Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Понижение стойкости шифра Internet Explorer 8.0 после установки Крипто Про сборки 3.6.6497
Статус: Участник
Группы: Участники
Зарегистрирован: 01.11.2010(UTC) Сообщений: 11 Откуда: Ставрополь
|
Добрый день. Развернули в организации новый терминальный сервер на базе Windows 2003 Server R2 Enterprise Edition. Для работы пользователей с защищенными интранет-сайтами головной организации установили Крипто Про 3.6.6497 (как я понимаю, последняя сборка). Через несколько дней начались жалобы пользователей на невозможность входа во все https ресурсы. В ходе анализа проблемы выяснилось, что у части пользователей понизилась стойкость шифра до 128 бит, сответственно интранет-сайты, работающие по ГОСТовым сертификатам, их сразу отбивают. Причем одномоментно на сервере работают пользователи, чей IE 8.0 демонстрирует стойкость 256 бит, и у которых соответственно никаких проблем нет. Другое замечание - в течение рабочего дня стойкость шифра может возвращаться со 128 до 256 бит. И с 256 до 128.
Какие могут быть решения данной проблемы? Есть ли какие-нибудь особенности установки и эксплуатации СКЗИ Крипто Про на терминальных серверах?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,395 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 718 раз в 622 постах
|
Странно, раньше с таким не сталкивались. В eventlog ничего интересного? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 01.11.2010(UTC) Сообщений: 11 Откуда: Ставрополь
|
Да, нашел. "КриптоПро TLS. Ошибка 0x80090009 при обращении к CSP: Указаны неправильные флаги." Больше ничего подозрительного... О системе - Server 2003, установлен SP2, а также все обновления, вышедшие до 9 ноября 2010 года (работает WSUS).
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,395 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 718 раз в 622 постах
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 01.11.2010(UTC) Сообщений: 11 Откуда: Ставрополь
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,395 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 718 раз в 622 постах
|
Включите диагностику csp, перезагрузитесь и пришлите eventlog после возникновения ошибок. Код:REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\debug]
"cpcsp"=dword:00000009
"cpcsp_fmt"=dword:00000039
"cpsspap"=dword:00000009
"cpsspap_fmt"=dword:00000039
Отредактировано пользователем 9 ноября 2010 г. 14:08:32(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 01.11.2010(UTC) Сообщений: 11 Откуда: Ставрополь
|
Reg - файл внедрил, сервер перегружен. Проверил стойкость шифра - пока 256 бит. Буду ждать начала проблем. Ранее тоже несколько дней все было в порядке.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 01.11.2010(UTC) Сообщений: 11 Откуда: Ставрополь
|
Прошел год. К сожалению пришлось прервать тестирование версии 3.6.6497 на терминальном сервере и установить старую версию 3.6.5402 - проблема с понижением стойкости IE 8.0 до 128 бит ушла. В 2011 году сделали новый домен, ввели в строй новый терминальный сервер на базе Windows Server 2003 R2 x64 (боевой на 150 пользователей). Развернули такой же (по программной конфигурации) тестовый терминальный сервер (на 5 пользователей). Установили на боевой сервер сначала версию 3.6.6497 - опять понижение стойкости шифра IE 8.0 до 128 бит через 1 день работы. На WSUS специально не заводили, чтобы проверить, что патчи не оказывают влияния. На тестовом сервере проблем нет - стойкость 256 бит, все SSL - ресурсы доступны. Удаляем 3.6.6497, подчищаем утилитой cspclean. Ставим версию 3.6.6872 (самую свежую сборку) - на боевом сервере стойкость шифра 256 бит продержалась 2 дня, а потом опять понизилась до 128 бит. На тестовом опять все в порядке. Накатываем все патчи через WSUS - без изменений. Доменная политика - по умолчанию, никаких настроек специально не сделали. В реестре изменений с версией Крипто Про 3.6.5402 не находим. СКЗИ Крипто Про 3.6.6497 используем также локально примерно на 250 рабочих местах - нигде никогда проблем с доступом локально на SSL - ресурсы не наблюдалось и не наблюдается. На тестовом сервере так и не удается повторить проблему - все работает как надо. Поневоле можно сделать вывод о влиянии количества пользователей на работу IE 8.0. Прочитал весь ваш форум - проверил все, ничего не помогает. Что посоветуете? Пока на сервера ставим уже устаревшую 3.6.5402...
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,395 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 718 раз в 622 постах
|
В eventlog нет подозрительных сообщений? Используется версия КС1? Возможно ли нашей техподдержке получить удаленный доступ к терминальной сессии, в которой будет стойкость 128 бит? Отредактировано пользователем 9 ноября 2011 г. 21:59:45(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 01.11.2010(UTC) Сообщений: 11 Откуда: Ставрополь
|
Как назло ничего в eventlog не наблюдаю подозрительного... Версию ставим все время КС1. По поводу удаленного доступа - вариантов нет. Интернет корпоративный, через головную организацию, отдельная подсеть. Есть надежда, что проблема проявится на тестовом сервере - там можно будет делать все что угодно (жалоб от пользователей не будет )
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Понижение стойкости шифра Internet Explorer 8.0 после установки Крипто Про сборки 3.6.6497
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close