Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

157 Страницы«<118119120121122>»
Опции
К последнему сообщению К первому непрочитанному
Offline Epsilon21  
#1191 Оставлено : 22 марта 2023 г. 15:15:07(UTC)
Epsilon21

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.03.2023(UTC)
Сообщений: 3

Спасибо!!
Offline me9911  
#1192 Оставлено : 28 марта 2023 г. 16:36:32(UTC)
me9911

Статус: Участник

Группы: Участники
Зарегистрирован: 27.01.2023(UTC)
Сообщений: 12

Сказал(а) «Спасибо»: 4 раз
Автор: pd Перейти к цитате
Автор: me9911 Перейти к цитате
Импортировал, без изменений.

Цепочка даже в браузере строится. Можно как-то посмотреть, чем конкретно этот сертификат не нравится браузеру? В ОС отображается без каких либо проблем.

В FF отдается GlobalSign nv-sa.

Почему решили, что он не нравится, что именно пишет браузер?

Удалось зафиксировать ошибку - не может проверить отзыв сертификата и видимо по этому считает его недействительным.

gost-revokerror.jpg (101kb) загружен 11 раз(а).

Offline pd  
#1193 Оставлено : 28 марта 2023 г. 19:41:45(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: me9911 Перейти к цитате
Автор: pd Перейти к цитате
Автор: me9911 Перейти к цитате
Импортировал, без изменений.

Цепочка даже в браузере строится. Можно как-то посмотреть, чем конкретно этот сертификат не нравится браузеру? В ОС отображается без каких либо проблем.

В FF отдается GlobalSign nv-sa.

Почему решили, что он не нравится, что именно пишет браузер?

Удалось зафиксировать ошибку - не может проверить отзыв сертификата и видимо по этому считает его недействительным.

gost-revokerror.jpg (101kb) загружен 11 раз(а).



Значит криптопровайдер выдал ошибку CRYPT_E_REVOCATION_OFFLINE: https://github.com/deemr...atch/chromium.patch#L826

Тут ничего не поделаешь, это ошибка которую пользователю стоит иметь ввиду и явно согласиться её игнорировать, в случае осознания всех рисков.

Возможно нет доступа к crl из того места, где вы находитесь.
Знания в базе знаний, поддержка в техподдержке
Offline me9911  
#1194 Оставлено : 28 марта 2023 г. 20:09:17(UTC)
me9911

Статус: Участник

Группы: Участники
Зарегистрирован: 27.01.2023(UTC)
Сообщений: 12

Сказал(а) «Спасибо»: 4 раз
Автор: pd Перейти к цитате
Возможно нет доступа к crl из того места, где вы находитесь.


Интересная ситуация, действительно вышестоящий прокси блокировал запрос к CRL если это происходило фоном:

[28/Mar/2023:19:58:58 +0300] "GET http://rostelecom.ru/cdp/guc_gost12.crl HTTP/1.1" 403 1392 TCP_DENIED:NONE

но если их запрашивать вручную введя в строке браузера - загружаются без проблем:

[28/Mar/2023:20:01:34 +0300] "GET http://rostelecom.ru/cdp/guc_gost12.crl HTTP/1.1" 200 2352 TCP_MISS:DIRECT

Думал, может отличается user-agent, но нет, в обоих случаях одно и то же:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 (Chromium GOST)

После добавления URL в белый список прокси - фоном тоже работает.

Интересно, в чем может быть разница, почему фоновый запрос блокировался прокси, а ручной - нет?

Хотел продебажить со стороны прокси, но больше запросов со стороны браузера к CRL нет, даже если открываю в инкогнито или со сносом истории за 24 часа. Можно как-то принудительно сбросить CRL кэш?

Отредактировано пользователем 28 марта 2023 г. 21:39:03(UTC)  | Причина: Не указана

Offline pd  
#1195 Оставлено : 28 марта 2023 г. 23:26:38(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: me9911 Перейти к цитате
Автор: pd Перейти к цитате
Возможно нет доступа к crl из того места, где вы находитесь.


Интересная ситуация, действительно вышестоящий прокси блокировал запрос к CRL если это происходило фоном:

[28/Mar/2023:19:58:58 +0300] "GET http://rostelecom.ru/cdp/guc_gost12.crl HTTP/1.1" 403 1392 TCP_DENIED:NONE

но если их запрашивать вручную введя в строке браузера - загружаются без проблем:

[28/Mar/2023:20:01:34 +0300] "GET http://rostelecom.ru/cdp/guc_gost12.crl HTTP/1.1" 200 2352 TCP_MISS:DIRECT

Думал, может отличается user-agent, но нет, в обоих случаях одно и то же:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 (Chromium GOST)

После добавления URL в белый список прокси - фоном тоже работает.

Интересно, в чем может быть разница, почему фоновый запрос блокировался прокси, а ручной - нет?

Хотел продебажить со стороны прокси, но больше запросов со стороны браузера к CRL нет, даже если открываю в инкогнито или со сносом истории за 24 часа. Можно как-то принудительно сбросить CRL кэш?

Можно, кэш на уровне криптопровайдера, обращения к CRL вероятно тоже, поэтому есть разница с прокси.

Но лучше создать по сбросу кэша CRL отдельную тему, если нет ответа в базе знаний (ссылка в подписи под каждым сообщением).
Знания в базе знаний, поддержка в техподдержке
Offline suslayer  
#1196 Оставлено : 29 марта 2023 г. 10:54:13(UTC)
suslayer

Статус: Участник

Группы: Участники
Зарегистрирован: 15.01.2020(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Спасибо за improving certificate selector ui by adding O/OU for subject and time…, но исходя из текущего набора полей квалифицированного сертификата возможно имеет смысл выводить не O/OU а комбинацию SN+G(O), а если добить до идеала и прикрутить поиск в этом окне, то наступит рай Angel
Offline pd  
#1197 Оставлено : 4 апреля 2023 г. 12:18:25(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: suslayer Перейти к цитате
Спасибо за improving certificate selector ui by adding O/OU for subject and time…, но исходя из текущего набора полей квалифицированного сертификата возможно имеет смысл выводить не O/OU а комбинацию SN+G(O), а если добить до идеала и прикрутить поиск в этом окне, то наступит рай Angel

Про поиск понятно, да, но сложно.

А можете на примере было/стало наглядно показать какой смысл в "выводить не O/OU а комбинацию SN+G(O)", чтобы было улучшение очевидно.
Знания в базе знаний, поддержка в техподдержке
Offline suslayer  
#1198 Оставлено : 4 апреля 2023 г. 13:12:59(UTC)
suslayer

Статус: Участник

Группы: Участники
Зарегистрирован: 15.01.2020(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате

А можете на примере было/стало наглядно показать какой смысл в "выводить не O/OU а комбинацию SN+G(O)", чтобы было улучшение очевидно.

Конечно, думаю пример на картинке все объясняет Angel
Screenshot 2023-04-04 130534.png (21kb) загружен 22 раз(а).
Выводимые поля в случае квалифицированного сертификата - дублируют друг друга, ну т.е.
Код:
CN = ООО "Тест" O = ООО "Тест"
поэтому выводить
Код:
SN = Директоров G = Василий Иванович (O = ООО "Тест")
куда полезнее.
Учитывая что на форму уже добавился срок действия вместо не очевидного "серийника", эти изменения делают необходимость в поиске не таким значимым...
Хотя тут конечно стоит принять во внимание тот факт, что отображение будет не совсем очевидным вне "Российский криптографии", ну т.е. где иной состав полей сертификата, CN как минимум всегда выводить надо... Think

Отредактировано пользователем 4 апреля 2023 г. 13:25:30(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил suslayer за этот пост.
pd оставлено 04.04.2023(UTC)
Offline Zamp@  
#1199 Оставлено : 4 апреля 2023 г. 15:04:07(UTC)
Zamp@

Статус: Участник

Группы: Участники
Зарегистрирован: 30.10.2022(UTC)
Сообщений: 24

Сказал(а) «Спасибо»: 54 раз
Поблагодарили: 1 раз в 1 постах
Автор: suslayer Перейти к цитате
Конечно, думаю пример на картинке все объясняет


Да, присоединяюсь, так было бы лучше и удобнее.

Есть у меня и свой вопрос: браузер установлен общим на терминальном сервере. Можно ли централизованно установить для всех юзеров максимальное количество одновременно открытых вкладок?

Отредактировано пользователем 4 апреля 2023 г. 15:05:25(UTC)  | Причина: Не указана

Offline pd  
#1200 Оставлено : 4 апреля 2023 г. 15:57:43(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: suslayer Перейти к цитате
Автор: pd Перейти к цитате

А можете на примере было/стало наглядно показать какой смысл в "выводить не O/OU а комбинацию SN+G(O)", чтобы было улучшение очевидно.

Конечно, думаю пример на картинке все объясняет Angel
Screenshot 2023-04-04 130534.png (21kb) загружен 22 раз(а).
Выводимые поля в случае квалифицированного сертификата - дублируют друг друга, ну т.е.
Код:
CN = ООО "Тест" O = ООО "Тест"
поэтому выводить
Код:
SN = Директоров G = Василий Иванович (O = ООО "Тест")
куда полезнее.
Учитывая что на форму уже добавился срок действия вместо не очевидного "серийника", эти изменения делают необходимость в поиске не таким значимым...
Хотя тут конечно стоит принять во внимание тот факт, что отображение будет не совсем очевидным вне "Российский криптографии", ну т.е. где иной состав полей сертификата, CN как минимум всегда выводить надо... Think

Да, спасибо, теперь понятно.

Можете проверить и дать знать, что стало лучше, на версии отсюда: https://update.cryptopro.ru/temp/chromium-gost/
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
157 Страницы«<118119120121122>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.