Добрый день.
Про актуальность статей подсказать не могу, так как с nginx вплотную не работал. Однако там вроде как чем дальше тем проще все стало, часть того что в теме уже не нужна на новых версиях.
Автор: ILya D есть таблица с браузерами, где указаны только: ИЕ, Спутник, Яндекс браузер и Хромиум-гост.
Список может пополняться. Заявлено у этих браузеров, ИЕ и Хромиум-гост можно сказать имеют поддержку от разработчиков самого криптопровайдера, а Спутник и Яндекс - чего-то допиливали. Всегда могут появится еще желающие допилить, но Опера и Мозилла пока такого желания не высказывали.
Автор: ILya D Правильно я понимаю, чтобы подключиться к серверу который работает по TLS GOST нужен обязательно один из этих браузеров + плагин крипто про + установленный серт УЦ выдавшего сертификаты установленные на сервер?
Клиенту нужен браузер, поддерживающий TLS GOST; криптопровайдер (в теории любой с компонентой TLS ГОСТ-2012, самые популярные КриптоПро CSP или Vipnet CSP, на практике - из поддерживаемых браузером); корневой сертификат для цепочки сертификатов сервера (если ГУЦ или Минкомсвязь, то поставится с КриптоПро CSP). Сервер можно настроить на передачу клиенту и сертификата промежуточного УЦ и сертификата самого сервера, то есть сертификат промежуточного УЦ может отсутствовать у клиента и тогда будет прислан сервером. Если же сервер не присылает сертификат промежуточного УЦ, то сертификат промежуточного УЦ должен быть заранее установлен у клиента.
Плагин для установления соединения с nginx не требуется, но понадобится при предъявлении пользователем сертификата. Предъявлении не в nginx, а сайту, который за ним, так как в большинстве случаев даже если nginx запросит сертификат пользователя (двусторонняя аутентификация), дальше эта информация не пойдет (к сайту, который за ним) и сайту придется запрашивать сертификат еще раз, уже через плагин. Плагин не обязательно должен быть КриптоПро (есть немало сайтов с кастомными плагинами, например, Госуслуги, Контур, торговые площадки), но плагин должен поддерживать тот криптопровайдер, что установлен у клиента.
Автор: ILya D И смогу ли я подключиться к серверу из других браузеров например из хрома, оперы или файр фокс используя шифрование TLS GOST?
Из самого браузера, используя шифрование TLS GOST - нет, но можно приукрасить, разрешить без гост или вставить прослойку между браузером и nginx у клиента.
1) Вы можете настроить конфигурацию nginx, в которой разрешено подключаться как по гост, так и по зарубежным алгоритмам. По зарубежным алгоритмам может быть как в точности такой же по контенту сайт как по ГОСТ (Госуслугам отсутствие гост не мешает, разрешено без гост тоже), так и, например, страница с предупреждением об отключенном ГОСТ и информация поддерживаемых браузерах и криптопровайдерах для TLS GOST ("приукрасить" облом) или запрос согласия продолжить без ГОСТ ("поставьте галочку, что мы Вас предупредили"). Это уже надо смотреть по тому, какой сайт за nginx и можно ли к нему без гост.
2) клиент может поставить и настроить себе между браузером и сайтом клиентскую часть криптотоннеля (например, stunnel-msspi, который по информации в соседней теме будет сертифицирован в составе КриптоПро CSP) в режиме снятия GOST TLS (клиент, https -> http) или замены GOST TLS на зарубежные алгоритмы (клиент + сервер, https -> http -> https). По схеме: браузер соединяется с stunnel-msspi, указывая FQDN сайта и порт stunnel (то есть в хостс клиента пишется FQDN сайта и IP 127.0.0.1), потом stunnel-msspi, слушающий порт на 127.0.0.1 соединяется с реальным IP адресом и портом сервера - так зайти будет возможно любым браузером. Исключение составляют только сайты с кучей редиректов, чувствительные к портам в запросе (например, ЕГИССО).
Формально расшифрованный трафик идет только между портами одного компьютера или внутри локальной сети, так что рисков для безопасности добавляет только в случае двусторонней аутентификации когда stunnel-msspi предъявляет сертификат сайту и любой пользователь компьютера или локальной сети теоретически может представится этим сертификатом. С другой стороны, это уже дело клиента.
Как представитель серверной стороны, Вы можете затруднить использование такого обхода stunnel-msspi редиректами, указанием в коде сайта полных адресов на страницы, таблицы стилей, скрипты, картинки сайта (ресурсы сайта). Точнее затрудняет то, что не указан порт и указан протокол https. Или наоборот упростить - используя только относительные адреса ресурсов сайта (в которых ни порта, ни протокола нет).
Отредактировано пользователем 2 апреля 2021 г. 13:08:00(UTC)
| Причина: Не указана