Здравствуйте!
Итак, ситуация.
Не работает личный кабинет налогоплательщика (юридического лица).
Фото для наглядности.
Image00003.jpg
(213kb) загружен 23 раз(а). Image00005.jpg
(218kb) загружен 17 раз(а).Совсем можно сказать на днях всем известный сайт nalog.ru получил для своего личного кабинета новенький сертификат, в свойствах которого значится алгоритм подписи "ГОСТ Р 34.11-2012/34.10-2012 256 бит". Получил он его в УЦ Минкомсвязи России, корневой сертификат которого, разумеется, имеет тот же алгоритм.
Не буду долго останавливаться на том, что ФНС не потрудились выложить этот корневой сертификат у себя на сайте в сколько-нибудь доступном месте, по крайней мере настолько, чтобы я его там нашел. Скажу только, что выудить цепочку сертификатов было не слишком то просто.
И вот смотрю я на сертификат Минкомсвязи в лыжи обутый: на нем красным по белому написано: "Целостность этого сертификата не гарантирована <...>"
Опять же фото для наглядности.
Image00004.jpg
(559kb) загружен 17 раз(а).Если коротко, то проблема в том, как Windows + КриптоПро CSP проверяет подлинность сертификатов.
На счастье на этом компьютере так же установлена Код Безопасности CSP (спасибо родному Казначейству за зоопарк криптографического ПО). Потому что именно её я начал сначала винить в проблеме и именно в эту сторону копать. Но в итоге имеем, что, наоборот, необходимо передоверить проверку ЭП альтернативной CSP. Благо, это оказалось возможно.
Для этого в ветке реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo\1.2.643.7.1.1.3.2!4] я нашел соответствующий ключ ExtraInfo, переименовал его, а на его месте создал такой же ExtraInfo, но со значением, относящимся к алгоритму GOSTR34102012A - тот же самый на самом деле гост, но реализованный в другой CSP.
Соответственно значение есть на фото (34 2e 00 00 00 00 00 00 5a 00 00 00). Ключ Algid2 лишний, не обращайте внимания.
Image00001.jpg
(338kb) загружен 16 раз(а). Итог: после перезагрузки кабинет налогоплательщика заработал, сертификат стал отображаться как корректный, ЭП создается и проверяется нормально.
А, да, ЛК все равно не работает на стороне сервера, какая досада.
Image00006.jpg
(285kb) загружен 7 раз(а).Важно: это не решение проблемы, это голимый костыль, которым я вполне вероятно могу нажить себе много неявных проблем. И не факт что он подходит кому-то кроме меня.
На всякий случай вот версии использованного ПО.
Image00002.jpg
(435kb) загружен 7 раз(а).На всякий случай хочу отметить, что проблема повторяемая - она точно так же возникла на ПК для отчетности, на котором есть КриптоПро (аналогичной или чуть более ранней версии) но нет абсолютно ничего лишнего, что могло бы сломать проверку ЭП. На обоих ПК до нового года ЛК открывался без проблем.
И поэтому основной вопрос:
Кто виноват? Т.е. почему КриптоПро CSP не хочет устанавливать подлинность подписи, сделанной указанным алгоритмом - это баг? Или проблема с моей стороны? Если да, что делать? ПК со сложной конфигурацией ПО в расчет не беру, хотя бы в самом простом случае.
p.s. Нормальные скриншоты приложить не могу, так как возможности скопировать данные с этих ПК нет. Сертификат Минкомсвязи (с/н 4e6d478b26f27d657f768e025ce3d393) доступен в том числе здесь:
http://pravo.gov.ru/uc/resourses_uc.html_UPD_
Сегодня проверил еще на одном компьютере, но в другой организации. Там после установки нового корневого сертификата все заработало.
Заодно выяснил, что корневой сертификат можно скачать со страницы "посмотреть требования и проверить их выполнение", не знаю как я вчера его там проглядел.
Отредактировано пользователем 16 января 2019 г. 12:37:34(UTC)
| Причина: Не указана
