logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123
Опции
К последнему сообщению К первому непрочитанному
Offline mironnik  
#41 Оставлено : 14 октября 2016 г. 11:04:15(UTC)
mironnik

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.10.2016(UTC)
Сообщений: 2
Российская Федерация

Начиная с версии 1.11 nginx умеет из коробки подключать разные сертификаты.
Подключили ГОСТ и RSA сертификат для тестирования и обнаружили одну проблему.
В настройках nginx у нас стоит ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Соответственно при RSA сертификате используется TLSv1.2, тут все в порядке.
Пробуем подключиться через IE11 и в дебаге видим как IE11 пытается подключиться по TLSv1.2, но затем автоматически понижает до TLSv1.0 и соединение успешно происходит, тут тоже все в порядке.
Но при попытке открыть через КриптоПро Fox просто происходит ошибка о невозможности подключения. В дебаге видим, что была попытка подключения только по TLSv1.2.
Никакие попытки не увенчались успехом, пока не отключили в nginx TLSv1.1 и TLSv1.2.
Все бы ничего, но хотелось бы чтобы RSA сертификаты были с TLSv1.2.
Можно как-то сделать логику работы как у IE11?

Установлен КриптоПро CSP 4.0.
Offline Винтик  
#42 Оставлено : 14 октября 2016 г. 16:19:48(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 156

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 3 раз в 3 постах
А какой смысл делать логику как в IE - если он как раз понижает до уровня 1.0?
Возможно надо попробовать другую оболочку, где будет работать на 1.2?
Offline mironnik  
#43 Оставлено : 14 октября 2016 г. 16:28:17(UTC)
mironnik

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.10.2016(UTC)
Сообщений: 2
Российская Федерация

КриптоПро работает только по TLS 1.0
Нужно либо сделать логику как у IE, т.е. пытаться сначала установить соединение по TLS 1.2, а потом уже понижать
Либо проапдейтить КриптоПро чтобы он работал сразу по TLS 1.2.
Offline bony599  
#44 Оставлено : 7 марта 2017 г. 18:14:50(UTC)
bony599

Статус: Участник

Группы: Участники
Зарегистрирован: 15.05.2015(UTC)
Сообщений: 25
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Почему в КриптоПро FOX не работает КриптоПро ЭЦП Browser plug-in ?
Offline maxdm  
#45 Оставлено : 8 марта 2017 г. 19:27:12(UTC)
maxdm


Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 4,867
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 420 раз в 383 постах
Поддержка КриптоПро Fox не самая приоритетная задача - - какие используете версии ОС, браузера, КриптоПро CSP и плагина?
Offline bony599  
#46 Оставлено : 9 марта 2017 г. 11:25:41(UTC)
bony599

Статус: Участник

Группы: Участники
Зарегистрирован: 15.05.2015(UTC)
Сообщений: 25
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
ОС - Vista, браузер - CPFOX 45, КриптоПро CSP - 3.6 R4 и плагин - 2.0.1303.0.
А как еще можно сделать веб-сайт с TLS ГОСТ мультиплатформенным?
Offline Андрей *  
#47 Оставлено : 9 марта 2017 г. 11:33:48(UTC)
Андрей *


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 6,919
Мужчина
Российская Федерация

Сказал «Спасибо»: 249 раз
Поблагодарили: 823 раз в 684 постах
Здравствуйте.

ГОСТ TLS поддерживает еще один продукт: Chromium + ГОСТ
Offline bony599  
#48 Оставлено : 9 марта 2017 г. 11:49:24(UTC)
bony599

Статус: Участник

Группы: Участники
Зарегистрирован: 15.05.2015(UTC)
Сообщений: 25
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Чья разработка? Можно ли доверять? Как пользователи Интернет могут его установить?
Offline Андрей *  
#49 Оставлено : 9 марта 2017 г. 11:53:46(UTC)
Андрей *


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 6,919
Мужчина
Российская Федерация

Сказал «Спасибо»: 249 раз
Поблагодарили: 823 раз в 684 постах
Автор: bony599 Перейти к цитате
Чья разработка? Можно ли доверять? Как пользователи Интернет могут его установить?


Аналогично КриптоПРО FOX
Offline bony599  
#50 Оставлено : 9 марта 2017 г. 12:26:08(UTC)
bony599

Статус: Участник

Группы: Участники
Зарегистрирован: 15.05.2015(UTC)
Сообщений: 25
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Автор: Андрей * Перейти к цитате
Автор: bony599 Перейти к цитате
Чья разработка? Можно ли доверять? Как пользователи Интернет могут его установить?


Аналогично КриптоПРО FOX


Установочные файлы Chromium + ГОСТ я не нашел.

Кстати, разобрался, КриптоПро ЭЦП Browser plug-in не работает в КриптоПро FOX когда для него установлен режим активации с запросом (Ask To Activate).

Offline bony599  
#51 Оставлено : 21 марта 2017 г. 18:12:25(UTC)
bony599

Статус: Участник

Группы: Участники
Зарегистрирован: 15.05.2015(UTC)
Сообщений: 25
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Почему то КриптоПро FOX когда запрашивает клиентский сертификат, он не выводит в списке сертификаты с промежуточными центрами сертификации (с длинными цепочками), из-за чего нельзя предъявить сертификат квалифицированной ЭП. Как это исправить?
И можно ссылочку на установочные файлы Chromium + ГОСТ ?

Отредактировано пользователем 21 марта 2017 г. 18:12:56(UTC)  | Причина: Не указана

Offline ГОСТface_killah  
#52 Оставлено : 29 марта 2017 г. 12:29:48(UTC)
ГОСТface_killah


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 22.04.2015(UTC)
Сообщений: 317
Мужчина
Ямайка

Сказал «Спасибо»: 4 раз
Поблагодарили: 50 раз в 50 постах
Добрый день

Цитата:
Почему то КриптоПро FOX когда запрашивает клиентский сертификат, он не выводит в списке сертификаты с промежуточными центрами сертификации (с длинными цепочками), из-за чего нельзя предъявить сертификат квалифицированной ЭП
тут не очень понятно.
Какая ОС? На каком носителе находится контейнер? Присутствует ли личный сертификат также в контейнере? Установлены ли все требующиеся корневые и промежуточные сертификаты?
Offline bony599  
#53 Оставлено : 30 марта 2017 г. 10:44:24(UTC)
bony599

Статус: Участник

Группы: Участники
Зарегистрирован: 15.05.2015(UTC)
Сообщений: 25
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
ОС Windows Vista.
Чтобы такой клиентский сертификат появлялся в списке КриптоПро Fox каждому пользователю интернета придется ежегодно устанавливать сертификат промежуточного УЦ, выпустившего клиентский сертификат, в контейнер Доверенные корневые ЦС.
Это надо бы исправить, т.к. достаточно доверия к корневому сертификату цепочки сертификатов - сертификату ГУЦ. MSIE предлагает такой сертификат без установки доверия к промежуточным сертификатам, но в Windows есть другая проблема - чтобы прошла проверка клиентского сертификата клиенту требуется установка сертификата УЦ, выпустившего клиентский сертификат, в контейнер Промежуточные ЦС.
Дык, какую ссылку давать клиентам на дистрибутивы Хромиума ГОСТ?
Offline pd  
#54 Оставлено : 30 марта 2017 г. 12:23:26(UTC)
pd


Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 455
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 65 раз в 54 постах
Автор: bony599 Перейти к цитате
Дык, какую ссылку давать клиентам на дистрибутивы Хромиума ГОСТ?

Все наши текущие релизы Хромиум-ГОСТ мы выкладываем здесь: https://github.com/deemru/chromium-gost

Но, возможно, вам потребуются минимальные навыки (инструкции) по использованию github для пользователей:
  • зайти на проект chromium-gost на github: https://github.com/deemru/chromium-gost
  • зайти в releases (или нажать в открывшемся описании на заголовок "Скачать")
  • скачать наиболее свежий архив с релизом chromium-gost (для Windows файл оканчивается "-win32.7z")
  • разархивировать архив (возможно потребуется установка архиватора 7z)
  • зайти в разархивированную папку и запустить "chrome.exe"



RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.