : 14 июля 2015 г. 10:29:25(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Могу порекомендовать развернуть сервер у себя и поотлаживать, мы не сможем помочь - всё таки это форум поддержки продуктов КриптоПро.
Знания в базе знаний, поддержка в техподдержке
Offline aalexnew  
#7 Оставлено : 14 июля 2015 г. 10:31:48(UTC)
aalexnew

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.07.2015(UTC)
Сообщений: 5
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Собственно вопрос в причине ответа unexpected_message на конкретный ClientHello.
Offline Максим Коллегин  
#8 Оставлено : 14 июля 2015 г. 16:45:07(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Причина в некорректном ClientHello: Hello версии 3.0 не может содержать расширений.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
aalexnew оставлено 14.07.2015(UTC)
Offline aalexnew  
#9 Оставлено : 14 июля 2015 г. 17:22:47(UTC)
aalexnew

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.07.2015(UTC)
Сообщений: 5
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
RFC 6101
"Forward compatibility note: In the interests of forward compatibility, it is permitted for a client hello message to include extra data after the compression methods. This data must be included in the handshake hashes, but must otherwise be ignored."

Так что если Вы запрещаете использование SSL 3.0 - это хорошо, но просьба открыто заявлять это в своих изменениях. И адекватно реагировать на указанные в RFC особенности выбора версии протокола.

Транспортный уровень ClientHello по RFC предлагает наименьший поддерживаемый клиентом уровень. Не нравится этот уровень - выбирайте любой какой нравится вплоть до верхнего уровня, указанного в заголовке ClientHello.

Так что в данном случае пенять на не корректно построенный ClientHello не корректно.

С уважением.
Offline Максим Коллегин  
#10 Оставлено : 14 июля 2015 г. 17:37:21(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,395
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Это вместо спасибо?
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
aalexnew оставлено 14.07.2015(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.