Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Vulpionis  
#1 Оставлено : 14 ноября 2019 г. 16:04:18(UTC)
Vulpionis

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.11.2019(UTC)
Сообщений: 4
Российская Федерация

Поблагодарили: 2 раз в 1 постах
Добрый день!

При обновлении с крипто-про csp 4 на 5 перестал работать доступ к сервису НБКИ с авторизацией по клиентскому сертификату. По адресу https://icrs.nbki.ru/signals/list IE выдает ошибку после запроса клиентского сертификата:
> Can’t connect securely to this page
> This might be because the site uses outdated or unsafe TLS security settings. If this keeps happening, try contacting the website’s owner.

Свежая установка 5 версии на абсолютно голую win 10 и win srv 2019 аналогично не работает. При этом csptest.exe -tlsc работает, выдает HTTP 200 OK.
На 4й версии работает без ошибок.

TLS 1.0, 1.1, 1.2 включены, пробовал снять галку "Do not user legacy cipher suites" - без изменений. Подскажите чего может не хватать для работы в 5 версии, что работает в 4?

Отредактировано пользователем 14 ноября 2019 г. 16:11:25(UTC)  | Причина: Не указана

thanks 2 пользователей поблагодарили Vulpionis за этот пост.
qrangerq оставлено 20.11.2019(UTC), RangerRU оставлено 21.09.2021(UTC)
Offline qrangerq  
#2 Оставлено : 18 ноября 2019 г. 11:08:36(UTC)
qrangerq

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.05.2015(UTC)
Сообщений: 59
Российская Федерация

Сказал(а) «Спасибо»: 33 раз
Поблагодарили: 1 раз в 1 постах
Offline qrangerq  
#3 Оставлено : 20 ноября 2019 г. 12:33:18(UTC)
qrangerq

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.05.2015(UTC)
Сообщений: 59
Российская Федерация

Сказал(а) «Спасибо»: 33 раз
Поблагодарили: 1 раз в 1 постах
проблема именно с 5 версией https://www.cryptopro.ru...&m=109507#post109507

снес 5, поставил 4.0 9963 - проблема ушла

Отредактировано пользователем 20 ноября 2019 г. 14:44:23(UTC)  | Причина: Не указана

Offline nikolaev  
#4 Оставлено : 20 ноября 2019 г. 16:30:09(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
Добрый день.

Скажите, пожалуйста, какой клиентский сертификат TLS Вы используете - ГОСТ Р 34.10-2012 или ГОСТ Р 34.10-2001?
Offline Vulpionis  
#5 Оставлено : 20 ноября 2019 г. 18:29:50(UTC)
Vulpionis

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.11.2019(UTC)
Сообщений: 4
Российская Федерация

Поблагодарили: 2 раз в 1 постах
Автор: nikolaev Перейти к цитате
Добрый день.

Скажите, пожалуйста, какой клиентский сертификат TLS Вы используете - ГОСТ Р 34.10-2012 или ГОСТ Р 34.10-2001?


ГОСТ Р 34.10-2012
Offline nikolaev  
#6 Оставлено : 20 ноября 2019 г. 18:58:34(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
А если использовать ключ ГОСТ Р 34.10-2001, проблема воспроизводится?
Offline Vulpionis  
#7 Оставлено : 20 ноября 2019 г. 20:03:41(UTC)
Vulpionis

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.11.2019(UTC)
Сообщений: 4
Российская Федерация

Поблагодарили: 2 раз в 1 постах
Автор: nikolaev Перейти к цитате
А если использовать ключ ГОСТ Р 34.10-2001, проблема воспроизводится?


Сервер принимает только ключи выпущенные УЦ КРИПТО-ПРО (ГОСТ 2012), не могу протестировать на других сертификатах.
Сервис НБКИ публичный, в случае "чужого" сертификата он просто возвращает HTTP ошибку 403, но возвращает. Любой с сертификатом УЦ КРИПТО-ПРО (ГОСТ 2012) может попробовать сделать запрос.
Offline nikolaev  
#8 Оставлено : 21 ноября 2019 г. 12:22:14(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
Понял Вас, спасибо!

Как ответил в соседнем треде, проблема предположительно в некорректном поведении серверного СКЗИ при запросе клиентского сертификата в протоколе TLS, что КриптоПро CSP 5.0 не допускается. В новом релизе для удобства пользователей поддержку встречной работы с такого рода серверными СКЗИ добавим.
Offline Vulpionis  
#9 Оставлено : 21 ноября 2019 г. 12:33:27(UTC)
Vulpionis

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.11.2019(UTC)
Сообщений: 4
Российская Федерация

Поблагодарили: 2 раз в 1 постах
Автор: nikolaev Перейти к цитате
Понял Вас, спасибо!

Как ответил в соседнем треде, проблема предположительно в некорректном поведении серверного СКЗИ при запросе клиентского сертификата в протоколе TLS, что КриптоПро CSP 5.0 не допускается. В новом релизе для удобства пользователей поддержку встречной работы с такого рода серверными СКЗИ добавим.


Понял, спасибо, будем ждать новую версию 5.0
Существует ли вариант какого-то патча, например ключа в реестр, что позволит вылечить 5.0R1 не дожидаясь новой версии?
Offline nikolaev  
#10 Оставлено : 21 ноября 2019 г. 14:07:41(UTC)
nikolaev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.05.2016(UTC)
Сообщений: 19
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 5 раз в 5 постах
К сожалению, нет.
Но новая версия выйдет в ближайшее время.

Спасибо за обратную связь!
Offline RangerRU  
#11 Оставлено : 30 января 2021 г. 4:14:49(UTC)
RangerRU

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.08.2020(UTC)
Сообщений: 2

Сказал(а) «Спасибо»: 2 раз
Проблему исправили?
С какой версии?
Offline RangerRU  
#12 Оставлено : 21 сентября 2021 г. 16:35:55(UTC)
RangerRU

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.08.2020(UTC)
Сообщений: 2

Сказал(а) «Спасибо»: 2 раз
Ответ будет или нет?

Что за отношение?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.