Статус: Новичок
Группы: Участники
Зарегистрирован: 22.03.2023(UTC) Сообщений: 3
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.01.2023(UTC) Сообщений: 12
Сказал(а) «Спасибо»: 4 раз
|
Автор: pd Автор: me9911 Импортировал, без изменений.
Цепочка даже в браузере строится. Можно как-то посмотреть, чем конкретно этот сертификат не нравится браузеру? В ОС отображается без каких либо проблем.
В FF отдается GlobalSign nv-sa. Почему решили, что он не нравится, что именно пишет браузер? Удалось зафиксировать ошибку - не может проверить отзыв сертификата и видимо по этому считает его недействительным. gost-revokerror.jpg (101kb) загружен 11 раз(а).
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Автор: me9911 Автор: pd Автор: me9911 Импортировал, без изменений.
Цепочка даже в браузере строится. Можно как-то посмотреть, чем конкретно этот сертификат не нравится браузеру? В ОС отображается без каких либо проблем.
В FF отдается GlobalSign nv-sa. Почему решили, что он не нравится, что именно пишет браузер? Удалось зафиксировать ошибку - не может проверить отзыв сертификата и видимо по этому считает его недействительным. gost-revokerror.jpg (101kb) загружен 11 раз(а). Значит криптопровайдер выдал ошибку CRYPT_E_REVOCATION_OFFLINE: https://github.com/deemr...atch/chromium.patch#L826Тут ничего не поделаешь, это ошибка которую пользователю стоит иметь ввиду и явно согласиться её игнорировать, в случае осознания всех рисков. Возможно нет доступа к crl из того места, где вы находитесь. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.01.2023(UTC) Сообщений: 12
Сказал(а) «Спасибо»: 4 раз
|
Автор: pd Возможно нет доступа к crl из того места, где вы находитесь. Интересная ситуация, действительно вышестоящий прокси блокировал запрос к CRL если это происходило фоном: [28/Mar/2023:19:58:58 +0300] "GET http://rostelecom.ru/cdp/guc_gost12.crl HTTP/1.1" 403 1392 TCP_DENIED:NONE но если их запрашивать вручную введя в строке браузера - загружаются без проблем: [28/Mar/2023:20:01:34 +0300] "GET http://rostelecom.ru/cdp/guc_gost12.crl HTTP/1.1" 200 2352 TCP_MISS:DIRECT Думал, может отличается user-agent, но нет, в обоих случаях одно и то же: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 (Chromium GOST) После добавления URL в белый список прокси - фоном тоже работает. Интересно, в чем может быть разница, почему фоновый запрос блокировался прокси, а ручной - нет? Хотел продебажить со стороны прокси, но больше запросов со стороны браузера к CRL нет, даже если открываю в инкогнито или со сносом истории за 24 часа. Можно как-то принудительно сбросить CRL кэш? Отредактировано пользователем 28 марта 2023 г. 21:39:03(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Автор: me9911 Автор: pd Возможно нет доступа к crl из того места, где вы находитесь. Интересная ситуация, действительно вышестоящий прокси блокировал запрос к CRL если это происходило фоном: [28/Mar/2023:19:58:58 +0300] "GET http://rostelecom.ru/cdp/guc_gost12.crl HTTP/1.1" 403 1392 TCP_DENIED:NONE но если их запрашивать вручную введя в строке браузера - загружаются без проблем: [28/Mar/2023:20:01:34 +0300] "GET http://rostelecom.ru/cdp/guc_gost12.crl HTTP/1.1" 200 2352 TCP_MISS:DIRECT Думал, может отличается user-agent, но нет, в обоих случаях одно и то же: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 (Chromium GOST) После добавления URL в белый список прокси - фоном тоже работает. Интересно, в чем может быть разница, почему фоновый запрос блокировался прокси, а ручной - нет? Хотел продебажить со стороны прокси, но больше запросов со стороны браузера к CRL нет, даже если открываю в инкогнито или со сносом истории за 24 часа. Можно как-то принудительно сбросить CRL кэш? Можно, кэш на уровне криптопровайдера, обращения к CRL вероятно тоже, поэтому есть разница с прокси. Но лучше создать по сбросу кэша CRL отдельную тему, если нет ответа в базе знаний (ссылка в подписи под каждым сообщением). |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.01.2020(UTC) Сообщений: 11
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 1 раз в 1 постах
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Автор: suslayer Про поиск понятно, да, но сложно. А можете на примере было/стало наглядно показать какой смысл в "выводить не O/OU а комбинацию SN+G(O)", чтобы было улучшение очевидно. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.01.2020(UTC) Сообщений: 11
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 1 раз в 1 постах
|
Автор: pd А можете на примере было/стало наглядно показать какой смысл в "выводить не O/OU а комбинацию SN+G(O)", чтобы было улучшение очевидно.
Конечно, думаю пример на картинке все объясняет Screenshot 2023-04-04 130534.png (21kb) загружен 22 раз(а).Выводимые поля в случае квалифицированного сертификата - дублируют друг друга, ну т.е. Код:CN = ООО "Тест" O = ООО "Тест"
поэтому выводить Код:SN = Директоров G = Василий Иванович (O = ООО "Тест")
куда полезнее. Учитывая что на форму уже добавился срок действия вместо не очевидного "серийника", эти изменения делают необходимость в поиске не таким значимым... Хотя тут конечно стоит принять во внимание тот факт, что отображение будет не совсем очевидным вне "Российский криптографии", ну т.е. где иной состав полей сертификата, CN как минимум всегда выводить надо... Отредактировано пользователем 4 апреля 2023 г. 13:25:30(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил suslayer за этот пост.
|
pd оставлено 04.04.2023(UTC)
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2022(UTC) Сообщений: 24
Сказал(а) «Спасибо»: 54 раз Поблагодарили: 1 раз в 1 постах
|
Автор: suslayer Конечно, думаю пример на картинке все объясняет Да, присоединяюсь, так было бы лучше и удобнее. Есть у меня и свой вопрос: браузер установлен общим на терминальном сервере. Можно ли централизованно установить для всех юзеров максимальное количество одновременно открытых вкладок? Отредактировано пользователем 4 апреля 2023 г. 15:05:25(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Автор: suslayer Автор: pd А можете на примере было/стало наглядно показать какой смысл в "выводить не O/OU а комбинацию SN+G(O)", чтобы было улучшение очевидно.
Конечно, думаю пример на картинке все объясняет Screenshot 2023-04-04 130534.png (21kb) загружен 22 раз(а).Выводимые поля в случае квалифицированного сертификата - дублируют друг друга, ну т.е. Код:CN = ООО "Тест" O = ООО "Тест"
поэтому выводить Код:SN = Директоров G = Василий Иванович (O = ООО "Тест")
куда полезнее. Учитывая что на форму уже добавился срок действия вместо не очевидного "серийника", эти изменения делают необходимость в поиске не таким значимым... Хотя тут конечно стоит принять во внимание тот факт, что отображение будет не совсем очевидным вне "Российский криптографии", ну т.е. где иной состав полей сертификата, CN как минимум всегда выводить надо... Да, спасибо, теперь понятно. Можете проверить и дать знать, что стало лучше, на версии отсюда: https://update.cryptopro.ru/temp/chromium-gost/ |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close