Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ILya D  
#1 Оставлено : 1 апреля 2021 г. 20:34:48(UTC)
ILya D

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2021(UTC)
Сообщений: 1
Российская Федерация

Коллеги, добрый день!

думаем настроить NGINX на работу только по гостовому TLS согласно статьям:
https://www.cryptopro.ru....aspx?g=posts&t=8544 4 года назад
https://www.cryptopro.ru...aspx?g=posts&t=12505 3 года назад
https://support.cryptopr...-c-podderzhkojj-gost-tls год назад

Лучше действовать по самой актуальной?

кажется на форумных постах больше шагов и действий описано.
+ в них нет ничего про запрос и установку патча.

И вопрос по подключение к такому серверу
в статье https://www.cryptopro.ru/products/csp/tls
есть таблица с браузерами, где указаны только: ИЕ, Спутник, Яндекс браузер и Хромиум-гост.

Правильно я понимаю, чтобы подключиться к серверу который работает по TLS GOST
нужен обязательно один из этих браузеров + плагин крипто про + установленный серт УЦ выдавшего сертификаты установленные на сервер?

И смогу ли я подключиться к серверу из других браузеров например из хрома, оперы или файр фокс используя шифрование TLS GOST?

Отредактировано пользователем 1 апреля 2021 г. 20:47:50(UTC)  | Причина: Не указана

Online two_oceans  
#2 Оставлено : 2 апреля 2021 г. 13:02:08(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,287
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 85 раз
Поблагодарили: 297 раз в 280 постах
Добрый день.
Про актуальность статей подсказать не могу, так как с nginx вплотную не работал. Однако там вроде как чем дальше тем проще все стало, часть того что в теме уже не нужна на новых версиях.
Автор: ILya D Перейти к цитате
есть таблица с браузерами, где указаны только: ИЕ, Спутник, Яндекс браузер и Хромиум-гост.
Список может пополняться. Заявлено у этих браузеров, ИЕ и Хромиум-гост можно сказать имеют поддержку от разработчиков самого криптопровайдера, а Спутник и Яндекс - чего-то допиливали. Всегда могут появится еще желающие допилить, но Опера и Мозилла пока такого желания не высказывали.
Автор: ILya D Перейти к цитате
Правильно я понимаю, чтобы подключиться к серверу который работает по TLS GOST нужен обязательно один из этих браузеров + плагин крипто про + установленный серт УЦ выдавшего сертификаты установленные на сервер?
Клиенту нужен браузер, поддерживающий TLS GOST; криптопровайдер (в теории любой с компонентой TLS ГОСТ-2012, самые популярные КриптоПро CSP или Vipnet CSP, на практике - из поддерживаемых браузером); корневой сертификат для цепочки сертификатов сервера (если ГУЦ или Минкомсвязь, то поставится с КриптоПро CSP). Сервер можно настроить на передачу клиенту и сертификата промежуточного УЦ и сертификата самого сервера, то есть сертификат промежуточного УЦ может отсутствовать у клиента и тогда будет прислан сервером. Если же сервер не присылает сертификат промежуточного УЦ, то сертификат промежуточного УЦ должен быть заранее установлен у клиента.

Автор: ILya D Перейти к цитате
И смогу ли я подключиться к серверу из других браузеров например из хрома, оперы или файр фокс используя шифрование TLS GOST?
Из самого браузера, используя шифрование TLS GOST - нет, но можно приукрасить, разрешить без гост или вставить прослойку между браузером и nginx у клиента.

Отредактировано пользователем 2 апреля 2021 г. 13:08:00(UTC)  | Причина: Не указана

Offline Андрей Русев  
#3 Оставлено : 27 июля 2021 г. 14:12:21(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 792

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 191 раз в 149 постах
Правильно использовать только актуальную инструкцию: вместо openssl+gostengy надо использовать легализованный в КриптоПро CSP 5.0 R2 патч на nginx:
https://support.cryptopr...-c-podderzhkojj-gost-tls
Описанная инструкция позволяет устанавливать TLS-соединения одновременно как по ГОСТ TLS, так и по RSA TLS, не навязывая особых требований к браузеру клиента.
Официальная техподдержка. Официальная база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.