Статус: Новичок
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 2 
|
Начиная с версии 1.11 nginx умеет из коробки подключать разные сертификаты.
Подключили ГОСТ и RSA сертификат для тестирования и обнаружили одну проблему.
В настройках nginx у нас стоит ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Соответственно при RSA сертификате используется TLSv1.2, тут все в порядке.
Пробуем подключиться через IE11 и в дебаге видим как IE11 пытается подключиться по TLSv1.2, но затем автоматически понижает до TLSv1.0 и соединение успешно происходит, тут тоже все в порядке.
Но при попытке открыть через КриптоПро Fox просто происходит ошибка о невозможности подключения. В дебаге видим, что была попытка подключения только по TLSv1.2.
Никакие попытки не увенчались успехом, пока не отключили в nginx TLSv1.1 и TLSv1.2.
Все бы ничего, но хотелось бы чтобы RSA сертификаты были с TLSv1.2.
Можно как-то сделать логику работы как у IE11?
Установлен КриптоПро CSP 4.0.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 112
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
|
А какой смысл делать логику как в IE - если он как раз понижает до уровня 1.0?
Возможно надо попробовать другую оболочку, где будет работать на 1.2?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 2
|
КриптоПро работает только по TLS 1.0
Нужно либо сделать логику как у IE, т.е. пытаться сначала установить соединение по TLS 1.2, а потом уже понижать
Либо проапдейтить КриптоПро чтобы он работал сразу по TLS 1.2.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.05.2015(UTC) Сообщений: 25 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Почему в КриптоПро FOX не работает КриптоПро ЭЦП Browser plug-in ?
|
|
|
|
|
|
 Статус: Сотрудник Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 4,786  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 9 раз
Поблагодарили: 402 раз в 366 постах
|
Поддержка КриптоПро Fox не самая приоритетная задача - - какие используете версии ОС, браузера, КриптоПро CSP и плагина?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.05.2015(UTC) Сообщений: 25 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
ОС - Vista, браузер - CPFOX 45, КриптоПро CSP - 3.6 R4 и плагин - 2.0.1303.0.
А как еще можно сделать веб-сайт с TLS ГОСТ мультиплатформенным?
|
|
|
|
|
|
Статус: Сотрудник Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 6,671 Сказал «Спасибо»: 242 раз
Поблагодарили: 758 раз в 637 постах
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.05.2015(UTC) Сообщений: 25 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Чья разработка? Можно ли доверять? Как пользователи Интернет могут его установить?
|
|
|
|
|
|
Статус: Сотрудник Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 6,671 Сказал «Спасибо»: 242 раз
Поблагодарили: 758 раз в 637 постах
|
Автор: bony599  Чья разработка? Можно ли доверять? Как пользователи Интернет могут его установить? Аналогично КриптоПРО FOX
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.05.2015(UTC) Сообщений: 25 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Автор: Андрей * Автор: bony599 Чья разработка? Можно ли доверять? Как пользователи Интернет могут его установить? Аналогично КриптоПРО FOX Установочные файлы Chromium + ГОСТ я не нашел. Кстати, разобрался, КриптоПро ЭЦП Browser plug-in не работает в КриптоПро FOX когда для него установлен режим активации с запросом (Ask To Activate).
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.05.2015(UTC) Сообщений: 25 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Почему то КриптоПро FOX когда запрашивает клиентский сертификат, он не выводит в списке сертификаты с промежуточными центрами сертификации (с длинными цепочками), из-за чего нельзя предъявить сертификат квалифицированной ЭП. Как это исправить? И можно ссылочку на установочные файлы Chromium + ГОСТ ? Отредактировано пользователем 21 марта 2017 г. 18:12:56(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник Группы: Участники
Зарегистрирован: 22.04.2015(UTC) Сообщений: 317  Сказал «Спасибо»: 4 раз
Поблагодарили: 50 раз в 50 постах
|
Добрый день Цитата:Почему то КриптоПро FOX когда запрашивает клиентский сертификат, он не выводит в списке сертификаты с промежуточными центрами сертификации (с длинными цепочками), из-за чего нельзя предъявить сертификат квалифицированной ЭП тут не очень понятно. Какая ОС? На каком носителе находится контейнер? Присутствует ли личный сертификат также в контейнере? Установлены ли все требующиеся корневые и промежуточные сертификаты?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.05.2015(UTC) Сообщений: 25 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
ОС Windows Vista.
Чтобы такой клиентский сертификат появлялся в списке КриптоПро Fox каждому пользователю интернета придется ежегодно устанавливать сертификат промежуточного УЦ, выпустившего клиентский сертификат, в контейнер Доверенные корневые ЦС.
Это надо бы исправить, т.к. достаточно доверия к корневому сертификату цепочки сертификатов - сертификату ГУЦ. MSIE предлагает такой сертификат без установки доверия к промежуточным сертификатам, но в Windows есть другая проблема - чтобы прошла проверка клиентского сертификата клиенту требуется установка сертификата УЦ, выпустившего клиентский сертификат, в контейнер Промежуточные ЦС.
Дык, какую ссылку давать клиентам на дистрибутивы Хромиума ГОСТ?
|
|
|
|
|
|
Статус: Сотрудник Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 349
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 51 раз в 45 постах
|
Автор: bony599 Дык, какую ссылку давать клиентам на дистрибутивы Хромиума ГОСТ? Все наши текущие релизы Хромиум-ГОСТ мы выкладываем здесь: https://github.com/deemru/chromium-gostНо, возможно, вам потребуются минимальные навыки (инструкции) по использованию github для пользователей: - зайти на проект chromium-gost на github: https://github.com/deemru/chromium-gost
- зайти в releases (или нажать в открывшемся описании на заголовок "Скачать")
- скачать наиболее свежий архив с релизом chromium-gost (для Windows файл оканчивается "-win32.7z")
- разархивировать архив (возможно потребуется установка архиватора 7z)
- зайти в разархивированную папку и запустить "chrome.exe"
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
