Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline vdchernikov  
#1 Оставлено : 12 ноября 2020 г. 18:59:10(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Добрый день.

Федеральное казначесвто в какойто момент выпустило новые пользовательские сертифкаты контейнеры
и корневые сертификаты.

И мы и в iOS и в Android приложении стали получать ошибку

Server: Continent TLS
Date: Thu, 12 Nov 2020 15:49:07 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 491
Connection: close

<html>
<head><title>400 The SSL certificate error</title></head>
<body bgcolor="white">
<center><h1>HTTPS-прокси. Ошибка сертификата</h1></center>
<ul><li>Сертификат имеет неправильное назначение</li><li>Сертификат отозван</li><li>Время действия сертификата еще не наступило</li><li>Срок действия сертификата истёк</li></ul>
</body>
</html>

хотя корневые сертифкаты в Android версии мы загрузили в TrustKeyStore а на iOS криптопро само както выкачивало их всегда.
Прикладываю лог содинения
Demidov.txt (417kb) загружен 4 раз(а).
Offline vdchernikov  
#2 Оставлено : 12 ноября 2020 г. 19:11:10(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
В продолжении темы:

мы взяли другой, тоже не работающий контейнер пользователя и ради эксперимента добавли в
этот контейнер цепочку доверенных сертифкатов.

И после этого сервер стал возвращать нужны ответ.

логи второго соединения также прикладываю
Babko.txt (402kb) загружен 4 раз(а).

ВОЗНИКЛИ вопросы:

1 почему С добавлением корневых сертифкатов сервер перестал возвращать ошибку 400 и стал возвращать нужный

2 Почему БЕЗ добавления цепочки сертифкатов соединение тоже устанавливается но ошибка 400,
почему не ругается на этапе проверки цепочки сертифкатов

Отредактировано пользователем 12 ноября 2020 г. 19:15:20(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#3 Оставлено : 12 ноября 2020 г. 19:57:06(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
Здравствуйте.
Довольно много раз уже отвечал на форуме: в контейнер лучше всего устанавливать полную цепочку (сертификат ключа подписи + промежуточные сертификаты + корневой), а не только сам сертификат ключа подписи, потому что когда сервер присылает список доверенных имен (distinguished names) в certificate_request, то это список имен root_subjects корневых сертификатов на сервере, и если в клиентском контейнере только сертификат подписи, а сама клиентская цепочка на самом деле больше двух сертификатов, например, CLIENT -> CA1 -> ROOT (т.е. 3 сертификата), то издатель CLIENT - это промежуточный CA1 (а не ROOT, как прислано в root_subjects), его нет в root_subjects, и CLIENT не пройдет проверку на издателя. А если в ключевом контейнере - цепочка, то по root_subjects пройдет именно CA1, т.к. его issuer (ROOT) есть в root_subjects, значит, и CLIENT пройдет проверку и будет оправлен на сервер.
Что касается установки корневых, то это, скорее всего, корневой СЕРВЕРНОЙ цепочки, к цепочке клиента он отношения не имеет. Если бы не было корневого сертификата серверной цепочки в trust store, то ошибка на клиенте была бы вида unknown_certificate, т.к. не удается построить цепочку сервера.

Отредактировано пользователем 12 ноября 2020 г. 20:03:05(UTC)  | Причина: Не указана

Offline vdchernikov  
#4 Оставлено : 13 ноября 2020 г. 8:57:34(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Евгений, но судя по логам криптопро оба сертифката Демьянов и Бабко оба прошли успешный хэндшейк.

Мы отправляем простой запрос и ждем ответ. И в случае сертифкатом Демьянова нам приходит 400 ошибка от Continent TLS
а в случае с Бабко где добавлена цепочка - успешный ответ - 302 с кукой и редиректом.

То есть соединение устанавливается успешно. Ниже я привожу из отладочного кода инфорамуцию из обьекта Response (java Android)

Цитата:
НЕУСПЕШНОЕ

Handshake{tlsVersion=TLS_1_0 cipherSuite=TLS_CIPHER_2012

peerCertificates=[

CN=Федеральное казначейство, OU=Управление информационной инфраструктурой,
O=Федеральное казначейство, L=г. Москва, ST=Москва, C=RU, EMAILADDRESS=isfk@roskazna.ru,
STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330,
OID.1.2.643.3.131.1.1=#120C303037373130353638373630,

CN=Федеральное казначейство, O=Федеральное казначейство, C=RU, L=Москва,
STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330,
OID.1.2.643.3.131.1.1=#120C303037373130353638373630, ST=г. Москва, EMAILADDRESS=uc_fk@roskazna.ru,

CN=Минкомсвязь России, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031,
O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru]

localCertificates=[

CN=Демидов Александр Юрьевич, OID.1.2.840.113549.1.9.2=1.2.643.3.61.1.1.6.502710.3.4.2.2,
SURNAME=Демидов, GIVENNAME=Александр Юрьевич, O=Федеральное казначейство, L=г. Москва, ST=г. Москва, C=RU,
EMAILADDRESS=ademidov@roskazna.ru, OID.1.2.643.100.3=#120B3032303237323830343939, OID.1.2.643.3.131.1.1=#120C363331393039363630383035]}




УСПЕШНОЕ

Handshake{tlsVersion=TLS_1_0 cipherSuite=TLS_CIPHER_2012

peerCertificates=[

CN=Федеральное казначейство, OU=Управление информационной инфраструктурой,
O=Федеральное казначейство, L=г. Москва, ST=Москва, C=RU, EMAILADDRESS=isfk@roskazna.ru,
STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330,
OID.1.2.643.3.131.1.1=#120C303037373130353638373630,

CN=Федеральное казначейство, O=Федеральное казначейство, C=RU, L=Москва,
STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330,
OID.1.2.643.3.131.1.1=#120C303037373130353638373630, ST=г. Москва, EMAILADDRESS=uc_fk@roskazna.ru,

CN=Минкомсвязь России,
OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031,
O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru]

localCertificates=[
CN=Бабко Надежда Витальевна, SURNAME=Бабко, GIVENNAME=Надежда Витальевна, O=ФЕДЕРАЛЬНОЕ КАЗНАЧЕЙСТВО, L=Москва, ST=г. Москва, C=RU,
EMAILADDRESS=nbabko@roskazna.ru, OID.1.2.643.100.3=#120B3035333635303137313339, OID.1.2.643.3.131.1.1=#120C343032353031313533383435,

CN=Федеральное казначейство, O=Федеральное казначейство, C=RU, L=Москва, STREET="Большой Златоустинский переулок, д. 6, строение 1",
OID.1.2.643.100.1=#120D31303437373937303139383330, OID.1.2.643.3.131.1.1=#120C303037373130353638373630, ST=г. Москва, EMAILADDRESS=uc_fk@roskazna.ru,

CN=Минкомсвязь России, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России,
STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru]}

Отредактировано пользователем 13 ноября 2020 г. 8:58:11(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#5 Оставлено : 13 ноября 2020 г. 9:44:33(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
Автор: vdchernikov Перейти к цитате
Евгений, но судя по логам криптопро оба сертифката Демьянов и Бабко оба прошли успешный хэндшейк.

Мы отправляем простой запрос и ждем ответ. И в случае сертифкатом Демьянова нам приходит 400 ошибка от Continent TLS
а в случае с Бабко где добавлена цепочка - успешный ответ - 302 с кукой и редиректом.

То есть соединение устанавливается успешно. Ниже я привожу из отладочного кода инфорамуцию из обьекта Response (java Android)

Я запутался. Вы пишете "Демьянов", но логи и сертификат "Демидова". Приложите тогда по каждому человеку отдельный лог и сертификат этого пользователя. Учитывая, что в certificate request сервера есть даже подчиненный (например, CN=Подчинённый тестовый УЦ ФК ГОСТ-2012), хотя должны быть только корневые, вполне может получиться, что какой-то из клиентских сертификатов будет принят даже без собственной цепочки в контейнере (так как пройдет проверку издателя именно из-за указанного промежуточного).

Offline vdchernikov  
#6 Оставлено : 13 ноября 2020 г. 9:51:08(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
да, извинте. речь идет только про Демидова и Бабко сертификаты. Логи их в первых двух сообщениях прикрепил,
посмотрите их если возможно

Отредактировано пользователем 13 ноября 2020 г. 9:52:06(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#7 Оставлено : 13 ноября 2020 г. 9:57:10(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
Приложите ещё, пожалуйста, сертификаты указанных клиентов.
Offline vdchernikov  
#8 Оставлено : 13 ноября 2020 г. 10:02:49(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Это сертификат Бабко - сервер возращает нужный ответ (302 редирект и куку авторизационную)

Babko.txt (402kb) загружен 4 раз(а).

Это сертифкат Демидова с ответом 400 error SSL certificate и закрытием соединения

Demidov.txt (417kb) загружен 4 раз(а).
Offline vdchernikov  
#9 Оставлено : 13 ноября 2020 г. 10:03:28(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
А, сертифкаты, секунду
Offline Евгений Афанасьев  
#10 Оставлено : 13 ноября 2020 г. 10:16:24(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
В логе у Демидова только сертификат подписи в контейнере, а у Бабко - вся цепочка. При этом оба отправляются.
Offline vdchernikov  
#11 Оставлено : 13 ноября 2020 г. 10:20:48(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
напишите пожалуйста адрес электронной почты вашей, не удается прикрепить сертифкаты в личном сообщении
Offline Евгений Афанасьев  
#12 Оставлено : 13 ноября 2020 г. 10:23:50(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
Написал в лс.
Offline Евгений Афанасьев  
#13 Оставлено : 13 ноября 2020 г. 11:59:59(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
Если открыть из контейнеров сертификаты Демидова и Бабко, то с промежуточным сертификатом "Федеральное казначейство" отсюда - https://roskazna.gov.ru/...e-sertifikaty/?year=2020 - и корневым Минкомсвязь строится (Widnows, установлен КриптоПро CSP) только Бабко, при том, что сведения об издателе ("Федеральное казначейство") сертификата Демидова сходятся с аналогичными в сертификате Бабко (явных отличий в сведениях о центре сертификации не увидал). Возможно, поэтому с Демидовым, хоть он и отправлен на сервер по логам (т.к. промежуточный "CN=Федеральное казначейство" есть в списке доверенных сервера в certificate_request), соединение не работает (неизвестная цепочка для сервера, когда он получает сертификат). А в самих сертификатах, к сожалению, нет расширения AIA со ссылкой на центр сертификации.

Отредактировано пользователем 13 ноября 2020 г. 12:13:31(UTC)  | Причина: Не указана

Offline vdchernikov  
#14 Оставлено : 13 ноября 2020 г. 12:19:11(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Но почему тогда не возникло ошибки Handshake для сертифката Демидова? То есть мы отослали сертифкат Демидова по логам и на это
отсылание сервер Continent TLS возвращает ошибку 400?
Offline Евгений Афанасьев  
#15 Оставлено : 13 ноября 2020 г. 12:22:42(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
Автор: vdchernikov Перейти к цитате
Но почему тогда не возникло ошибки Handshake для сертифката Демидова? То есть мы отослали сертифкат Демидова по логам и на это
отсылание сервер Continent TLS возвращает ошибку 400?

В логах видно только, что сертификат отправлен. Дальше уже сервер выполняет свои проверки и отвечает так или иначе.
После хендшейка сервер получает ваш запрос - обращение к какому-то ресурсу и, видимо, отвергает его.

Отредактировано пользователем 13 ноября 2020 г. 12:24:03(UTC)  | Причина: Не указана

Offline vdchernikov  
#16 Оставлено : 13 ноября 2020 г. 12:28:20(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
А почему он так странно отвергает, сертифкаты отличаются лишь наличием цепочки корневых.
Кроме того у нас есть один старый сертифкат который без цепочки корневых сертифкатов с ним содиенение устанавливается.
Пришлю вам его тоже в почту.
Offline Евгений Афанасьев  
#17 Оставлено : 13 ноября 2020 г. 12:30:01(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
Автор: vdchernikov Перейти к цитате
А почему он так странно отвергает, сертифкаты отличаются лишь наличием цепочки корневых.

Автор: Евгений Афанасьев Перейти к цитате
Если открыть из контейнеров сертификаты Демидова и Бабко, то с промежуточным сертификатом "Федеральное казначейство" отсюда - https://roskazna.gov.ru/...e-sertifikaty/?year=2020 - и корневым Минкомсвязь строится (Widnows, установлен КриптоПро CSP) только Бабко, при том, что сведения об издателе ("Федеральное казначейство") сертификата Демидова сходятся с аналогичными в сертификате Бабко (явных отличий в сведениях о центре сертификации не увидал). Возможно, поэтому с Демидовым, хоть он и отправлен на сервер по логам (т.к. промежуточный "CN=Федеральное казначейство" есть в списке доверенных сервера в certificate_request), соединение не работает (неизвестная цепочка для сервера, когда он получает сертификат). А в самих сертификатах, к сожалению, нет расширения AIA со ссылкой на центр сертификации.


Offline vdchernikov  
#18 Оставлено : 13 ноября 2020 г. 12:43:58(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Данный сертифкат Бабко мы кстати загружали и в iOS версии КриптоПРО но там сервер вернул 400,
а в Android приложении соединение установилось.
Offline Евгений Афанасьев  
#19 Оставлено : 13 ноября 2020 г. 13:27:32(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
В ios, скорее всего, промежуточный сертификат надо установить.
Offline Евгений Афанасьев  
#20 Оставлено : 13 ноября 2020 г. 14:07:34(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
Автор: vdchernikov Перейти к цитате
Кроме того у нас есть один старый сертифкат который без цепочки корневых сертифкатов с ним содиенение устанавливается.
Пришлю вам его тоже в почту.

Посмотрел. Тут цепочка строится через https://roskazna.gov.ru/...e-sertifikaty/?year=2018 Раз этот сертификат клиента сервером принимается, значит, на сервере есть этот промежуточный.
Итог:
1. Цепочка Бабко успешно строится через промежуточный https://roskazna.gov.ru/...e-sertifikaty/?year=2020 - раз сервер принимает Бабко, значит, на сервере есть этот промежуточный. Хендшейк успешный.
2. Цепочка Карловский успешно строится через промежуточный https://roskazna.gov.ru/...e-sertifikaty/?year=2018 - раз сервер принимает Карловский, значит, на сервере есть этот промежуточный. Хендшейк успешный.
3. Цепочка Демидов не строится ни через один из указанных промежуточных. Отыскать нужный не представилось возможным. Полагаю, и сервер также ничего не знает о таком промежуточном, и отвергает запросы (ошибка 400).

Отредактировано пользователем 13 ноября 2020 г. 14:08:35(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.