Chromium + ГОСТ- Page 18

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

158 Страницы«<16 171819 20 >»

Chromium + ГОСТ

Опции

Предыдущая тема Следующая тема

Harmattan		#171 Оставлено : 12 августа 2018 г. 11:02:55(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 30.07.2018(UTC) Сообщений: 13 Откуда: Киров Сказал(а) «Спасибо»: 7 раз Поблагодарили: 2 раз в 2 постах		Автор: basid Автор: Harmattan P.S. На Windows 10 соединение доверенное, а на lubuntu x64 нет. Корневые сертификаты стоят: Списки отзывов установлены на обоих системах? Обновляются? Специально ничего не ставил ни на Windows, ни на lubuntu. Код: user@virtualbox-lubuntu:~$ /opt/cprocsp/bin/amd64/certmgr -list -store mroot Certmgr 1.1 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores ============================================================================= 1------- Issuer : E=uc_fk@roskazna.ru, S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET="улица Ильинка, дом 7", L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство Subject : INN=007710568760, OGRN=1047797019830, STREET="ул. Проспект Мира, 105", E=777@roskazna.ru, C=RU, S=г. Москва, L=Москва, O=Федеральное казначейство, CN=zakupki.gov.ru Serial : 0x6F064FA71C24CD7E2CE6FAAEA927D8C7EC69A35F SHA1 Hash : c369b560ce239beddb2fc12b4884dee1cfc923aa SubjKeyID : 10c6d12e7cd886d022bcdfea4cbe10e32acf82bc Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 21/12/2017 06:06:33 UTC Not valid after : 21/03/2019 06:06:33 UTC PrivateKey Link : No CDP : http://crl.roskazna.ru/crl/ucfk.crl CDP : http://crl.fsfk.local/crl/ucfk.crl Extended Key Usage : 1.3.6.1.5.5.7.3.1 2------- Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2 Subject : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2 Serial : 0x2B6E3351FD6EB2AD48200203CB5BA141 SHA1 Hash : 046255290b0eb1cdd1797d9ab8c81f699e3687f3 SubjKeyID : 15317cb08d1ade66d7159c4952971724b9017a83 Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 05/08/2014 13:44:24 UTC Not valid after : 05/08/2019 13:54:03 UTC PrivateKey Link : No 3------- Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр Subject : E=uc_fk@roskazna.ru, S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET="улица Ильинка, дом 7", L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство Serial : 0x36ACD45500000000012F SHA1 Hash : 48b19fb33bb637c88a54d19650730b67e42db121 SubjKeyID : 165591a65158c4892c6b515bd285190a01444822 Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 04/07/2017 14:19:17 UTC Not valid after : 04/07/2027 14:19:17 UTC PrivateKey Link : No CDP : http://rostelecom.ru/cdp/guc.crl CDP : http://reestr-pki.ru/cdp/guc.crl 4------- Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр Subject : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр Serial : 0x34681E40CB41EF33A9A0B7C876929A29 SHA1 Hash : 8cae88bbfd404a7a53630864f9033606e1dc45e2 SubjKeyID : 8b983b891851e8ef9c0278b8eac8d420b255c95d Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 20/07/2012 12:31:14 UTC Not valid after : 17/07/2027 12:31:14 UTC PrivateKey Link : No ============================================================================= [ErrorCode: 0x00000000] CDP : http://crl.roskazna.ru/crl/ucfk.crl CDP : http://crl.fsfk.local/crl/ucfk.crl CDP : http://rostelecom.ru/cdp/guc.crl CDP : http://reestr-pki.ru/cdp/guc.crl Скачиваю все: Код: user@virtualbox-lubuntu:~$ wget http://crl.roskazna.ru/crl/ucfk.crl --2018-08-12 10:56:48-- http://crl.roskazna.ru/crl/ucfk.crl Распознаётся crl.roskazna.ru (crl.roskazna.ru)... 31.173.58.185 Подключение к crl.roskazna.ru (crl.roskazna.ru)\|31.173.58.185\|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 200 OK Длина: 2608276 (2,5M) [application/pkix-crl] Сохранение в каталог: ««ucfk.crl»». ucfk.crl 100%[===================>] 2,49M 413KB/s in 6,3s 2018-08-12 10:56:59 (407 KB/s) - «ucfk.crl» сохранён [2608276/2608276] user@virtualbox-lubuntu:~$ wget http://crl.fsfk.local/crl/ucfk.crl --2018-08-12 10:57:03-- http://crl.fsfk.local/crl/ucfk.crl Распознаётся crl.fsfk.local (crl.fsfk.local)... ошибка: Имя или служба не известны. wget: не удаётся разрешить адрес «crl.fsfk.local» user@virtualbox-lubuntu:~$ wget http://rostelecom.ru/cdp/guc.crl --2018-08-12 10:57:10-- http://rostelecom.ru/cdp/guc.crl Распознаётся rostelecom.ru (rostelecom.ru)... 109.207.14.3 Подключение к rostelecom.ru (rostelecom.ru)\|109.207.14.3\|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 200 OK Длина: 1881 (1,8K) [application/octet-stream] Сохранение в каталог: ««guc.crl»». guc.crl 100%[===================>] 1,84K --.-KB/s in 0s 2018-08-12 10:57:11 (128 MB/s) - «guc.crl» сохранён [1881/1881] user@virtualbox-lubuntu:~$ wget http://reestr-pki.ru/cdp/guc.crl --2018-08-12 10:57:18-- http://reestr-pki.ru/cdp/guc.crl Распознаётся reestr-pki.ru (reestr-pki.ru)... 185.194.32.242 Подключение к reestr-pki.ru (reestr-pki.ru)\|185.194.32.242\|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 200 OK Длина: 1881 (1,8K) [application/pkix-crl] Сохранение в каталог: ««guc.crl.1»». guc.crl.1 100%[===================>] 1,84K --.-KB/s in 0s 2018-08-12 10:57:18 (139 MB/s) - «guc.crl.1» сохранён [1881/1881] Пытаюсь ставить в mroot: Код: user@virtualbox-lubuntu:~$ sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mroot -file /home/user/guc.crl [sudo] пароль для user: Certmgr 1.1 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores Invalid data in file /home/user/guc.crl �� . [ErrorCode: 0x80092003] user@virtualbox-lubuntu:~$ sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mroot -file /home/user/guc2.crl Certmgr 1.1 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores Invalid data in file /home/user/guc2.crl �� . [ErrorCode: 0x80092003] user@virtualbox-lubuntu:~$ sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mroot -file /home/user/ucfk.crl Certmgr 1.1 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores Invalid data in file /home/user/ucfk.crl �� . [ErrorCode: 0x80092003] Со страницы отозванных сертификатов казначейства качаются тоже неимпортируемые: http://crl.roskazna.ru/


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#172 Оставлено : 12 августа 2018 г. 13:12:56(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,098 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 151 раз в 136 постах		Автор: Harmattan Пытаюсь ставить в mroot: А подумать? В иерархии ГУЦ в корневых находится только сам ГУЦ. Сейчас у ГУЦ два таких сертификата - для ГОСТ-2001 и ГОСТ-2012. Всё остальное, включая сертификаты аккредитованных УЦ, сертификаты ИС# ГУЦ и списки отзыва устанавливается в промежуточные (ca). P.S. Да, я в курсе, что у аккредитованных УЦ есть корневые сертификаты, которые устанавливаются в root, но их требуется всё меньше и меньше.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Harmattan		#173 Оставлено : 12 августа 2018 г. 14:15:10(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 30.07.2018(UTC) Сообщений: 13 Откуда: Киров Сказал(а) «Спасибо»: 7 раз Поблагодарили: 2 раз в 2 постах		Автор: basid Всё остальное, включая сертификаты аккредитованных УЦ, сертификаты ИС# ГУЦ и списки отзыва устанавливается в промежуточные (ca). Код: user@virtualbox-lubuntu:~$ sudo /opt/cprocsp/bin/amd64/certmgr -inst -store ca -file /home/user/guc.crl [sudo] пароль для user: Certmgr 1.1 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores WARNING: Legacy parameter: "-store ca" Invalid data in file /home/user/guc.crl �� . [ErrorCode: 0x80092003] user@virtualbox-lubuntu:~$ sudo /opt/cprocsp/bin/amd64/certmgr -inst -store ca -file /home/user/guc2.crl Certmgr 1.1 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores WARNING: Legacy parameter: "-store ca" Invalid data in file /home/user/guc2.crl �� . [ErrorCode: 0x80092003] user@virtualbox-lubuntu:~$ sudo /opt/cprocsp/bin/amd64/certmgr -inst -store ca -file /home/user/ucfk.crl Certmgr 1.1 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores WARNING: Legacy parameter: "-store ca" Invalid data in file /home/user/ucfk.crl �� . [ErrorCode: 0x80092003]


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#174 Оставлено : 12 августа 2018 г. 18:45:36(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,098 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 151 раз в 136 постах		Автор: Harmattan ... ЖТЯИ.00088-01 93 01. КриптоПро CSP. Приложение командной строки ... -cert Работать с сертификатом (значение по умолчанию). -crl Работать со списком отзыва сертификатов вместо сертификата. P.S. "Если ничего не помогает - прочтите, наконец, инструкцию".


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Дмитрий Пичулин		#175 Оставлено : 12 августа 2018 г. 23:34:55(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах		Автор: basid Автор: Harmattan ... ЖТЯИ.00088-01 93 01. КриптоПро CSP. Приложение командной строки ... -cert Работать с сертификатом (значение по умолчанию). -crl Работать со списком отзыва сертификатов вместо сертификата. P.S. "Если ничего не помогает - прочтите, наконец, инструкцию". Ошибка реально есть, проверено, не связано с доверием, при прочих равных на Unix всё равно ERR_CERT_COMMON_NAME_INVALID. Значит на Unix есть дополнительный код для этой проверки, которого нет для Windows, и это мы вылечим.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#176 Оставлено : 13 августа 2018 г. 5:59:10(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,098 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 151 раз в 136 постах		Дело не в ошибке - есть и есть. Всяко бывает. Дело в подходе - фигачится пачка команд и ... Всё. Ни тебе проделать по шагам и проанализировать каждый, ни документацию прочесть ...


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Дмитрий Пичулин		#177 Оставлено : 13 августа 2018 г. 19:19:46(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,496 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 466 раз в 333 постах		Автор: Дмитрий Пичулин Ошибка реально есть, проверено, не связано с доверием, при прочих равных на Unix всё равно ERR_CERT_COMMON_NAME_INVALID. Значит на Unix есть дополнительный код для этой проверки, которого нет для Windows, и это мы вылечим. Выяснилось, что никакого дополнительного кода нет и ошибка касается не всех сайтов, а именно zakupki.gov.ru. Оказалось, что в сертификате сайта zakupki.gov.ru всё таки присутствует subjectAltName с URL-ID, но он равен "0", что в соответствии со строгой проверкой по RFC 6125, трактуется как наличие поля URL-ID, поэтому сопоставление с CN запрещается. Чтобы всё таки увидеть зелёный свет в поле с адресом zakupki.gov.ru придётся отключить строгий режим на уровне CSP на Unix-системах. Отключение строгой проверки по RFC 6125 на Linux: Код: `sudo /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\Parameters" -add bool "Rfc6125_NotStrict_ServerName_Check" true` Отключение строгой проверки по RFC 6125 на MacOS: Код: `sudo /opt/cprocsp/sbin/cpconfig -ini "\config\Parameters" -add bool "Rfc6125_NotStrict_ServerName_Check" true` Отредактировано пользователем 13 августа 2018 г. 19:20:21(UTC) \| Причина: Не указана
		Знания в базе знаний, поддержка в техподдержке
		WWW
2 пользователей поблагодарили pd за этот пост.		Harmattan оставлено 13.08.2018(UTC), nickm оставлено 13.08.2018(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Harmattan		#178 Оставлено : 13 августа 2018 г. 19:46:37(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 30.07.2018(UTC) Сообщений: 13 Откуда: Киров Сказал(а) «Спасибо»: 7 раз Поблагодарили: 2 раз в 2 постах		Автор: Дмитрий Пичулин Отключение строгой проверки по RFC 6125 на Linux: Код: `sudo /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\Parameters" -add bool "Rfc6125_NotStrict_ServerName_Check" true` Спасибо. Теперь всё отлично.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#179 Оставлено : 14 августа 2018 г. 6:25:31(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,098 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 151 раз в 136 постах		Автор: Дмитрий Пичулин Оказалось, что в сертификате сайта zakupki.gov.ru всё таки присутствует subjectAltName с URL-ID, но он равен "0" Тогда, вероятно, есть ошибка в сообщении по "F12 -> Security", т.к. SAN не "missing", а "not match site URL". Или как?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#180 Оставлено : 14 августа 2018 г. 8:13:19(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 395 раз в 366 постах		Я очень благодарен, что разработчики в этой теме все же прислушались к пользователям, однако предчувствую рано или поздно к этому еще вернется разговор, RFC никуда не делся. Поэтому все же адресую вопрос про "корректный MiTM". Автор: basid Автор: two_oceans Если действительно доверяем УЦ, то непонятно зачем потом сертификат под микроскопом разглядывать и создавать себе лишнюю работу. Вас немного не туда заносит. RFC2818 - про соответствие полей сертификата сервера и полей HTTP-запроса. "Наглое поведение разработчиков хрома" - некорректная интерпретация этого сАмого RFC этими самыми разработчиками. Делать "корректный MiTM" RFC2818 не мешает - у меня включена проверка шифрованного трафика антивирусом, поэтому я "несколько в теме" Может быть и "немного не туда заносит", согласен. У меня тоже была включена проверка трафика антивирусом, но антивирус на половину сертификатов сайтов начал ругаться как на недоверенные (в том числе сайты самого произодителя антивируса), потому пришлось отключить проверку - вероятно тоже была внедрена проверка SAN в антивирусе. Для "корректный MiTM" Вы или антивирус добавили сертификат антивируса в список доверенных УЦ ОС или браузера? Если да, противоречия с моим предыдущим постом не вижу - так как "корректный MiTM" произведен с Вашего согласия и цепочка сертификатов не нарушена, заменен "доверенный" УЦ. И браузер никак не может эту проблему обнаружить и адресовать, не обращаясь к альтернативному списку доверенных УЦ. Моя мысль в ключе - не нужно пытаться обнаружить принципиально необнаружимые проблемы. В целом, с моей точки зрения, сопоставление CN/SAN с HTTP было нужно когда УЦ не гарантировал соответствие владельца сертификата и владельца сайта. Однако времена изменились - появились политики DV OV EV, которые опираются на проверку УЦ владельца домена по DNS, при этом браузер при проверке опирается на тот же DNS/hosts, доверяет безусловно прокси-серверам, ничего не может сделать с перехватом соединения антивирусом или изменением маршрута сети. Браузер сможет проверить только последний отрезок зашифрованного соединения, а доходит ли этот отрезок до сервера - огромный вопрос. Сопоставление CN/SAN с HTTP браузером совершенно не отвечает на этот вопрос. Подкину для размышления разработчикам браузеров еще идею: для сертификатов ГОСТ автоматически считать совпадение ОГРН в сертификате сайта и ОГРН в сертификате УЦ (не корневого, а последнего в цепочке перед сертификатом сайта) как аналог пройденных проверок на EV и соответствие имени сайта. Это разом решит проблемы с сертификатами большинства госсайтов и позволит отображать имя ведомства в адресную строку. Отредактировано пользователем 14 августа 2018 г. 8:15:45(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (8)

158 Страницы«<16 171819 20 >»

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close