Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

156 Страницы«<2122232425>»
Опции
К последнему сообщению К первому непрочитанному
Offline x09  
#221 Оставлено : 18 декабря 2018 г. 7:38:45(UTC)
x09

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Автор: two_oceans Перейти к цитате
Цитата:
т.е. проблема может быть на стороне сервера, а не клиента?
Проблема скорее на клиенте.

Просто в ряде случаев проблемы на клиенте с построением цепочки могут быть из-за конфликта сертификатов УЦ. Например, есть другой действительный сертификат этого же удостоверяющего центра и издатель в конечном сертификате в точности совпадает с полем субъект в сертификате этого УЦ, но значение идентификатора ключа УЦ отличается. Пусть при этом верного сертификата УЦ у клиента не установлено. В этом случае при построении цепочки некоторыми программами может быть проигнорировано отличие идентификатора ключа и построена неверная цепочка к совсем другому корневому сертификату. На человеческий взгляд это практически неотличимо пока не сравните идентификаторы ключей. Далее цифровая подпись конечного сертификата будет считаться неверной при проверке ключом УЦ из другого сертификата УЦ и конечный сертификат будет считаться поврежденным. Это очень актуальная проблема если Вы несколько лет пользуетесь сертификатами одного и того же УЦ и у клиентов множество "прошлогодних" сертификатов этого УЦ (выдаются они дольше чем на 1 год и еще действуют), но нет "свежего" сертификата.

Указание всех промежуточных сертификатом самим сервером значительно ослабляет проблему построения неверной цепочки для сертификата сервера. Обратите внимание, что для наилучшего эффекта промежуточные сертификаты не просто должны передаваться сервером по отдельности, а должны быть расположены по порядку и уже связаны в цепочку. Полностью проблема не снимается, так как корневой сертификат должен быть установлен у клиента и в связи промежуточного сертификата с корневым также возможна аналогичная ошибка, но в целом указание промежуточных сертификатов сервером стабилизирует построение цепочек клиентами.


Ух ты ж.. я мало что понял, но покажу картинку. Это какие сертификаты есть у меня и какая ошибка. Никаких старых нет. Что делать, непонятно.

2018-12-18_09-36.png (131kb) загружен 31 раз(а).
Offline two_oceans  
#222 Оставлено : 18 декабря 2018 г. 10:02:49(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Итак, зашел на сайт по адресу из скриншота, выдало ошибку, просмотрел сертификат, нашел ссылку на сертификат промежуточного УЦ и посмотрел цепочку сертификатов. Итак, смотрим:
1) Головной удостоверяющий центр - идентификатор ключа субъекта (SubjectKeyID на Вашем скриншоте из позапрошлого поста) 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d - на скриншотах он присутствует.
2) ГКУ ТО "ЦИТТО" - идентификатор ключа субъекта 45 38 78 29 52 e3 aa 4e 11 d0 23 86 ff 8c 4f a6 8b 15 83 b4 - на скриншоте Криптопро он отсутствует, но что-то присутствует на последнем скриншоте хотя не видно ни одного идентификатора чтобы сверить тот же самый или нет. Идентификатор ключа УЦ - 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d, совпадает с Головной удостоверяющий центр. Сертификат 2018 года. Скачал его с https://citto.ru/subsections/2 "Корневой сертификат 2018 (cer)" и установил в промежуточные удостоверяющие центры. Отпечаток SHA-1: ‎75 d7 db f7 3f 8f 28 7e 53 9c d4 29 24 ff 48 f7 da 8d dd d1.
3) *.admtyumen.ru - Идентификатор ключа УЦ - 45 38 78 29 52 e3 aa 4e 11 d0 23 86 ff 8c 4f a6 8b 15 83 b4 совпадает с ГКУ ТО "ЦИТТО". Правильная цепочка построена. На мой взгляд в последнем не хватает нескольких оидов для всевозможных использований сайта, но на госуслуги вроде бы и так переходит, а после авторизации выдает "Вы не зарегистрированы в ППУ".

В тоже время у Вас на скриншоте есть самоподписанный сертификат ГКУ ТО Центр информационных технологий Тюменской области 2015 года и сертификат выданный ГКУ ТО Центр информационных технологий Тюменской области - Головным удостоверяющим центром через УЦ 1 ИС ГУЦ 2016 года. Оба сертификата с отличающимися идентификаторами ключа субъекта. В итоге, как раз вышеописанная мной ситуация когда есть 2 "прошлогодних" сертификата, но нет "свежего". Правда в этом случае наименование прошлогодних и свежего не совпадает, так что цепочка не строится вообще. Как видите все достаточно просто, нужно выбрать правильный промежуточный сертификат и установить его.

Отредактировано пользователем 18 декабря 2018 г. 12:05:21(UTC)  | Причина: Не указана

Offline x09  
#223 Оставлено : 18 декабря 2018 г. 10:47:25(UTC)
x09

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Автор: two_oceans Перейти к цитате
Итак, зашел на сайт по адресу из скриншота, выдало ошибку, просмотрел сертификат, нашел ссылку на сертификат промежуточного УЦ и посмотрел цепочку сертификатов. Итак, смотрим:
1) Головной удостоверяющий центр - идентификатор ключа субъекта (SubjectKeyID на Вашем скриншоте из позапрошлого поста) 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d - на скриншотах он присутствует.
2) ГКУ ТО "ЦИТТО" - идентификатор ключа субъекта 45 38 78 29 52 e3 aa 4e 11 d0 23 86 ff 8c 4f a6 8b 15 83 b4 - на скриншоте Криптопро он отсутствует, но что-то присутствует на последнем скриншоте хотя не видно ни одного идентификатора чтобы сверить тот же самый или нет. Идентификатор ключа УЦ - 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d, совпадает с Головной удостоверяющий центр. Сертификат 2018 года. Скачал его с https://citto.ru/subsections/2 "Корневой сертификат 2018 (cer)" и установил в промежуточные удостоверяющие центры. Отпечаток SHA-1: ‎75 d7 db f7 3f 8f 28 7e 53 9c d4 29 24 ff 48 f7 da 8d dd d1.
3) *.admtyumen.ru - Идентификатор ключа УЦ - 45 38 78 29 52 e3 aa 4e 11 d0 23 86 ff 8c 4f a6 8b 15 83 b4 совпадает с ГКУ ТО "ЦИТТО". Правильная цепочка построена. На мой взгляд в последнем не хватает нескольких оидов для всевозможных использований сайта, но на госуслуги вроде бы и так переходит, а после авторизации выдает "Вы не зарегистрированы в ППУ".

В тоже время у Вас на скриншоте есть самоподписанный сертификат ГКУ ТО Центр информационных технологий Тюменской области 2015 года и сертификат выданный ГКУ ТО Центр информационных технологий Тюменской области - Головным удостоверяющим центром через УЦ 1 ИС ГУЦ 2016 года. Оба сертификата с отличающимися идентификаторами ключа субъекта. В итоге, как раз вышеописанный мной ситуация когда есть 2 "прошлогодних" сертификата, но нет "свежего". Правда в этом случае наименование прошлогодних и свежего не совпадает, так что цепочка не строится вообще. Как видите все достаточно просто, нужно выбрать правильный промежуточный сертификат и установить его.


Вроде завелось у меня.. действительно сертификата не хватало ((
Offline x09  
#224 Оставлено : 26 декабря 2018 г. 7:51:01(UTC)
x09

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
А есть возможность выкладывать srpm ?
Offline Дмитрий Пичулин  
#225 Оставлено : 26 декабря 2018 г. 10:41:09(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: x09 Перейти к цитате
А есть возможность выкладывать srpm ?

Зачем? Все исходники известно где.

Плюс, если в оригинальном репозитории Chromium-а нет такого типа сборки, то точно нет.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#226 Оставлено : 1 февраля 2019 г. 13:32:08(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Знания в базе знаний, поддержка в техподдержке
Offline den_denisov  
#227 Оставлено : 6 февраля 2019 г. 21:18:25(UTC)
den_denisov

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.02.2019(UTC)
Сообщений: 2
Мужчина
Российская Федерация

Добрый день. Есть ли возможность собрать 32 битную версию chromium-gost? Пробовал сам, но что-то совсем не смог разобраться в этом.
Offline Дмитрий Пичулин  
#228 Оставлено : 6 февраля 2019 г. 22:50:31(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: den_denisov Перейти к цитате
Добрый день. Есть ли возможность собрать 32 битную версию chromium-gost? Пробовал сам, но что-то совсем не смог разобраться в этом.

Что за система, где это может быть востребовано?

Для windows у нас 32-битная сборка.
Знания в базе знаний, поддержка в техподдержке
Offline den_denisov  
#229 Оставлено : 7 февраля 2019 г. 6:54:14(UTC)
den_denisov

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.02.2019(UTC)
Сообщений: 2
Мужчина
Российская Федерация

Автор: Дмитрий Пичулин Перейти к цитате
Автор: den_denisov Перейти к цитате
Добрый день. Есть ли возможность собрать 32 битную версию chromium-gost? Пробовал сам, но что-то совсем не смог разобраться в этом.

Что за система, где это может быть востребовано?

Для windows у нас 32-битная сборка.


Linux Ubuntu 14.04, на работе ноутбук старый и только 32 битная ОС встает.
Offline Дмитрий Пичулин  
#230 Оставлено : 7 февраля 2019 г. 11:24:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: den_denisov Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: den_denisov Перейти к цитате
Добрый день. Есть ли возможность собрать 32 битную версию chromium-gost? Пробовал сам, но что-то совсем не смог разобраться в этом.

Что за система, где это может быть востребовано?

Для windows у нас 32-битная сборка.


Linux Ubuntu 14.04, на работе ноутбук старый и только 32 битная ОС встает.

Ставьте 32-битную Windows ;)

Или всё таки вариант собрать самостоятельно.

Пока не доказана массовая необходимость 386, chromium-gost для Unix будет только amd64.

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
156 Страницы«<2122232425>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.