Для начала, если у Вас нет сертификата ГОСТ с определенными требованиями, то ошибка вылетит на шаге 4, где нужен сертификат пользователя. Также шаг 4 невозможно пройти при включенной проверке HTTPS соединений в антивирусе.

На шаге 3 там не совсем честное отображение информации, так как фактически выполняется две проверки: 1) использование TLS вообще (с зарубежными алгоритмами без сертификата пользователя) и 2) использование TLS c ГОСТ-2001 без сертификата пользователя. При проверке скрипт пытается фоново загрузить кусочек данных по XMLHTTP с использованием HTTPS адреса. Для устранения ошибок соответственно нужны немного разные действия в зависимости какая проверка завершилась неудачно, но сайт показывает результат одним пунктом. На шаге 4 также происходит загрузка данных с ГОСТ-2001, но уже с предъявлением сертификата пользователя.

Первая проверка шага 3 может быть неудачной из-за проверки антивируса или блокировки портов провайдером (редко, но встречается) или неправильно установленного XMLHTTP (на свежей системе может быть только если сборка кривая) или не установленного корневого сертификата (заметьте что в этой проверке речь о сертификате не-ГОСТ!). Если на Win7 ставились обновления сертификатов (2013 года - KB931125, KB2917500 или их заменяющие), то скорее всего нужный сертификат не-ГОСТ установлен. На свежей системе их может и не быть, а при фоновой загрузке никто не нажмет "все равно перейти" и проверка провалится. Также рекомендуется обновить IE до 11 версии, в свежеустановленной системе как правило устаревшая IE 8, в которой еще не оценена важность компонента XMLHTTP. Попробуйте отключить проверку HTTPS соединений в антивирусе или добавить *.nalog.ru в исключения проверки.

Вторая проверка шага 3 то же самое, но уже с использованием сертификата сайта по ГОСТ. Для прохождения шага нужно установить корневые сертификаты, так как при фоновой загрузке никто не нажмет "все равно перейти" и проверка провалится. Для сертификата налоговой есть варианты - установить сертификат ГУЦ и сертификат ФНС выданный ГУЦ либо установить корневой сертификат ФНС. Также может потребоваться добавить сайт в надежные узлы IE.

До 4 пока что просто не доходит :)

Да, вот сейчас проверил - со свистом все проверки на nalog.ru прошли. Видимо, действительно сайт тупил, либо затыки у провайдера.

Остаётся вопрос, почему не работает https://www.cryptopro.ru:4444/test/tls-cli.asp

Попробовал из интереса https://www.cryptopro.ru:4444/test/tls-cli.asp, у меня тоже не открылся в IE 11 (win7 x32, криптопро csp уже не по теме 4.0.9944 и присутствует код безопасности csp) - сначала недоверенный сертификат сайта, продолжить, выбор сертификата появляется, выбираю сертификат аккредитованного УЦ (гост-2001, закрытый ключ в формате криптопро), потом ошибка соединения. Предполагаю из-за того, что не установлен корневой сертификат для сертификата сейта или адрес не добавлен в доверенные узлы. При этом в егиссо, ЕСИА и электронный бюджет заходит с этим же сертификатом в том же браузере того же пользователя (они добавлены в доверенные узлы и их корневые сертификаты установлены). Антивирус настроен не проверять HTTPS.

Отредактировано пользователем 10 октября 2018 г. 11:27:07(UTC)  | Причина: Не указана

Здравствуйте.

Чтобы работало соединение с клиентской аутентификацией по сертификату - сертификат нужен.

Snimok ehkrana ot 2018-10-12 01-04-56.png (25kb) загружен 5 раз(а).