Главная » Техника

Не работает гост tls

Содержание
  1. Поддержка протоколов TLS по ГОСТу
  2. Установка «КриптоПро CSP»
  3. Сайты, запрашивающие шифрование ГОСТ TLS
  4. Включение и отключение поддержки КриптоПро CSP браузером
  5. Решение проблем
  6. Решение типовых проблем (редакция от 23.12.2019 12:35)

Поддержка протоколов TLS по ГОСТу

Яндекс.Браузер использует протоколы TLS, которые обеспечивают защищенную передачу данных в интернете. Передаваемые по безопасному соединению данные шифруются и расшифровываются с использованием утилиты КриптоПро CSP.

Установка «КриптоПро CSP»

По требованиям российского законодательства признается только использование TLS-соединений, установленных по российским криптографическим алгоритмам ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001. Поэтому, если вам требуется использование сайтов, использующих шифрование по ГОСТ алгоритмам, необходимо установить программу «КриптоПро CSP» .

В операционных системах Windows используется программа КриптоПро CSP — набор криптографических утилит для генерации электронной подписи, работы с сертификатами

Для установки КриптоПро CSP воспользуйтесь материалами с официального сайта:

После установки КриптоПро CSP браузер проверяет наличие и работоспособность этой программы.

Сайты, запрашивающие шифрование ГОСТ TLS

Если сайт запрашивает шифрование ГОСТ TLS, браузер проверяет, установлено ли программа КриптоПро CSP. Если программа установлена, ей передается управление.

Примеры сайтов, запрашивающих шифрование: www.gosuslugi.ru , сайты на домене .gov.ru , .kamgov.ru , .nalog.ru .

Если сайта нет в списке, то запрашивается дополнительное подтверждение. Если вы доверяете сайту и соединение должно быть произведено с использованием шифрования ГОСТ TLS, нажмите кнопку Продолжить .

Включение и отключение поддержки КриптоПро CSP браузером

По умолчанию в браузере включена поддержка КриптоПро CSP. Рекомендуем убедиться в этом:

Чтобы отключить поддержку шифрования, воспользуйтесь аналогичной последовательностью действий.

Источник

Решение проблем

По вопросам и ошибкам, которые вы не смогли решить самостоятельно, просим обращаться в Службу технической поддержки ГАУ РК «ЦИТ».

Решение типовых проблем (редакция от 23.12.2019 12:35)

К сожалению, в RSA-сертификат Системы доступа не внесен адрес gost.security.rkomi.ru, поэтому сообщение об ошибке SSLGOST-004 (отсутствие поддержки ГОСТ) будет дополнительно сопровождаться сообщением о неверном сертификате.

Непосредственно проблемой это не является. Необходимо разобраться с причинами появления ошибки SSLGOST-004.

Продиагностировать прочие проблемы можно с использованием журнала CAPI (криптографической подсистемы) Windows:

  • Панель управленияАдминистрированиеПросмотр событий
  • Разворачиваете Журналы приложений и службMicrosoftWindowsCAPI2
  • Включаете журнал Operational (правой кнопкой — Включить)
  • Очищаете его (правой кнопкой — Очистить журнал), т.к. событий там может быть много
  • Открываете сохраненный сертификат, который не может провериться
  • Обновляете список событий в журнале и смотрите ошибки
  • После окончания диагностики, отключите журнал (очень много событий пишет)

Ошибка касается открытого сайта https://security.rkomi.ru/ и негостовского шифрования. Если на компьютере проблемы с неверным сертификатом только в IE (например, реально просроченный сертификат), а в других браузерах при открытии https://security.rkomi.ru/ проблем нет (сертификат действительный), тогда вероятнее всего проблема в устаревшем браузере на устаревшей ОС — что они не поддерживают разные сертификаты на одном IP адресе.

В нормальном режиме работы таких конфигураций на сервере быть не должно, однако может случиться, что на одном виртуальном хосте установлен 1 сертификат, а на другом — другой (например, в ходе неполной замены сертификата администратором). Необходимо почистить кеш SSL в Internet Explorer, перезагрузиться, если не помогло — обратиться в Службу технической поддержки ГАУ РК «ЦИТ» с заявкой о возможной ошибке конфигурирования серверов SSLGOST.

Не удается отобразить эту страницу. Включите протоколы TLS 1.0, TLS 1.1 и TLS 1.2

Ошибка может появляться или всегда или периодически без каких-либо явных предпосылок

Если на защищенном сайте выводится такая ошибка и протоколы TLS включены. А обычные https-сайты (например, https://mail.ru) открываются без проблем, вероятно проблема в антивирусе — он анализирует шифрованный трафик и работает с ним некорректно. Также можно проверить на работу на https://i.vtb.ru/ — тоже должна быть такая ошибка (после согласия с неверным сертификатом).

Попробуйте полностью выключить антивирус (не приостановить, а выключить), закрыть браузер и попробовать снова. Если помогло, то необходимо в настройках антивируса отключить инспекцию TLS/SSL для защищаемого сайта, либо добавить его в доверенные/исключения антивируса.

Простой вариант: Добавить сайт системы, с которой работаете, либо *.rkomi.ru в доверенные (Trusted).

Чуть более сложный (и как минимум один раз не помог — помогло включение в доверенные) — Разрешить перенаправления:

  • Открыть настройки браузера (сервис -> свойства обозревателя)
  • Перейти на вкладку Безопасность (Security)
  • Кликнуть на значок зоны «Интернет» (Internet)
  • Нажать на кнопку «Другой. » (Custom. )
  • Найти пункт «Разное -> Разрешить метаобновления» («Miscellanous -> Allow META REFRESH») и установить его в «Разрешено» («Enable»)
  • Закрыть все окна браузера или перезагрузить компьютер.

Ошибка SSLGOST-001: Информационная система не идентифицирована

Часто бывает, что доступ к СЭД открыт для одной учетной записи (например, под той, под которой работал VPN), а в систему защиты (она же этот Портал по безопасности) вы входите под другой учетной записью. Необходимо сделать одно из следующих действий:

  • Разлогиниться в системе защиты (открыть https://security.rkomi.ru/ в этом же браузере и справа-вверху нажать на Выйти), попробовать войти в систему снова под правильной учетной записью.
  • Почистить куки в браузере (эквивалентно разлогиниванию) и войти под учетной записью с доступом.
  • Запросить доступ для используемой учетной записи в Службе технической поддержки.

Антивирус, прокси-сервера или другие программы (в основном защиты и мониторинга, но также могут и вирусы) на компьютере могут вклиниваться в систему шифрования («резать», «инспектировать», «проверять» защищенные SSL/TLS-соединения).

Как минимум в таком были замечены: Avast (антивирус), Adguard (защита от рекламы), Kaspersky Internet Security, Kaspersky Endpoint Security 11, DLP Infowatch.

Необходимо проверить сертификат открывшегося сайта в браузере (обычно по нажатию на замочек виден — разных браузерах по разному). Сертификат сайта должен быть выдан ГАУ РК «ЦИТ» или Минкомсвязи (ГОСТ) или не самоподписанным CA (на 2019 г актуально GeoTrust RSA CA 2018).

Необходимо внести в исключения таких программ следующие адреса:

либо конкретный адрес информационной системы, при открытии которой появляются ошибки.

После изменения может потребоваться перезагрузка компьютера.

Если вклинивается вирус, его необходимо выявить и удалить.

Если все сертификаты выданы Local NetFlt CA 2, вероятнее всего это DLP (например, Infowatch).

Настройка KES 11 (на примере адреса jdoc.rkomi.ru)

  • В окне программы нажать на Настройка (с шестеренкой)
  • Общие параметры -> Параметры сети -> доверенные домены. Добавить jdoc.rkomi.ru. Сохранить
  • Базовая защита -> Защита от веб угроз -> Настройка -> Доверенные веб адреса. Добавить jdoc.rkomi.ru. Сохранить.

Если ни один из криптопровайдеров не подходит, необходимо последовательно отключать поддержку TLS 1.2, TLS 1.1 в Internet Explorer, при этом оставляя включенным TLS 1.0 (проблема фиксировалась на IE 11.413.15063 на Windows 10). В IE:

  • запустить свойства браузера, вкладка «Дополнительно»
  • убедиться, что галочку TLS 1.0 стоит
  • убрать галочку TLS 1.2, сохранить настройки, закрыть полностью все окна браузера, открыть сайт снова и попробовать.
  • если не заработало: проделать все то же самое, но отключить еще и TLS 1.1, не забыв перезапустить браузер.

Попробуйте несколько комбинаций Криптопровайдер-Браузер из таблицы.

Источник

Читайте также:  Как отремонтировать ноутбук acer aspire
Оцените статью
© 2024 Настройка и ремонт техники
Проблема Возможная причина Решение
Неверный сертификат (сообщения в браузере об ошибках или недоверии к сертификату сервера) в т.ч. ошибка DLG_FLAGS_INVALID_CA Сертификат Головного удостоверяющего центра Минкомсвязи не установлен или установлен не в то хранилище Сертификат Минкомсвязи должен быть установлен в хранилище Доверенных корневых сертификатов компьютера (лучше) или пользователя. После установки сертификата необходимо закрыть браузер (либо перезагрузить компьютер).
Неверное время на компьютере На компьютере установлено неверное время. Перепроверьте его. Также перероверьте часовой пояс. После исправлений перезагрузите компьютер.
Вводится неверный адрес информационной системы Перепроверьте адрес, по которому вы входите.
Система некорректно загружает сертификат Минкомсвязи из хранилища пользователя Корневой сертификат Минкомсвязи необходимо установить в хранилище локального компьютера (также в доверенные корневые центры сертификации).
Не работает шифрование по ГОСТ при попытке открыть сайт https://gost.security.rkomi.ru
Различные локальные проблемы с сертификатами. Например, в цепочке сертификатов находится один или нескольно недоверенных сертификатов
Устаревший браузер (например Internet Explorer в Windows XP) не поддерживает разные сертификаты на 1 IP
Различные ошибки вроде «Невозможно открыть сайт» и подобные Проблемы с криптопровайдером Смотрите решения ошибки SSLGOST-004. В особенности обратите внимание на TLS 1.1, 1.2
Если проблема неоткрытия сайта сопровождается тем, что в Internet Explorer даже невозможно открыть сайт с недействующим сертификатом (только закрыть его), и (или) в оснастке управления сертификатами в Доверенных корневых у всех ГОСТ-сертификатов (в том числе ГУЦ) пишет «Целостность этого сертификата не гарантирована. возможно, он поврежден или изменен.», «Этот сертификат содержит недйствительную цифровую подпись», а с остальными сертификатами (не ГОСТ) все нормально, то необходимо переустановить криптопровайдера (КриптоПРО CSP или ViPNet CSP).
Однажды фиксировалось на Windows 7 в IE, что при используемом провайдере ViPNet CSP нормально открывались сайты по ГОСТ 2001 (старое шифрование), но сайт с шифрованием ГОСТ 2012 не открывался. Решено переустановкой ViPNet CSP на КриптоПРО CSP 4 (с перезагрузкой).
Постоянно выводится сообщение «Отображать только безопасное содержимое веб-страниц?» в Internet Explorer Проблема в Internet Explorer 8 Лучший вариант: обновить Internet Explorer до последней версии. Альтернативно — вы можете убрать показ этой ошибки, настроив браузер.
Вместо страницы выводится просто белый экран. Например после ввода логина и пароля в системе SSLGOST. В Internet Explorer запрещены перенаправления в теге meta
Страница не открывается (время ожидания истекло) Проблемы с работой прокси-сервера Некоторые прокси-серверы, в том числе прозрачные, могут некорректно работать по HTTPS, с неподдерживаемыми протоколами шифрования. Необходимо настроить прокси.
Вводится неверный адрес информационной системы Перепроверьте адрес, по которому вы входите.
Ошибка SSLGOST-002: Сайт не найден в конфигурации веб-сервера
Ошибка SSLGOST-003: Доступ к информационной системе запрещен Пользователю системы доступа SSLGOST не выдан доступ к запрашиваемой информационной системе Соединение по ГОСТ успешно установлено, компьютер настроен корректно. Однако доступ к конкретным защищаемым информационным системам выдается по отдельному запросу. Просто иметь учетную запись на Портале по безопасности недостаточно.
Доступ открыт для одного пользователя, а в систему защиты входите под другим
Ошибка SSLGOST-004: В браузере отсутствуют или не работают функции шифрования по ГОСТ Не установлен криптопровайдер Установите программу-криптопровайдер согласно инструкции и перезагрузите компьютер.
У ViPNet CSP не включена поддержка TLS
У ViPNet CSP выключена поддержка MS Crypto API
  1. Запустите через Пуск программу ViPNet CSP
  2. На вкладке с настройками установите галочку Включить поддержку работы ViPNet CSP через MS Crypto API
  3. Сохраните настройки
  4. Перезагрузите компьютер
После установки криптопровайдера не был перезагружен компьютер Перезагрузите компьютер.
Криптопровайдер работает не полностью Если криптопровайдер установлен очень давно, есть вероятность, что какие-то его компоненты в результате сбоев, вирусных заражений и др. не работают. Необходимо попробовать переустановить криптопровайдер. Можно даже на такую-же версию, но желательно загружать последний релиз в этой версии (к примеру, если стоял Крипто-Про 3.6.1121, то надо ставить самую последнюю редакцию версии 3.6 — 3.6.777).
Антивирус, прокси-сервер или другая программа вклинивается в систему шифрования
Проблемы с поддержкой TLS 1.1, 1.2 на компьютере
Некорректно установился браузер КриптоПРО Fox Единожды было зафиксировано, что после первой установки КриптоПРО Fox, он установился неправильно (при этом ошибок не было) и в нем не поддерживались функции шифрования по ГОСТ. После переустановки криптопровайдера КриптоПРО с версии 3.6 на 4 (с перезагрузками) ничего не изменилось. Помогла повторная установка КриптоПРО Fox.
Не настроено ГОСТ-шифрование в Яндекс браузере Донастройте Яндекс-Браузер согласно инструкции. Замететьте, что ГОСТ-шифрование доступно только в корпоративной версии браузера, а не в домашней.
Браузер не поддерживает ГОСТ-шифрование (например, открыто в обычном Chrome)