Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

145 Страницы«<2324252627>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#241 Оставлено : 15 февраля 2019 г. 13:02:47(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Варенуха Перейти к цитате
Здравствуйте!
Подскажите, насколько легитимно использовать данные сборки браузера при работе в ДБО?
Встраивание поддержки СКЗИ осуществляется в соответствие с требованиями 313-ПП, ПКЗ-2005?
Или это производится на энтузиазме неравнодушных).

Проект chromium-gost использует сертифицированный продукт КриптоПро CSP для установки TLS-соединений по ГОСТ, но не является самостоятельным сертифицированным продуктом.

Смысл проекта chromium-gost -- опытный браузер с поддержкой ГОСТ криптографии с открытым исходным кодом.

Вы можете пользоваться им без каких-либо гарантий.

Разработчики браузеров могут использовать опыт данного проекта в реализации своих продуктов.

На текущий момент, нам известны следующие браузеры с аналогичным функционалом: Яндекс.Браузер, Спутник.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
Варенуха оставлено 15.02.2019(UTC)
Offline DimaKolm  
#242 Оставлено : 15 февраля 2019 г. 13:03:11(UTC)
DimaKolm

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2019(UTC)
Сообщений: 4

Автор: Дмитрий Пичулин Перейти к цитате
Автор: DimaKolm Перейти к цитате
Есть в две машины с CentOS 7 основная и виртуальная.
С начало поставил на виртуальной КриптоПроCSP 5, плагин и Chromium, установил сертификаты. Все работает gosuslugi.ru, zakupki.gov.ru. На https://eruz.zakupki.gov.ru/auth/ пишет Безопасное подключение - Сертификат (действительный).

Повторил все тоже самое на основной машине. То же все работает, но ругается на https://eruz.zakupki.gov.ru/auth/ - подключение к сайту не защищено - Сертификат (недействительный).

Сертификаты устанавливал и там и там одни и те же. В чем может быть проблема?

Скорее всего разница между система всё же какая-то есть. Если уверены что разницы нет, ждём шаги по воспроизведению, начиная с шага установить чистую систему X.

В chromium-gost используется msspi для проверки сертификатов, этот код не менялся довольно давно, жалоб не поступало.

Chromium-gost свежей версии? У вас ошибка связана не с доверием, а с проверкой SAN, с этим мы бодались в прошлом году и вроде всё исправили.


Версия где все норм 72.0.3626.96 (Официальная сборка), stable (64 бит) и она же была там где проблема, потом обновился до 72.0.3626.109 (Официальная сборка), stable (64 бит), но проблема осталась.
Offline Дмитрий Пичулин  
#243 Оставлено : 15 февраля 2019 г. 13:05:10(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Aleksandr G* Перейти к цитате
Установка промежуточного сертификата помогает, а msspi не пытается выкачать промежуточные при CertGetCertificateChain или "использовать только то что прислал сервер (chromium-gost)" особенность chromium?

Это нормальное поведение. Сервер должен самостоятельно доказать, что у пользователя с ним есть доверие.

Знания в базе знаний, поддержка в техподдержке
Offline DimaKolm  
#244 Оставлено : 15 февраля 2019 г. 13:06:28(UTC)
DimaKolm

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2019(UTC)
Сообщений: 4

Автор: Aleksandr G* Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате

Установка CSP 5.0 по умолчанию устанавливает отечественные корневые сертификаты, но не промежуточные.

Если сервер не отправляет промежуточные сертификаты до корня, это ошибка сервера, он не предоставил цепочку, которую пользователь может проверить.

Есть два сценария:
1) использовать только то что прислал сервер (chromium-gost)
2) попытаться найти промежуточные сертификаты в сети, скачать их и построить цепочку (IE, отображение цепочки в Windows)

Таким образом, для решения конкретной задачи, достаточно добавить в хранилище промежуточные сертификаты, или научить сервер корректно отправлять промежуточные сертификаты до корня.


Установка промежуточного сертификата помогает, а msspi не пытается выкачать промежуточные при CertGetCertificateChain или "использовать только то что прислал сервер (chromium-gost)" особенность chromium?



А какие промежуточные сертификаты мне поставить? Я ставил два с zakupki.gov.ru из Файлы для настройки рабочего места - Сертификат Головного удостоверяющего центра (909 байт) и Сертификат Удостоверяющего центра Федерального казначейства (1.18 Кб).
Offline Дмитрий Пичулин  
#245 Оставлено : 15 февраля 2019 г. 13:09:07(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: DimaKolm Перейти к цитате
А какие промежуточные сертификаты мне поставить? Я ставил два с zakupki.gov.ru из Файлы для настройки рабочего места - Сертификат Головного удостоверяющего центра (909 байт) и Сертификат Удостоверяющего центра Федерального казначейства (1.18 Кб).

У вас другая проблема. Вам ответили выше.

Знания в базе знаний, поддержка в техподдержке
Offline x09  
#246 Оставлено : 18 февраля 2019 г. 9:32:28(UTC)
x09

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: x09 Перейти к цитате
а флеш не работает это баг или фича?

p.s. заработало лишь так chromium-gost --ppapi-flash-path=/usr/lib/adobe-flashplugin/libpepflashplayer.so

Не работает флеш за ненадобностью, выработалось стойкое мнение, что безопасность и флеш -- несовместимые вещи.

Никто и не жаловался.

Спасибо за решение.


Судя по всему, в новых версиях флеш выпилен окончательно?
Offline Дмитрий Пичулин  
#247 Оставлено : 18 февраля 2019 г. 10:24:31(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: x09 Перейти к цитате
Судя по всему, в новых версиях флеш выпилен окончательно?

Флеша в chromium-gost никогда не было.

Знания в базе знаний, поддержка в техподдержке
Offline DimaKolm  
#248 Оставлено : 18 февраля 2019 г. 10:44:30(UTC)
DimaKolm

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2019(UTC)
Сообщений: 4

Автор: Дмитрий Пичулин Перейти к цитате
Автор: DimaKolm Перейти к цитате
Есть в две машины с CentOS 7 основная и виртуальная.
С начало поставил на виртуальной КриптоПроCSP 5, плагин и Chromium, установил сертификаты. Все работает gosuslugi.ru, zakupki.gov.ru. На https://eruz.zakupki.gov.ru/auth/ пишет Безопасное подключение - Сертификат (действительный).

Повторил все тоже самое на основной машине. То же все работает, но ругается на https://eruz.zakupki.gov.ru/auth/ - подключение к сайту не защищено - Сертификат (недействительный).

Сертификаты устанавливал и там и там одни и те же. В чем может быть проблема?

Скорее всего разница между система всё же какая-то есть. Если уверены что разницы нет, ждём шаги по воспроизведению, начиная с шага установить чистую систему X.

В chromium-gost используется msspi для проверки сертификатов, этот код не менялся довольно давно, жалоб не поступало.

Chromium-gost свежей версии? У вас ошибка связана не с доверием, а с проверкой SAN, с этим мы бодались в прошлом году и вроде всё исправили.


Пытался воспроизвести на виртуальной машине, не получилось. На основной удалил chromium-gost, КритоПроCSP и плагин, потом поставил все заново, на какое-то время проблема ушла, но потом опять вернулась. Пробовал опят переставить, но безрезультатно. Что можете еще посоветовать сделать, куда смотреть? Хочется разобрать и решить проблему.
Offline Дмитрий Пичулин  
#249 Оставлено : 18 февраля 2019 г. 10:49:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: DimaKolm Перейти к цитате
На основной удалил chromium-gost, КритоПроCSP и плагин, потом поставил все заново, на какое-то время проблема ушла, но потом опять вернулась.

Вряд ли поможем.

Возможно опять закупки чудят: https://www.cryptopro.ru...ts&m=94325#post94325

Знания в базе знаний, поддержка в техподдержке
Offline INFINUM  
#250 Оставлено : 19 февраля 2019 г. 13:48:45(UTC)
INFINUM

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.02.2019(UTC)
Сообщений: 8
Мужчина
Российская Федерация

Сказал «Спасибо»: 3 раз
Друзья, при прохождении проверки на портале ФНС (http://lkul.nalog.ru/check.php) пишет:
Цитата:
Браузер с поддержкой шифрования ГОСТ 34.10-2001, 28147-89, ГОСТ Р 34.11-2012.
Используемый Браузер не поддерживает шифрования защищенных соединений по ГОСТ 34.10-2001, 28147-89, ГОСТ Р 34.11-2012

Я думал, что этот браузер как раз и собран для поддержки Российских криптографических алгоритмов или я что-то не так делаю?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
145 Страницы«<2324252627>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.