Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: Варенуха  Здравствуйте!
Подскажите, насколько легитимно использовать данные сборки браузера при работе в ДБО?
Встраивание поддержки СКЗИ осуществляется в соответствие с требованиями 313-ПП, ПКЗ-2005?
Или это производится на энтузиазме неравнодушных). Проект chromium-gost использует сертифицированный продукт КриптоПро CSP для установки TLS-соединений по ГОСТ, но не является самостоятельным сертифицированным продуктом. Смысл проекта chromium-gost -- опытный браузер с поддержкой ГОСТ криптографии с открытым исходным кодом. Вы можете пользоваться им без каких-либо гарантий. Разработчики браузеров могут использовать опыт данного проекта в реализации своих продуктов. На текущий момент, нам известны следующие браузеры с аналогичным функционалом: Яндекс.Браузер, Спутник. |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.02.2019(UTC)
Сообщений: 4
|
Автор: Дмитрий Пичулин Автор: DimaKolm Есть в две машины с CentOS 7 основная и виртуальная. С начало поставил на виртуальной КриптоПроCSP 5, плагин и Chromium, установил сертификаты. Все работает gosuslugi.ru, zakupki.gov.ru. На https://eruz.zakupki.gov.ru/auth/ пишет Безопасное подключение - Сертификат (действительный). Повторил все тоже самое на основной машине. То же все работает, но ругается на https://eruz.zakupki.gov.ru/auth/ - подключение к сайту не защищено - Сертификат (недействительный). Сертификаты устанавливал и там и там одни и те же. В чем может быть проблема? Скорее всего разница между система всё же какая-то есть. Если уверены что разницы нет, ждём шаги по воспроизведению, начиная с шага установить чистую систему X. В chromium-gost используется msspi для проверки сертификатов, этот код не менялся довольно давно, жалоб не поступало. Chromium-gost свежей версии? У вас ошибка связана не с доверием, а с проверкой SAN, с этим мы бодались в прошлом году и вроде всё исправили. Версия где все норм 72.0.3626.96 (Официальная сборка), stable (64 бит) и она же была там где проблема, потом обновился до 72.0.3626.109 (Официальная сборка), stable (64 бит), но проблема осталась.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: Aleksandr G* Установка промежуточного сертификата помогает, а msspi не пытается выкачать промежуточные при CertGetCertificateChain или "использовать только то что прислал сервер (chromium-gost)" особенность chromium? Это нормальное поведение. Сервер должен самостоятельно доказать, что у пользователя с ним есть доверие. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.02.2019(UTC)
Сообщений: 4
|
Автор: Aleksandr G* Автор: Дмитрий Пичулин
Установка CSP 5.0 по умолчанию устанавливает отечественные корневые сертификаты, но не промежуточные.
Если сервер не отправляет промежуточные сертификаты до корня, это ошибка сервера, он не предоставил цепочку, которую пользователь может проверить.
Есть два сценария:
1) использовать только то что прислал сервер (chromium-gost)
2) попытаться найти промежуточные сертификаты в сети, скачать их и построить цепочку (IE, отображение цепочки в Windows)
Таким образом, для решения конкретной задачи, достаточно добавить в хранилище промежуточные сертификаты, или научить сервер корректно отправлять промежуточные сертификаты до корня.
Установка промежуточного сертификата помогает, а msspi не пытается выкачать промежуточные при CertGetCertificateChain или "использовать только то что прислал сервер (chromium-gost)" особенность chromium? А какие промежуточные сертификаты мне поставить? Я ставил два с zakupki.gov.ru из Файлы для настройки рабочего места - Сертификат Головного удостоверяющего центра (909 байт) и Сертификат Удостоверяющего центра Федерального казначейства (1.18 Кб).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: DimaKolm А какие промежуточные сертификаты мне поставить? Я ставил два с zakupki.gov.ru из Файлы для настройки рабочего места - Сертификат Головного удостоверяющего центра (909 байт) и Сертификат Удостоверяющего центра Федерального казначейства (1.18 Кб). У вас другая проблема. Вам ответили выше. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.12.2017(UTC) Сообщений: 44  Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: Дмитрий Пичулин Автор: x09 а флеш не работает это баг или фича?
p.s. заработало лишь так chromium-gost --ppapi-flash-path=/usr/lib/adobe-flashplugin/libpepflashplayer.so Не работает флеш за ненадобностью, выработалось стойкое мнение, что безопасность и флеш -- несовместимые вещи. Никто и не жаловался. Спасибо за решение. Судя по всему, в новых версиях флеш выпилен окончательно?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: x09 Судя по всему, в новых версиях флеш выпилен окончательно? Флеша в chromium-gost никогда не было. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 15.02.2019(UTC)
Сообщений: 4
|
Автор: Дмитрий Пичулин Автор: DimaKolm Есть в две машины с CentOS 7 основная и виртуальная. С начало поставил на виртуальной КриптоПроCSP 5, плагин и Chromium, установил сертификаты. Все работает gosuslugi.ru, zakupki.gov.ru. На https://eruz.zakupki.gov.ru/auth/ пишет Безопасное подключение - Сертификат (действительный). Повторил все тоже самое на основной машине. То же все работает, но ругается на https://eruz.zakupki.gov.ru/auth/ - подключение к сайту не защищено - Сертификат (недействительный). Сертификаты устанавливал и там и там одни и те же. В чем может быть проблема? Скорее всего разница между система всё же какая-то есть. Если уверены что разницы нет, ждём шаги по воспроизведению, начиная с шага установить чистую систему X. В chromium-gost используется msspi для проверки сертификатов, этот код не менялся довольно давно, жалоб не поступало. Chromium-gost свежей версии? У вас ошибка связана не с доверием, а с проверкой SAN, с этим мы бодались в прошлом году и вроде всё исправили. Пытался воспроизвести на виртуальной машине, не получилось. На основной удалил chromium-gost, КритоПроCSP и плагин, потом поставил все заново, на какое-то время проблема ушла, но потом опять вернулась. Пробовал опят переставить, но безрезультатно. Что можете еще посоветовать сделать, куда смотреть? Хочется разобрать и решить проблему.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: DimaKolm На основной удалил chromium-gost, КритоПроCSP и плагин, потом поставил все заново, на какое-то время проблема ушла, но потом опять вернулась. Вряд ли поможем. Возможно опять закупки чудят: https://www.cryptopro.ru...ts&m=94325#post94325 |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.02.2019(UTC) Сообщений: 8  Сказал «Спасибо»: 3 раз
|
Друзья, при прохождении проверки на портале ФНС (http://lkul.nalog.ru/check.php) пишет: Цитата:Браузер с поддержкой шифрования ГОСТ 34.10-2001, 28147-89, ГОСТ Р 34.11-2012.
Используемый Браузер не поддерживает шифрования защищенных соединений по ГОСТ 34.10-2001, 28147-89, ГОСТ Р 34.11-2012 Я думал, что этот браузер как раз и собран для поддержки Российских криптографических алгоритмов или я что-то не так делаю?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
