Нет поддержки российских криптоалгоритмов при использовании TLS
Вложения
и какой антивирус у вас установлен?
В яндекс браузере это включается следующем образом:
mar59 пишет: корневые серт установлены.
КриптоПро 5? На четверке R4 такая же история?
Антивирус есть? Настроен для работы с ГОСТ-шифрованием?
10 фев 2022 07:22 #17934 от mar59
при проверке настройки рабочего места для работы с порталом ФЗС выдается только одна ошибка:
На ПК win10, Браузер IE11, КриптоПро 4.0.9963.
Все остальные проверки проходит нормально.
Подскажите пожалуйста, в чем может быть дело?
10 фев 2022 07:33 #17935 от gurazor
Добавьте сайт в список доверенных узлов, сбросьте настройку безопасности для этих узлов на уровень «низкий», внесите сайт в список исключений антивируса, проверьте настройки SSL и TLS в IE
10 фев 2022 07:42 #17936 от mar59
проверено. Все правильно. На Win 7 вопрос решается установкой версии криптопро не ниже 4.0.9944 и плагина.
У некоторых вопрос решается полной переустановкой КриптоПро и плагина.
Нет ли еще какого либо решения?
10 фев 2022 13:01 — 10 фев 2022 13:03 #17943 от FarWinter
Проверьте Корневой сертификат
На вкладке Состав — Алгоритм подписи
ГОСТ Р 34.11-2012/34.10-2012 256 бит
Спасибо сказали: ranger
12 фев 2022 05:53 #17959 от mar59
Извините, организация больше не отвечает, посмотреть не могу. Если будет еще такая ситуация, все спрошу и отпишусь
02 март 2022 09:47 #18176 от Mischanja
2. Откройте Системные.
3. В блоке Сеть опция Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP.
02 март 2022 10:53 #18177 от ranger
какие антивирусы используется?
08 апр 2022 06:54 #18456 от mar59
Антивирус удален, надежные сайты введены, корневые серт установлены. Криптопро переустанавливали, плагин тоже.
Win 10 Крипто 4/0/9963
В IE 11 и Гост Хромиум то же самое
08 апр 2022 07:21 — 08 апр 2022 07:35 #18457 от Gvinpin
Проверьте, чтобы в промежуточных был установлен именно корневой сертификат УЦ ФК от 05.02.2020, действительный до 2035 года. Похоже, проверяется наличие любого сертификата УЦ ФК, поэтому и не ругается на корневые.
08 апр 2022 07:58 #18458 от mar59
СПАСИБО. Видимо действительно дело в корневых.
04 июнь 2022 06:56 #18679 от rrcrst
Столкнулся с такой же проблемой. Во всех браузерах не проходит проверку автоматизированного рабочего места пользователя Портала заявителя информационной системы «Удостоверяющий центр Федерального казначейства» — Нет поддержки российских криптоалгоритмов при использовании TLS. Крипто Про CSP и плагин переустанавливал. Сертификаты подчищал и заново переустанавливал.
Прошу помощи советом!
04 июнь 2022 07:53 #18680 от AlexXXL
У меня такая проблема решилась обновлением Хромиум-ГОСТа до последней версии.
04 июнь 2022 08:16 — 05 июнь 2022 12:55 #18681 от Gvinpin
rrcrst пишет: Во всех браузерах не проходит проверку автоматизированного рабочего места пользователя Портала заявителя информационной системы «Удостоверяющий центр Федерального казначейства» — Нет поддержки российских криптоалгоритмов при использовании TLS. Крипто Про CSP и плагин переустанавливал. Сертификаты подчищал и заново переустанавливал.
И если на КриптоПро и плагин не ругается, то смысла их переустанавливать нет.
Спасибо сказали: Alex_04
07 июнь 2022 07:31 #18692 от ranger
22 июнь 2022 10:10 #18756 от arsa
Винда 10, АРМ для ВРС настроен, работаем через IE-11
После перезагрузки компа ошибка входа, проверяем и на страничке проверки АРМ выдает сообщение, что нет поддержки российских криптоалгоритмов при использовании TLS
На хромиум госте так же пробовал-аналогичная ситуация.
Может кто поделится лечением)
Поддержка протоколов TLS по ГОСТу
Яндекс.Браузер использует протоколы TLS, которые обеспечивают защищенную передачу данных в интернете. Передаваемые по безопасному соединению данные шифруются и расшифровываются с использованием утилиты КриптоПро CSP.
Установка «КриптоПро CSP»
В операционных системах Windows используется программа КриптоПро CSP — набор криптографических утилит для генерации электронной подписи, работы с сертификатами.
Для установки КриптоПро CSP воспользуйтесь материалами с официального сайта:
После установки КриптоПро CSP браузер проверяет наличие и работоспособность этой программы.
Сайты, запрашивающие шифрование ГОСТ TLS
Если сайт запрашивает шифрование ГОСТ TLS, браузер проверяет, установлена ли программа КриптоПро CSP. Если программа установлена, ей передается управление.
Включение и отключение поддержки КриптоПро CSP браузером
По умолчанию в браузере включена поддержка КриптоПро CSP. Рекомендуем убедиться в этом:
Чтобы отключить поддержку шифрования, воспользуйтесь аналогичной последовательностью действий.
Шифрование TLS-трафика по алгоритмам ГОСТ-2012 c Stunnel
В этой статье я хочу показать, как настроить Stunnel на использование российских криптографических алгоритмов в протоколе TLS. В качестве бонуса покажу, как шифровать TLS-канал, используя алгоритмы ГОСТ, реализованные в криптоядре Рутокен ЭЦП 2.0.
Но для начала давайте вообще разберёмся для чего нужен Stunnel. В двух словах — это программа, на которую можно переложить всю логику шифрования трафика между сервером и клиентом. Делается это следующем образом: допустим у вас есть клиент и сервер, которые общаются между собой без использования шифрования, аутентификации и проверки целостности. Вы могли бы переписать клиент и сервер так, чтобы все исходящие и входящие сообщения передавались между собой с учётом всех этих моментов, но для чего такие сложности, если можно это просто переложить на плечи другому приложения? Для решения такой задачи как раз подойдёт Stunnel.
Вам нужно просто настроить клиент таким образом, чтобы весь свой трафик он передавал на клиентский Stunnel, в свою очередь, он устанавливает безопасное соединение с сервером, отправляя данные на серверный Stunnel. Stunnel на сервере расшифровывает пришедший трафик и перенаправляет данные на вход серверу. Вышесказанное проще осознать глядя на эту диаграмму
Стоит заметить, что на сервере не обязательно должен стоять именно Stunnel, для работы с криптографическими алгоритмами. Здорово, что есть готовые демонстрационные стенды, которые поддерживают российскую криптографию, список которых есть в презентации с РусКрипто’2019.
Нам нужны стабильно работающие серверы, осуществляющие двухстороннюю аутентификацию.
Звучит достаточно просто, давайте попробуем организовать этот процесс.
Подготовительный шаг
Но просто переместить движок в нужную папку — мало, нужно ещё сконфигурировать сам openssl для работы с ним. Узнаём где лежит файл с конфигурацией openssl.cnf с помощью той же команды, что указана выше (под виндой stunnel идёт с собственной версией openssl, поэтому файл с конфигурацией лежит в pathtostunnelconfigopenssl.cnf
Давайте проверим, что rtengine подключился, для этого подключим токен и выведем список всех алгоритмов шифрования:
Напомню, что в Windows нужно проверять на openssl, который лежит рядом с stunnel
Если среди них будут присутствовать наши ГОСТы, значит всё настроено верно.
Теперь, когда мы знаем, какой ключ нам нужен, давайте получим корневой сертификат от тестового сервера, выработаем ключи для работы и подпишем запрос на наш сертификат.
Простой способ (работает под Windows и Linux)
Для того, чтобы получить корневой сертификат, зайдём на сайт тестового УЦ ООО «КРИПТО-ПРО». И нажмём на кнопку для получения сертификата. Отобразится новая вкладка, в которой нужно будет выбрать метод шифрования Base64 и нажать на кнопку «Загрузка сертификата ЦС». Полученный файл certnew.cer сохраняем.
Теперь генерируем ключи.
Стоит заметить, что сгенерированные на токене ключи не могут быть скопированы с токена. В этом состоит одно из основных преимуществ их использования.
Создадим запрос на сертификат:
Остался последний вопрос: Для чего всё это. Зачем мы получали все эти сертификаты, ключи и запросы?
Дело в том, что они нужны протоколу TLS для двусторонней аутентификации. Работает это очень просто.
У нас есть сертификат сервера, и мы считаем его доверенным.
Наш клиент проверяет, что сервер, с которым мы работаем имеет аналогичный сертификат.
Сервер же хочет убедиться, что работает с пользователем, который ему известен. Для этого мы и создавали запрос на сертификат для работы через наши ключи.
Мы отправили этот запрос и сервер подписал её своей ЭЦП. Теперь мы можем каждый раз предъявлять этот сертификат, подписанный корневым УЦ, тем самым подтверждая, что мы — это мы.
Конфигурирование Stunnel
Осталось только правильно настроить наш туннель. Для этого создадим файл stunnel.conf с настройками Stunnel по умолчанию и напишем туда следующее:
Теперь, если всё сделано правильно, можно запустить Stunnel с нашей конфигурацией и подключиться к серверу:
Откроем браузер и зайдём по адресу localhost:8080. Если всё верно, то отобразится следующее:
Если же нет, то смотрим логи и используем отладчик, чтобы понять в чём же всё-таки проблема.
SSL TLS
Пользователи бюджетных организаций, да и не только бюджетных, чья деятельность напрямую связана с финансами, во взаимодействии с финансовыми организациями, например, Минфином, казначейством и т.д., все свои операции проводят исключительно по защищенному протоколу SSL. В основном, в своей работе они используют браузер Internet Explorer. В некоторых случаях — Mozilla Firefox.
Ошибка SSL
Основное внимание, при проведении данных операций, да и работе в целом, уделено системе защиты: сертификаты, электронные подписи. Для работы используется программное обеспечение КриптоПро актуальной версии. Что касается проблемы с протоколами SSL и TLS, если ошибка SSL появилась, вероятнее всего отсутствует поддержка данного протокола.
Ошибка TLS
Итак, при использовании Microsoft Internet Explorer, чтобы посетить веб-сайт по защищенному протоколу SSL, в строке заголовка отображается Убедитесь что протоколы ssl и tls включены. В первую очередь, необходимо включить поддержку протокола TLS 1.0 в Internet Explorer.
Если вы посещаете веб-сайт, на котором работает Internet rmation Services 4.0 или выше, настройка Internet Explorer для поддержки TLS 1.0 помогает защитить ваше соединение. Конечно, при условии, что удаленный веб-сервер, который вы пытаетесь использовать поддерживает этот протокол.
Для этого в меню Сервис выберите команду Свойства обозревателя.
На вкладке Дополнительно в разделе Безопасность, убедитесь, что следующие флажки выбраны:
Использовать SSL 2.0
Использовать SSL 3.0
Использовать TLS 1.0
Нажмите кнопку Применить, а затем ОК. Перезагрузите браузер.
После включения TLS 1.0, попытайтесь еще раз посетить веб-сайт.
Системная политика безопасности
Если по-прежнему возникают ошибки с SSL и TLS, если вы все еще не можете использовать SSL, удаленный веб-сервер, вероятно, не поддерживает TLS 1.0. В этом случае, необходимо отключить системную политику, которая требует FIPS-совместимые алгоритмы.
Чтобы это сделать, в Панели управления выберите Администрирование, а затем дважды щелкните значок Локальная политика безопасности.
В локальных параметрах безопасности, разверните узел Локальные политики, а затем нажмите кнопку Параметры безопасности.
В соответствии с политикой в правой части окна, дважды щелкните Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания, а затем нажмите кнопку Отключено.
Внимание! Изменение вступает в силу после того, как локальная политика безопасности повторно применяется. То есть включите ее и перезапустите браузер.
КриптоПро TLS SSL
Далее, как одним из вариантов решения проблемы, является обновление КриптоПро, а также настройка ресурса. После настройки рабочего места, останется только перезагрузить браузер.
Настройка SSL TLS
Еще одним вариантом может быть отключение NetBIOS через TCP/IP — расположен в свойствах подключения.
Регистрация DLL
Запустить командную строку от имени администратора и ввести команду regsvr32 cpcng. Для 64-разрядной ОС необходимо использовать тот regsvr32, который в syswow64.
Не установлены поддерживаемые версии СКЗИ
Как видно из скриншота — в нижней части экрана появилось оповещение! Нам обязательно нужно нажать «Разрешить». Это оповещение как раз касается плагина от Crypto-Pro. После нажатия всплывет еще одно окошка.
После того как нажали «Да» браузер (у меня автоматически обновил вкладку) и я увидел заветную картинку.
Проверено на 2 компьютерах с аналогичной ошибкой. Если у Вас была «загвоздка» с этой ошибкой в чем то другом, обязательно пишите в комментариях
Один отзыв для «Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin
Существует другой вариант решения этой проблемы.Более надежный.Установить клиента Континент АП.
Если сайт запрашивает шифрование ГОСТ TLS, браузер проверяет, установлено ли программа КриптоПро CSP. Если программа установлена, ей передается управление.