Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC) Сообщений: 112
|
Установлено: Windows Server 2008 R2 Standart x64 у пользователя права администратора КриптоПро CSP версия продукта 3.9.8227 (ядра СКЗИ 3.9.8001 КС2) Web-сервер nginx версии 1.10.1 с поддержкой шифрования по ГОСТ взятый из https://github.com/deemru/nginx/releases/latestСертификат сервера сгенерирован в тестовом УЦ компании КриптоПро: https://www.cryptopro.ru/certsrv/certrmpn.asp Сервер nginx запускается без ошибок, но при попытке открыть URL https://app-tst-01.devel.med.yarcloud.ru/ На клиентском компьютере (Windows 8.1 Профессиональная RUS x64 нет прав администратора): 1. Internet Explorer 11.0.9600.18426 (ОС только что скачала все обновления и перезагрузилась) открывает страничку нормально(при отключении HTTP1.1 и SPDY в соответствии с рекомендацией https://support.cryptopr...p-40-n-ubuntu-1404-64bit ) 2. Google Chrome 52.0.2743.116 m Этот сайт не может обеспечить безопасное соединение На сайте app-tst-01.devel.med.yarcloud.ru используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH Неподдерживаемый протокол Клиент и сервер поддерживают разные версии протокола SSL или набора шифров. Скорее всего, сервер использует шифр RC4, который считается небезопасным.
2. Chromium Версия 52.0.2743.82 сборка взята из http://update.cryptopro.ru/chromium-gost/Не удается получить доступ к сайту Веб-страница по адресу https://app-tst-01.devel.med.yarcloud.ru/, возможно, временно недоступна или постоянно перемещена по новому адресу. ERR_FAILED3. CPFox 45.1.2 взятый из http://cryptopro.ru/products/cpfoxYour connection is not secure The owner of app-tst-01.devel.med.yarcloud.ru has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website. app-tst-01.devel.med.yarcloud.ru uses security technology that is outdated and vulnerable to attack. An attacker could easily reveal information which you thought to be safe. Advanced info: SSL_ERROR_NO_CYPHER_OVERLAP (Not secure) Try loading app-tst-01.devel.med.yarcloud.ru using outdated securityВ настройках (about:config) принудительно включен TLS 1.0 security.tls.version.min и security.tls.version.max в 1. Что характерно, на той же самой машине, где запущен nginx все три браузера работают... В чём может быть дело? Правильно ли я понимаю, что для корректной работы связки nginx+GOST_SSL необходимо "понижать" уровень шифрования до "устаревшего" TLSv1.0?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,390 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 714 раз в 619 постах
|
Наши продукты пока поддерживают только TLS 1.0. Этот протокол устарел только в части зарубежных наборов шифров, отличия для ГОСТ реализации TLS 1.2 будут минимальны. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC) Сообщений: 112
|
Повторюсь: на той же самой машине все три браузера работают. Настройка КриптоПро Fox в about:config network.http.version = 1.0 не помогла, ошибка та же: app-tst-01.devel.med.yarcloud.ru uses security technology that is outdated and vulnerable to attack. An attacker could easily reveal information which you thought to be safe. Advanced info: SSL_ERROR_NO_CYPHER_OVERLAP
Правильно ли я понимаю, что ошибка SSL_ERROR_NO_CYPHER_OVERLAP означает что клиент и сервер не смогли выбрать шифр, имеющийся у обоих сторон? Но почему? Ведь сборка CPFox как раз знает о таком шифре? В чём может быть дело?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC) Сообщений: 112
|
Проверили ещё на одной машине (предварительно установив КриптоПро CSP 3.9 и импортировав корневой сертификат): IE 11 - Работает Сборка Chromium - работает CPFox - нет (та же ошибка)
На Windows 8.1 под пользователем без прав администратора Chromium и CPFox не работают...
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,390 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 714 раз в 619 постах
|
Клиентский сертификат используется? Сайт доступен из internet? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC) Сообщений: 112
|
Нет, клиентский сертификат пока не используется (строки #ssl_client_certificate ca.crt; #ssl_verify_client on; закомментированы, см. вложение nginx.conf.new.txt nginx.conf.new.txt (4kb) загружен 3 раз(а).) Сайт извне, к сожалению недоступен, но попробую поднять ещё один стенд. Вот, для диагностики попробовал запустить: openssl.exe s_client -CAfile ca.crt -connect app-tst-01.devel.med.yarcloud.ru:443потом GET / HTTP/1.0 результат, как я понимаю положительный: Код:
CONNECTED(000001A4)
---
Certificate chain
0 s:/emailAddress=mkornilov@er76.ru/CN=app-tst-01.devel.med.yarcloud.ru/OU=\xD0\x93\xD0\x9E\xD0\x98\xD0\xA1/O=\xD0\x93\xD0\x91\xD0\xA3 \xD0\xAF\xD0\x9E \xD0\xAD\xD0\xBB\xD0\xB5\xD0\xBA\xD1\x82\xD1\x80\xD0\xBE\xD0\xBD\xD0\xBD\xD1\x8B\xD0\xB9 \xD1\x80\xD0\xB5\xD0\xB3\xD0\xB8\xD0\xBE\xD0\xBD/L=\xD0\xAF\xD1\x80\xD0\xBE\xD1\x81\xD0\xBB\xD0\xB0\xD0\xB2\xD0\xBB\xD1\x8C/ST=\xD0\xAF\xD1\x80\xD0\xBE\xD1\x81\xD0\xBB\xD0\xB0\xD0\xB2\xD1\x81\xD0\xBA\xD0\xB0\xD1\x8F/C=RU
i:/emailAddress=support@cryptopro.ru/C=RU/L=Moscow/O=CRYPTO-PRO LLC/CN=CRYPTO-PRO Test Center 2
---
Server certificate
-----BEGIN CERTIFICATE-----
MIID1zCCA4agAwIBAgITEgAUjucWFbLWkNNLfQAAABSO5zAIBgYqhQMCAgMwfzEj
...CUT...
3Nh1+LEz7ZZRu/FsfN/miQaEzC+tm5cYT0QJ
-----END CERTIFICATE-----
subject=/emailAddress=mkornilov@er76.ru/CN=app-tst-01.devel.med.yarcloud.ru/OU=\xD0\x93\xD0\x9E\xD0\x98\xD0\xA1/O=\xD0\x93\xD0\x91\xD0\xA3 \xD0\xAF\xD0\x9E \xD0\xAD\xD0\xBB\xD0\xB5\xD0\xBA\xD1\x82\xD1\x80\xD0\xBE\xD0\xBD\xD0\xBD\xD1\x8B\xD0\xB9 \xD1\x80\xD0\xB5\xD0\xB3\xD0\xB8\xD0\xBE\xD0\xBD/L=\xD0\xAF\xD1\x80\xD0\xBE\xD1\x81\xD0\xBB\xD0\xB0\xD0\xB2\xD0\xBB\xD1\x8C/ST=\xD0\xAF\xD1\x80\xD0\xBE\xD1\x81\xD0\xBB\xD0\xB0\xD0\xB2\xD1\x81\xD0\xBA\xD0\xB0\xD1\x8F/C=RU
issuer=/emailAddress=support@cryptopro.ru/C=RU/L=Moscow/O=CRYPTO-PRO LLC/CN=CRYPTO-PRO Test Center 2
---
No client certificate CA names sent
---
SSL handshake has read 1133 bytes and written 518 bytes
---
New, TLSv1/SSLv3, Cipher is GOST2001-GOST89-GOST89
Server public key is 512 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : GOST2001-GOST89-GOST89
Session-ID: 01BAC9902E943AD6011CF8E85B2CC4951168B7F3DC841F4DC942DFE54E2FFF1E
Session-ID-ctx:
Master-Key: 0D262D486D5653E3F115EB0F50F5CD5E9B2064B9E974413BFD1F8DFC4A326654FE58E46EE8498FCAC23987E4B41B7C93
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1472640713
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
HTTP/1.1 200 OK
Server: nginx/1.10.1
Date: Wed, 31 Aug 2016 10:52:05 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Tue, 31 May 2016 13:48:14 GMT
Connection: close
ETag: "574d961e-264"
Accept-Ranges: bytes
<!DOCTYPE html>
<html>
...
...
...
<p><em>Thank you for using nginx.</em></p>
</body>
</html>
closed
Т.е. проблема видимо либо в 8.1 либо в Касперском...
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC) Сообщений: 112
|
Вот ещё информация: Посмотрел внимательно логи подключения openssl - заметил, что в свойствах SSL-сессии выходит Protocol : TLSv1.2Добавил в nginx.conf строчку в соответствии с инструкцией https://www.cryptopro.ru....aspx?g=posts&t=8733ssl_protocols TLSv1;openssl подключается успешно, значит проблема не в касперском и не в Windows 8 а именно в CryptoPro Fox: Вот такую ошибку выдаёт: Вот настройки TLS:
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC) Сообщений: 112
|
Вот ещё настройки:
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,390 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 714 раз в 619 постах
|
С Касперским точно были проблемы с нашим хромиумом. Может и до firefox добрались - попробуйте удалить его. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC) Сообщений: 112
|
Нет на машинах без касперского (и какого либо антивируса вообще) та же самая ошибка. Что вообще означает код - SSL_ERROR_NO_CYPHER_OVERLAP ? - даже на официальном форуме не удалось найти расшифровку. Повторюсь - IE11 и Сборка Chromium работают. На той же машине где nginx сборка Firefox (и версии 45.2.1 и 3.6.11) тоже работают. На остальных - нет
Кроме как Wireshark-ом чем ещё можно посмотреть протокол работы?
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close