Статус: Участник
Группы: Участники
Зарегистрирован: 15.12.2010(UTC)
Сообщений: 13
Откуда: Новый Уренгой
|
Добрый день.
Дано: Есть AstraLinux 1.7.3 в которой установлен Chromium-Gost (106.0.5249.12).
Вопрос: поддерживает ли Chromium-Gost работу с TLS 1.1?
Если поддерживает и необходимо, то как включить/разрешить?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,479
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 33 раз
Поблагодарили: 440 раз в 321 постах
|
Автор: DenRassk  Добрый день.
Дано: Есть AstraLinux 1.7.3 в которой установлен Chromium-Gost (106.0.5249.12).
Вопрос: поддерживает ли Chromium-Gost работу с TLS 1.1?
Если поддерживает и необходимо, то как включить/разрешить? Можно форсировать работу стэка протоколов КриптоПро CSP опцией --tlsmode=1, потом где-то узнать все параметры TLS доступные через реестр, например такие: https://www.cryptopro.ru...ts&m=97650#post97650По умолчанию на клиентской стороне в случае TLS ГОСТ обычно работали все протоколы, начиная с TLS 1.0. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 21.02.2023(UTC) Сообщений: 5  Поблагодарили: 2 раз в 1 постах
|
Доброго всем дня! Столкнулся с проблемой долгой загрузки браузера Chromium-Gost под Windows рабочими станциями, обновлял версии иногда помогало но всё равно тормозило. Установил другой браузер зарегистрированный в реестре российского ПО. Тоже хватило не надолго, также начал тормозить. У всех одна особенность поддержка Российской Криптографии. Все закончилось полным отсутствием работы всех браузеров с поддержкой Российской криптографии, не могли загрузиться. Ненадолго помогало удаление профиля браузера у пользователя. Встроенный браузер EDGE (на chromium) работал как ни в чем не бывало. На всех компьютерах установлен скрипт скачивающий и обновляющий сертификаты и списки отзывов для работы бюджетной организации, в части установки такой: Код:path C:\Windows\System32
certutil -f -user -addstore root %temp%\ROOT_GUC_2022.cer
certutil -f -user -addstore root %temp%\ROOT_GUC_GOT2012.crt
certutil -f -user -addstore root %temp%\ROOT_GUC.crt
certutil -f -user -addstore root %temp%\ROOT_FC.cer
certutil -f -user -addstore root %temp%\ROOT_MKS.cer
certutil -f -user -addstore ca %temp%\CA_UC_FK_GOST_2012.crt
certutil -f -user -addstore ca %temp%\CA_UC_FK_2017.crt
certutil -f -user -addstore ca %temp%\CA_UC_FK_2020.crt
certutil -f -user -addstore ca %temp%\CA_UC_FK_2021.crt
certutil -f -user -addstore ca %temp%\CA_UC_FK_2022.crt
certutil -f -user -addstore ca %temp%\guc.crl
certutil -f -user -addstore ca %temp%\guc2022.crl
certutil -f -user -addstore ca %temp%\ucfk.crl
certutil -f -user -addstore ca %temp%\guc_gost12.crl
certutil -f -user -addstore ca %temp%\ucfk_gost12.crl
certutil -f -user -addstore ca %temp%\ucfk_2020.crl
certutil -f -user -addstore ca %temp%\ucfk_2021.crl
certutil -f -user -addstore ca %temp%\ucfk_2022.crl
Потратил немало времени но обнаружил что у пользователей большой файл %userprofile%\NTUSER.DAT, и покопавшись в реестре в разделе HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates\CA\CRLs находится огромный объем данных, выгрузка куста составляла у некоторых пользователей до 4 ГБ. Почистив данный раздел от всех сертификатов заметил явное улучшение работоспособности всех браузеров с поддержкой Российской криптографии. Вследствие вышеизложенного добавил в скрипт до установки сертификатов и списков отзывов: Код:REG DELETE HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates\CA\CRLs /f
Раздел CRLs пересоздается при установке списков отзывов. Насколько правильные мои действия? Может кому данное решение поможет.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,383  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 35 раз
Поблагодарили: 712 раз в 617 постах
|
Интересно, откуда там взялись эти CRL? Может другой ваш скрипт? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 21.02.2023(UTC) Сообщений: 5 Поблагодарили: 2 раз в 1 постах
|
CRL Скачиваются powershell Код:Invoke-WebRequest http://crl.roskazna.ru/cdp/guc.crl -OutFile guc.crl
Invoke-WebRequest http://crl.roskazna.ru/cdp/guc2022.crl -OutFile guc2022.crl
Invoke-WebRequest http://crl.roskazna.ru/crl/ucfk.crl -OutFile ucfk.crl
Invoke-WebRequest http://crl.roskazna.ru/cdp/guc_gost12.crl -OutFile guc_gost12.crl
Invoke-WebRequest http://crl.roskazna.ru/crl/ucfk_gost12.crl -OutFile ucfk_gost12.crl
Invoke-WebRequest http://crl.roskazna.ru/crl/ucfk_2020.crl -OutFile ucfk_2020.crl
Invoke-WebRequest http://crl.roskazna.ru/crl/ucfk_2021.crl -OutFile ucfk_2021.crl
Invoke-WebRequest http://crl.roskazna.ru/crl/ucfk_2022.crl -OutFile ucfk_2022.crl
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,383 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 35 раз
Поблагодарили: 712 раз в 617 постах
|
У устанавливаются?
У вас старые CRL судя по всему не удалялись.
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 21.02.2023(UTC) Сообщений: 5 Поблагодарили: 2 раз в 1 постах
|
Да конечно, старые не удалялись, для скрипта установки использовал то, что смог найти на просторах Интернет. Нигде было указано, что списки отзывов не обновляются при такой установке CRL. Выходит новые CRL накладываются на старые CRL и из этого растёт куст в реестре? Странное поведение. Сертификаты при таком добавлении выводят сообщение, что сертификат уже есть в системе. Не пытается новый добавить. Удаление CRL сертификата можно сделать только по ID, или ещё как-то иначе: Код:certutil -user -delstore ca D2DA3EF7E12123F076C12C99F0B9078578D753C6
certutil -user -delstore ca 2245E40EE0B4AD53D18A43D7F6A1ADB43D7D3F18
certutil -user -delstore ca 63C1C092C00D2CB89C36A83AAA196B13B56726E1
certutil -user -delstore ca 8CAD764431EE76ACD963C686DCC6EC9D9C7FDE28
certutil -user -delstore ca A4A87A45329790A4830010E3847FCC49DBB6B9A1
certutil -user -delstore ca ABBE66D8C5CEA5A9C4061720AA617A542B136DC9
certutil -user -delstore ca C6F0F1E9991D220A3DB95A7FE3E3809A5BE7CE74
certutil -user -delstore ca E1815C4A3F181E384294BC45DFD1A9F1584CA85A
И только потом устанавливать обновленные CRL: Код:certutil -f -user -addstore ca %temp%\guc.crl
certutil -f -user -addstore ca %temp%\guc2022.crl
certutil -f -user -addstore ca %temp%\ucfk.crl
certutil -f -user -addstore ca %temp%\guc_gost12.crl
certutil -f -user -addstore ca %temp%\ucfk_gost12.crl
certutil -f -user -addstore ca %temp%\ucfk_2020.crl
certutil -f -user -addstore ca %temp%\ucfk_2021.crl
certutil -f -user -addstore ca %temp%\ucfk_2022.crl
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,383 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 35 раз
Поблагодарили: 712 раз в 617 постах
|
Сертификаты совпадают, а CRL каждый раз новые. Проще удалить все, а потом устанавливать. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 21.02.2023(UTC) Сообщений: 5 Поблагодарили: 2 раз в 1 постах
|
Этот вариант выносит все CRL у пользователя, опасного в этом ничего нет?: Код:REG DELETE HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates\CA\CRLs /f
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,383 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 35 раз
Поблагодарили: 712 раз в 617 постах
|
Предположу, что нет. Обычно CRL скачиваются автоматически и не устанавливаются в это хранилище. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
