Нет поддержки российских криптоалгоритмов при использовании tls яндекс браузер
Очень много вопросов по этой теме. Оно и понятно: информации мало, противоречивых интерпретаций много. Для нас тема защиты соединений с сайтами близка. Мы пишем на Хабре об этом уже лет восемь. Например, в своё время мы первыми поддержали DNSCrypt прямо в браузере, первыми начали предупреждать о неизвестных корневых сертификатах в системе, первыми включили шифрование трафика для незащищенных Wi-Fi-сетей.
Поэтому сегодня мы расскажем сообществу о происходящем чуть более подробно. Тем, кто очень спешит и хочет получить короткие ответы, достаточно прочитать начало поста. Поехали.
Коротко о главном
Подробнее о проблеме
Как вы можете знать, ряд российских сайтов уже столкнулись с отзывом выданных TLS-сертификатов. Напомню, что наличие действующего авторитетного сертификата жизненно важно для любого сайта, который работает с данными пользователей. Без сертификата невозможно удостовериться, что данные передаются именно тому сайту, который указан в адресной строке браузера, а не подделке злоумышленников. Как следствие, любой современный браузер не пускает пользователей на сайт, если его сертификат отозван (это нормальное, ожидаемое поведение).
Проблема в том, что российским сайтам всё сложнее получить такой сертификат. Удостоверяющие центры всё чаще отзывают ранее выданные сертификаты и отказывают в их выдаче. Да, сайты могут начать использовать самоподписанные сертификаты. Но к ним нет и не будет никакого доверия со стороны браузеров из-за отсутствия контроля в их выдаче и применении. А значит, проблема с доступом к сайтам никуда не денется.
К чему это может привести? Вот несколько вариантов:
Описание текущего решения
Есть альтернативная инициатива — создать национальные удостоверяющие центры (НУЦ) и поддержать их корневые сертификаты в браузерах. НУЦ смогут выдавать сертификаты тем (и только тем!) сайтам, которые к ним обратятся. Наличие альтернативы позволит не допустить ситуации, при которой пользователи лишатся доступа к онлайн-сервисам.
Первый такой НУЦ уже появился — на базе Госуслуг. Сейчас он работает так:
Наши планы
Текущее решение, конечно же, требует развития. Основной способ завоевания доверия к центру сертификации — это открытость. И здесь мы планируем несколько вещей.
Прежде всего, хотим организовать рассылку уведомлений в Яндекс Вебмастере тем владельцам сайтов, для которых зафиксирован выпуск сертификатов.
Наша более глобальная инициатива — поддержать стандарт Certificate Transparency (CT) и поднять публичный лог, в который НУЦ будет записывать выпущенные сертификаты. Если посещаемого пользователем сайта не будет в этом логе, то браузер выдаст ошибку ERR_CERTIFICATE_TRANSPARENCY_REQUIRED и не даст его открыть.
Мы хотим, чтобы наш Браузер проверял сертификаты не по одному, а по нескольким независимым друг от друга публичным логам, поэтому призываем других участников рынка присоединиться к инициативе и поднять дополнительные логи по стандарту CT.
Большая просьба: если вы знаете, как сделать лучше, — приходите, советуйте. Хотите покритиковать решения — критикуйте и предлагайте улучшения.
P. S. Пока оформлял этот пост, прилетела новость: центр сертификации DigiCert, обслуживающий около 50 тыс. российских сайтов, ограничил им выдачу сертификатов.
Добрый день.
при проверке настройки рабочего места для работы с порталом ФЗС выдается только одна ошибка:
Вложения:
Добавьте сайт в список доверенных узлов, сбросьте настройку безопасности для этих узлов на уровень "низкий", внесите сайт в список исключений антивируса, проверьте настройки SSL и TLS в IE
проверено. Все правильно. На Win 7 вопрос решается установкой версии криптопро не ниже 4.0.9944 и плагина.
У некоторых вопрос решается полной переустановкой КриптоПро и плагина.
Нет ли еще какого либо решения?
Проверьте Корневой сертификат
Минкомсвязь России действующий до 01.07.2036
На вкладке Состав - Алгоритм подписи
должно быть:
ГОСТ Р 34.11-2012/34.10-2012 256 бит
и какой антивирус у вас установлен?
Извините, организация больше не отвечает, посмотреть не могу. Если будет еще такая ситуация, все спрошу и отпишусь
В яндекс браузере это включается следующем образом:
1. Нажмите → Настройки.
2. Откройте Системные.
3. В блоке Сеть опция Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP.
Вложения:
Антивирус удален, надежные сайты введены, корневые серт установлены. Криптопро переустанавливали, плагин тоже.
Win 10 Крипто 4/0/9963
В IE 11 и Гост Хромиум то же самое
mar59 пишет: корневые серт установлены.
Проверьте, чтобы в промежуточных был установлен именно корневой сертификат УЦ ФК от 05.02.2020, действительный до 2035 года. Похоже, проверяется наличие любого сертификата УЦ ФК, поэтому и не ругается на корневые.
Приветствую!
Столкнулся с такой же проблемой. Во всех браузерах не проходит проверку автоматизированного рабочего места пользователя Портала заявителя информационной системы «Удостоверяющий центр Федерального казначейства» - Нет поддержки российских криптоалгоритмов при использовании TLS. Крипто Про CSP и плагин переустанавливал. Сертификаты подчищал и заново переустанавливал.
Прошу помощи советом!
Вложения:
rrcrst пишет: Во всех браузерах не проходит проверку автоматизированного рабочего места пользователя Портала заявителя информационной системы «Удостоверяющий центр Федерального казначейства» - Нет поддержки российских криптоалгоритмов при использовании TLS. Крипто Про CSP и плагин переустанавливал. Сертификаты подчищал и заново переустанавливал.
Во всех браузерах проверка завершается с такой ошибкой при отсутствии корневого сертификата УЦ ФК от 05.02.2020 (причем независимо от того, установлен корневой от 13.04.2021, или нет).
И если на КриптоПро и плагин не ругается, то смысла их переустанавливать нет.
В рамках работ по развитию ИС УЦ и переходу Федерального казначейства на использование программного обеспечения из Единого реестра российских программ для ЭВМ и свободного программного обеспечения реализована возможность работы Портала заявителя с браузерами с поддержкой криптоалгоритмов ГОСТ.
Для организации доступа до Портала заявителя на АРМ пользователя должен быть установлен любой браузер с поддержкой криптоалгоритмов ГОСТ:
Браузер «Спутник» с поддержкой отечественной криптографии;
Internet Explorer (версии 9.x, 10.х, 11.x).
Также на АРМ пользователя для работы с Порталом заявителя должны быть установлены:
- сертифицированная версия СКЗИ "КриптоПро CSP" 4.0; версии 2.0 (проверить работу КриптоПро ЭЦП Browser plug-in);
- драйвер ключевого носителя (например, Рутокен или e-Token); .
Следующим этапом развития ИС УЦ (декабрь 2020) будет поддержка работы Портала заявителя с операционными система из семейства Linux.
Удостоверяющим центром Федерального казначейства введен в эксплуатацию сервис для автоматической проверки АРМ пользователя Портала заявителя ИС УЦ
Извините, но у вас недостаточно прав для комментирования
Новое на форуме
- Полномочия в ЭБ для поставщиков
- Под рукой есть таблица для исполнителей, для заказчиков там другие, если надо уже ищите сами :)
- 11 мая 2022 14:56
- Полномочия в ЭБ для поставщиков
- Раньше заявка выглядела вот так. Какие там сейчас буквенные обозначения.
- 11 мая 2022 14:33
- Полномочия в ЭБ для поставщиков
- ООО собирается открывать (резервировать) в казне 71 счет. Сейчас вся работа в ЭБ.
- 11 мая 2022 13:30
- Подтверждающий документ. Что же это на самом деле.
- 11 мая 2022 11:18
- Подтверждающий документ. Что же это на самом деле.
- Как раз во избежание возможных проблем из-за задержки регистрации нового рук-ля в.
- 11 мая 2022 10:00
Новые комментарии
Напрягает, однако: ЗАЧЕМ такое значение разрабы ФЗС выставили по-умолчанию. Чтоб еще больше загрузить .
С такой ошибкой к нам обратился клиент. Подключение идет с ПК Windows 7, на борту КриптоПро и Яндекс.Браузер. Последний — в списке рекомендуемых . Но что-то мешает.
Описание ошибки
Как правило, в таких случаях следует проверить стандартный, не всеми любимый Internet Explorer. Открыли, но также быстро закрыли — версия устарела (требуется 11.0.9600.xxxxx или выше). Вариант отпадает.
Конечно же, сделали попытку обновления IE, но получили еще больше предупреждений — мол, не хватает нескольких обязательных обновлений WIndows. Получается процесс затяжного и неустойчивого характера — отложили идею, поставив на полку до лучших времен.
Проверили ключ, сертификат и формирование подписи на тестовой странице — ошибок нет.
Chromium-GOST
Для тех, кто любит быстрые решения. Нас выручил специализированный Chromium-GOST , в который встроены алгоритмы шифрования ГОСТ.
На нем все запустилось, и мы сразу попали в личный кабинет ЮЛ.
Прочие рекомендации
1. Условия доступа
Еще раз ознакомьтесь с требованиями на странице выполнения условий доступа. Во время проверки сервис дает подсказки, на каком этапе есть ошибки. Позовите на помощь знакомого ИТ-специалиста.
2. Яндекс.Браузер
- обновите версию браузера до актуальной (Меню « Дополнительно — О браузере » или скачайте инсталлятор с официального сайта );
- в настройках активируйте опцию «Подключаться к сайтам, использующим шифрование по ГОСТ» (меню « Настройки — Системные — Сеть »);
- на вкладке «Настройки TLS» для КриптоПро CSP снимите галку « Не использовать устаревшие cipher suite-ы ».
3. Версии протоколов
Для теста включите в настройках браузера поддержку старых версий протоколов SSL/TLS.
Например, для IE — TLS 1.0, TLS 1.1 и TLS 1.2, а также SSL 2.0 и 3.0.
Пуск — Выполнить — inetcpl.cpl — вкладка «Дополнительно»4. Очистка кэша SSL
Если вы работаете с несколькими учетными записями (сертификатами), при каждой смене пользователя необходимо очистить SSL ( Настройки — Свойства браузера — вкладка «Содержание» — Очистить SSL ).
5. Прямая ссылка на ЛК
6. Запуск браузера без расширений/другие браузеры
Отключите в настройках браузера дополнительные расширения, чтобы исключить их влияние на работу с порталом ФНС.
Протестируйте работу в другом браузере из списка поддерживаемых:
- Яндекс.Браузер версии 19.3 или выше;
- Спутник версии 4.1.2583.0 (Официальная сборка) или выше, gostssl (32 бит);
- Internet Explorer версии 11.0.9600.xxxxx или выше;
- Chromium-GOST.
7. Настройка антивируса/брандмауэра
Задача — отключение опции SSL-сканирования («SSL scan»). Либо настройте исключения для площадок ФНС.
8. Проверка времени и даты
Проверьте установку времени, даты и часового пояса на вашем ПК. При необходимости измените их значения на корректные или включите автоматическую синхронизацию по расписанию.
9. Другие средства защиты
Одновременная и корректная работа с разными криптопровайдерами (VipNet CSP, Континент-АП, Агава и др.) на одном ПК не гарантируется. Если установлены прочие СКЗИ — удалите их или перейдите на другое рабочее место.
✅ В настройке подключения есть свои тонкости и набор средств. Поэтому, каждый случай надо рассматривать отдельно. Универсального решения нет, проверьте рекомендации — что-то должно помочь. Успехов вам!
⚡ Подписывайтесь на канал или задавайте вопрос на сайте — постараемся помочь всеми техническими силами. Безопасной и производительной работы в Windows и 1С.
Как правило, сталкиваемся с ней при доступе на порталы ФНС. И не ясно — куда копать. А что точно поможет — одним только богам криптографии известно.
Нам, кстати, тоже не ясно. Эта статья — попытка объединить множество рекомендаций в понятную структуру. По блокам. Как можно действовать и куда «бить». Самостоятельно или с привлечением других специалистов. Или для понимания, чтобы дойти до конца. До победы.
Потому что очень хочется, чтобы просто работало и работало просто. Без танцев, без бубнов и прочих технических штук. Но, к сожалению, они есть.
Особенно неприятно, когда вчера все было хорошо, а сегодня — никак. И толку не дать, что же случилось. Самое время для общей рекомендации — называется «проверьте позже». Шансов мало, но они есть (в моменте свалить «проблему» целиком на сервер, а не клиента и отношений).
Итак, полный текст ошибки может выглядеть вот так:
Этот сайт не может обеспечить безопасное соединение
На сайте используется неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Неподдерживаемый протокол
Клиент и сервер поддерживают разные версии протокола SSL или набора шифров.Ошибка «Этот сайт не может обеспечить безопасное соединение». Код ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Ошибка «Этот сайт не может обеспечить безопасное соединение». Код ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Общие рекомендации
Первым делом ещё раз ознакомьтесь с условиями доступа. Обычно во время проверки сервис или сайт дает подсказки, на каком этапе есть ошибки. Это позволит вам действовать более точно.
Либо минуйте страницу проверки (диагностики) — перейдите прямо в ЛК по прямой ссылке. Просто проверьте, получится ли войти.
Настройки на уровне ОС Windows
- Если на компьютере используется VPN или задан прокси-сервер в Windows, попробуйте отключите их.
Настройки защитных фильтров
Настройки браузера
- Обновите ваш браузер согласно рекомендациям сайта по списку поддерживаемых или проверьте установку альтернативного браузера.
- На период проверки отключите дополнительные расширения в браузере, чтобы исключить их влияние на работу с порталами.
- [для Chrome] Отключите протокол QUIC (Experimental QUIC protocol) через страницу параметров chrome://flags/ — оставьте значение «Default» или выставьте «Disabled».
- [для Chrome] Запустите браузер с параметром игнорирования ошибок сертификатов "—ignore-certificate-errors" (не рекомендуется).
- Очистите кэш браузера. Например, для Chrome нажмите сочетание клавиш «Ctrl + Shift + Delete», выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).
- Очистите кэш SSL в свойствах браузера Internet Explorer (Настройки — Свойства браузера — вкладка «Содержание» — Очистить SSL).
- Для теста включите в настройках IE поддержку старых версий протоколов SSL/TLS.
- Сбросьте параметры IE к настройкам по умолчанию, а затем заново настройте браузер согласно инструкции портала.
Прочее
Примечание. Они кажутся странными, но кто знает.
- Проверьте файл hosts на наличие сторонних записей.
- Укажите в настройках сетевого соединения другие публичные DNS-сервера (Google, Яндекс или другие — на ваше усмотрение).
- Удалите временные файлы Интернета и временные файлы для вашего профиля.
- Переустановите/обновите КриптоПро. При переустановке предварительно очистите ОС полностью от остатков программы с помощью официальной утилиты cspclean .
- Одновременная и корректная работа с разными криптопровайдерами (VipNet CSP, Континент-АП, Агава и др.) на одном ПК не гарантируется. Если установлены прочие СКЗИ — удалите их или перейдите на другое рабочее место.
✅ Проверяйте и действуйте. Вероятно, что-то из этого должно сработать и помочь — а что именно, вам и предстоит узнать. Поделитесь своим опытом в комментариях. Это будет полезно другим. Да пребудет с нами успешное соединение.
Вас также может заинтересовать:
⚡ Подписывайтесь на канал или задавайте вопрос на сайте — постараемся помочь всеми техническими силами. Безопасной и производительной работы в Windows и 1С.
Подпишитесь на рассылку, чтобы быть в курсе последних новостей и обновлений. Кейсы клиентов и рекомендации по настройке 1С. Читайте первыми ► здесь .
Читайте также: