Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Icon
Error
2 Страницы<12
Не качаются списки отзыва
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline nickm  
#11 Оставлено : 9 декабря 2024 г. 8:17:41(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,654

Сказал(а) «Спасибо»: 613 раз
Поблагодарили: 458 раз в 432 постах
Автор: Aleks1209 Перейти к цитате
Все равно браузер ругается, что нет механизма отзыва.

В системном логе ошибки те же?

Автор: Aleks1209 Перейти к цитате
Подскажите пожалуйста, что еще можно сделать?

Попробовать использовать для указания прокси системные переменные. Или система многопользовательская?
Вверх
thanks 1 пользователь поблагодарил nickm за этот пост.
Aleks1209 оставлено 10.12.2024(UTC)
Offline basid  
#12 Оставлено : 9 декабря 2024 г. 9:02:10(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,124

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 154 раз в 139 постах
Да какая разница - скольки-пользовательская система?
Системно-необходимые сущности (списки отзыва, как частный случай) должны быть доступны всем.
Не хочется создавать исключения "для всех"? Создайте отдельного пользователя, сделав централизованные скачивание с внешних ресурсов и распространение внутри собственной сети.
Вверх
Offline Aleks1209  
#13 Оставлено : 9 декабря 2024 г. 11:55:08(UTC)
Aleks1209

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.12.2024(UTC)
Сообщений: 2

Сказал(а) «Спасибо»: 4 раз
Автор: nickm Перейти к цитате
Автор: Aleks1209 Перейти к цитате
Все равно браузер ругается, что нет механизма отзыва.

В системном логе ошибки те же?

Автор: Aleks1209 Перейти к цитате
Подскажите пожалуйста, что еще можно сделать?

Попробовать использовать для указания прокси системные переменные. Или система многопользовательская?



вот лог где не может скачать crl
Код:
Dec  9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CertOpenStore!failed: LastError = 0x2
Dec  9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CertOpenStore!failed: LastError = 0x2
Dec  9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CertOpenStore!failed: LastError = 0x2
Dec  9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CertOpenStore!failed: LastError = 0x2
Dec  9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>LogUrlRetrieverError!() UrlRetriever failed (CURLcode: 407 URL: http://cdp.cryptopro.ru/cdp/8ed1c4c43c0eb3997e822f37bc42c7afdfbb974b.crl).
Dec  9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CryptRetrieveObjectByUrlAInternal!DownloadFromNetwork failed, error code : 80092004
Dec  9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>LogUrlRetrieverError!() UrlRetriever failed (CURLcode: 407 URL: http://tlsca2012.cryptopro.ru/cdp/8ed1c4c43c0eb3997e822f37bc42c7afdfbb974b.crl).
Dec  9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CryptRetrieveObjectByUrlAInternal!DownloadFromNetwork failed, error code : 80092004
Dec  9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>LogUrlRetrieverError!() UrlRetriever failed (CURLcode: 407 URL: http://cdp.cryptopro.ru/cdp/8ed1c4c43c0eb3997e822f37bc42c7afdfbb974b.crl).
Dec  9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CryptRetrieveObjectByUrlAInternal!DownloadFromNetwork failed, error code : 80092004
Dec  9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>LogUrlRetrieverError!() UrlRetriever failed (CURLcode: 407 URL: http://tlsca2012.cryptopro.ru/cdp/8ed1c4c43c0eb3997e822f37bc42c7afdfbb974b.crl).
Dec  9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CryptRetrieveObjectByUrlAInternal!DownloadFromNetwork failed, error code : 80092004


изначально прокси и прописывали для всех в окружение
Код:

$ env |grep proxy
no_proxy=*.local,
https_proxy=http://proxy.local:8080
http_proxy=http://proxy.local:8080
$


там доменная авторизация, браузеры спокойно работают.

а для криптопро это получается проблема.

можно конечно всех через одного пользователя завести, и его сразу в env прописать, но это нельзя.

была ожидание что крипто про через свой курл качает эти списки. Для него и сделал
Код:
cat .curlrc
proxy="xxx_user:psssswwww@proxy.local:8080"

но не помогло


Цитата:
Создайте отдельного пользователя, сделав централизованные скачивание с внешних ресурсов и распространение внутри собственной сети.

Не понял как это вы себе представляете?
Качать кучу crl файлов, которые будут в дальнейшем меняться, надо будет отслеживать, потом закидывать их на все машины в домене и там заносить в крипто про?
Пока звучит как вариант только на крайний случай.
Вверх
Online Русев Андрей  
#14 Оставлено : 9 декабря 2024 г. 14:23:30(UTC)
olin

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,503

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 609 раз в 421 постах
Автор: Aleks1209 Перейти к цитате
Прописали у пользователя .curlrc
Все равно браузер ругается, что нет механизма отзыва.
Подскажите пожалуйста, что еще можно сделать?
Попробуйте запустить браузер с параметром --no-sandbox. Если поможет, значит изоляция мешает получать доступ к файлам настроек / переменным окружения.

Официальная техподдержка. Официальная база знаний.
Вверх
thanks 1 пользователь поблагодарил olin за этот пост.
Aleks1209 оставлено 10.12.2024(UTC)
Offline basid  
#15 Оставлено : 9 декабря 2024 г. 17:44:32(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,124

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 154 раз в 139 постах
Автор: Aleks1209 Перейти к цитате
Не понял как это вы себе представляете?
винда, делал для себя, любимого, но давно:
Код:
wget --unlink -Nnv^
 http://reestr-pki.ru/cdp/guc_gost12.crl^
...
 http://company.rt.ru/cdp/rootca_ssl_rsa2022.crt

for %%A in (*.crl) do @certutil -addstore CA %%A
"Корни" вообще нечасто меняются, а URL-ы списков отзыва - раз в год.
Муторно, конечно, но не сказать чтобы неподъёмно и даже сложно.
Вверх
thanks 1 пользователь поблагодарил basid за этот пост.
Aleks1209 оставлено 10.12.2024(UTC)
Offline Зубов Иван  
#16 Оставлено : 20 декабря 2024 г. 16:21:10(UTC)
Зубов Иван

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 60
Мужчина

Сказал «Спасибо»: 12 раз
Поблагодарили: 25 раз в 23 постах
Следует разделять две сущности: утилиту curl и библиотеку libcurl. Утилита использует библиотеку, поэтому если что-то влияет на библиотеку, то оно как правило влияет и на утилиту. Обратное неверно: в утилите есть масса своих наворотов, и насколько я нагуглил, это как раз такой случай. Файл .curlrc – это про утилиту, а не про библиотеку. Поэтому правка этого файла поможет для curl (нашего или системного), но не изнанки CSP. На изнанку CSP на *nix можно повлиять через переменные окружения, как здесь уже писали. Наверное, это лучший способ решить вашу проблему.

Можно конечно руками через curl скачать CRL/сертификат, а потом например через certmgr установить его в какое-то хранилище, которое будет использоваться при проверке цепочки (например, uCA), но это уже звучит костыльно. Хорошо бы, чтобы CSP сам мог скачивать то, что ему нужно.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
thanks 1 пользователь поблагодарил Зубов Иван за этот пост.
Aleks1209 оставлено 25.12.2024(UTC)
Offline 1234Qwerty1234  
#17 Оставлено : 23 апреля 2025 г. 11:08:29(UTC)
1234Qwerty1234

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.04.2025(UTC)
Сообщений: 1
Российская Федерация
Не качаются списки отзыва, подскажите что делать.
Дистрибутив : RED OS release MUROM (7.3.5) DESKTOP Standard Edition
Linux localhost.localdomain 6.1.128-2.el7.3.x86_64 #1 SMP PREEMPT_DYNAMIC Wed Feb 5 17:14:25 MSK 2025 x86_64 x86_64 x86_64 GNU/Linux
КриптоПро CSP 5.0.12000 с лицензией.
интернет без прокси.

Apr 23 08:34:50 localhost nmcades[5360]: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://crl.roskazna.ru/crl/ucfk_2023.crl).
Apr 23 08:34:50 localhost nmcades[5360]: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004
Apr 23 08:34:54 localhost /etc/gdm/Xsession[4632]: [4625:4655:0423/083454.978911:ERROR:registration_request.cc(291)] Registration response error message: DEPRECATED_ENDPOINT
Apr 23 08:34:55 localhost nmcades[5360]: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://crl.fk.local/crl/ucfk_2023.crl).
Apr 23 08:34:55 localhost nmcades[5360]: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004
Apr 23 08:35:00 localhost nmcades[5360]: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://crl.roskazna.ru/crl/ucfk_2023.crl).
Apr 23 08:35:00 localhost nmcades[5360]: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004
Apr 23 08:35:05 localhost nmcades[5360]: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://crl.fk.local/crl/ucfk_2023.crl).
Apr 23 08:35:05 localhost nmcades[5360]: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004

[kab_03_01@localhost ~]$ curl -O http://crl.roskazna.ru/crl/ucfk_2023.crl
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 9299k 100 9299k 0 0 684k 0 0:00:13 0:00:13 --:--:-- 625k
[kab_03_01@localhost ~]$ /opt/cprocsp/bin/amd64/curl -O http://crl.roskazna.ru/crl/ucfk_2023.crl
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 9299k 100 9299k 0 0 835k 0 0:00:11 0:00:11 --:--:-- 889k

Пробую запустить браузер без песочницы, проверяю на странице проверки работы плагина https://www.cryptopro.ru...ge/cades_bes_sample.html
не помогло.
[kab_03_01@localhost ~]$ yandex-browser-stable —no-sandbox
yandex-browser-stable --no-sandbox
find_ffmpeg failed, using the integrated library.
[11180:11180:0423/103713.955401:ERROR:corp_license_service_factory.cc(116)] [CORP] License not found
[11180:11180:0423/103714.115508:ERROR:isolated_origin_util.cc(75)] Ignoring port number in isolated origin: chrome://custo
[11180:11180:0423/103714.115540:ERROR:child_process_security_policy_impl.cc(2405)] Invalid isolated origin:
[11180:11180:0423/103714.244971:ERROR:anti_tracking_service.cc(163)] [CORP] YandexAntiTracking. Status: Политика отключена.
[11180:11200:0423/103715.570054:ERROR:passman_store_impl.cc(1365)] No encryptor.

(xcpui_app:11363): Gtk-WARNING **: 10:37:15.757: Загружаемый модуль тем не найден в module_path: «adwaita»,

(xcpui_app:11363): Gtk-WARNING **: 10:37:15.854: Theme directory scalable/-aplications of theme RedOS has no size field

[ERROR:third_party/flutter/src/flutter/shell/platform/embedder/embedder_surface_gl.cc(121)] Could not create a resource context for async texture uploads. Expect degraded performance. Set a valid make_resource_current callback on FlutterOpenGLRendererConfig.
[ERROR:third_party/flutter/src/flutter/shell/platform/embedder/embedder_surface_gl.cc(121)] Could not create a resource context for async texture uploads. Expect degraded performance. Set a valid make_resource_current callback on FlutterOpenGLRendererConfig.
[11180:11199:0423/103716.628744:ERROR:upgrade_detector_impl.cc(548)] Unexpected product version output: find_ffmpeg failed, using the integrated library.
24.12.4.1093

[11180:11205:0423/103716.803522:ERROR:registration_request.cc(291)] Registration response error message: DEPRECATED_ENDPOINT
[11180:11180:0423/103727.309013:ERROR:fallback_task_provider.cc(127)] Every renderer should have at least one task provided by a primary task provider. If a "Renderer" fallback task is shown, it is a bug. If you have repro steps, please file a new bug and tag it as a dependency of crbug.com/739782.
[11180:11205:0423/103740.163990:ERROR:registration_request.cc(291)] Registration response error message: DEPRECATED_ENDPOINT
[11180:11205:0423/103828.873604:ERROR:registration_request.cc(291)] Registration response error message: DEPRECATED_ENDPOINT
[11180:11205:0423/104022.731654:ERROR:registration_request.cc(291)] Registration response error message: DEPRECATED_ENDPOINT
[11180:11205:0423/104418.486837:ERROR:registration_request.cc(291)] Registration response error message: QUOTA_EXCEEDED
Вверх
Offline nickm  
#18 Оставлено : 23 апреля 2025 г. 11:15:13(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,654

Сказал(а) «Спасибо»: 613 раз
Поблагодарили: 458 раз в 432 постах
Автор: 1234Qwerty1234 Перейти к цитате
Не качаются списки отзыва, подскажите что делать.

Они у Вас качаются, просто в таймаут по умолчанию могут не уложиться.
Как вариант, увеличьте его и проверьте работу (читать в этом сообщении).

Кстати да, СКЗИ до актуальной, сертифицированной версии "5.0.13000" не планировали обновлять?
Вверх
thanks 1 пользователь поблагодарил nickm за этот пост.
Зубов Иван оставлено 23.04.2025(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET