Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ILya D  
#1 Оставлено : 1 апреля 2021 г. 20:34:48(UTC)
ILya D

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2021(UTC)
Сообщений: 1
Российская Федерация

Коллеги, добрый день!

думаем настроить NGINX на работу только по гостовому TLS согласно статьям:
https://www.cryptopro.ru....aspx?g=posts&t=8544 4 года назад
https://www.cryptopro.ru...aspx?g=posts&t=12505 3 года назад
https://support.cryptopr...-c-podderzhkojj-gost-tls год назад

Лучше действовать по самой актуальной?

кажется на форумных постах больше шагов и действий описано.
+ в них нет ничего про запрос и установку патча.

И вопрос по подключение к такому серверу
в статье https://www.cryptopro.ru/products/csp/tls
есть таблица с браузерами, где указаны только: ИЕ, Спутник, Яндекс браузер и Хромиум-гост.

Правильно я понимаю, чтобы подключиться к серверу который работает по TLS GOST
нужен обязательно один из этих браузеров + плагин крипто про + установленный серт УЦ выдавшего сертификаты установленные на сервер?

И смогу ли я подключиться к серверу из других браузеров например из хрома, оперы или файр фокс используя шифрование TLS GOST?

Отредактировано пользователем 1 апреля 2021 г. 20:47:50(UTC)  | Причина: Не указана

Offline two_oceans  
#2 Оставлено : 2 апреля 2021 г. 13:02:08(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 318 раз в 300 постах
Добрый день.
Про актуальность статей подсказать не могу, так как с nginx вплотную не работал. Однако там вроде как чем дальше тем проще все стало, часть того что в теме уже не нужна на новых версиях.
Автор: ILya D Перейти к цитате
есть таблица с браузерами, где указаны только: ИЕ, Спутник, Яндекс браузер и Хромиум-гост.
Список может пополняться. Заявлено у этих браузеров, ИЕ и Хромиум-гост можно сказать имеют поддержку от разработчиков самого криптопровайдера, а Спутник и Яндекс - чего-то допиливали. Всегда могут появится еще желающие допилить, но Опера и Мозилла пока такого желания не высказывали.
Автор: ILya D Перейти к цитате
Правильно я понимаю, чтобы подключиться к серверу который работает по TLS GOST нужен обязательно один из этих браузеров + плагин крипто про + установленный серт УЦ выдавшего сертификаты установленные на сервер?
Клиенту нужен браузер, поддерживающий TLS GOST; криптопровайдер (в теории любой с компонентой TLS ГОСТ-2012, самые популярные КриптоПро CSP или Vipnet CSP, на практике - из поддерживаемых браузером); корневой сертификат для цепочки сертификатов сервера (если ГУЦ или Минкомсвязь, то поставится с КриптоПро CSP). Сервер можно настроить на передачу клиенту и сертификата промежуточного УЦ и сертификата самого сервера, то есть сертификат промежуточного УЦ может отсутствовать у клиента и тогда будет прислан сервером. Если же сервер не присылает сертификат промежуточного УЦ, то сертификат промежуточного УЦ должен быть заранее установлен у клиента.

Автор: ILya D Перейти к цитате
И смогу ли я подключиться к серверу из других браузеров например из хрома, оперы или файр фокс используя шифрование TLS GOST?
Из самого браузера, используя шифрование TLS GOST - нет, но можно приукрасить, разрешить без гост или вставить прослойку между браузером и nginx у клиента.

Отредактировано пользователем 2 апреля 2021 г. 13:08:00(UTC)  | Причина: Не указана

Offline Андрей Русев  
#3 Оставлено : 27 июля 2021 г. 14:12:21(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 832

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 209 раз в 163 постах
Правильно использовать только актуальную инструкцию: вместо openssl+gostengy надо использовать легализованный в КриптоПро CSP 5.0 R2 патч на nginx:
https://support.cryptopr...-c-podderzhkojj-gost-tls
Описанная инструкция позволяет устанавливать TLS-соединения одновременно как по ГОСТ TLS, так и по RSA TLS, не навязывая особых требований к браузеру клиента.
Официальная техподдержка. Официальная база знаний.
Online lab2  
#4 Оставлено : 5 октября 2021 г. 15:31:04(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 40
Российская Федерация

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 2 раз в 1 постах
Автор: Андрей Русев Перейти к цитате
вместо openssl+gostengy надо использовать легализованный в КриптоПро CSP 5.0 R2 патч на nginx:


По текущим лицензиям на серверную CSP,
"обычная" серверная лицензия будет действовать в связке openssl+gostengy, а для решения "КриптоПро CSP 5.0 R2 патч на nginx" необходим новый тип лицензии "Лицензия на право использования СКЗИ "КриптоПро CSP" версии 5.0 для одного TLS-сервера до 1000 одновременных подключений"

все так?
Offline alex_nur  
#5 Оставлено : 5 октября 2021 г. 17:56:56(UTC)
alex_nur

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
В данный момент используем оба варианта.
От первого варинта (gostengy) будем уходить, т.к. он не может быть сертифицирован в итоге, вдобавок не поддерживается больше. А по второму есть вопросы.
Приобрели лицензию "TLS-сервер на 1000 подключений". Установил и настроил по инструкции https://support.cryptopr...-c-podderzhkojj-gost-tls
ГОСТ работает по новой настройке там же где и работал при gostengy: IE11, Gost Chromium. Остальные браузеры только через RSA.

Вопрос такой. Установленный таким образом nginx позволяет осуществить подключение максимум TLS1.0. Устанавливал на Astra Linux SE Смоленск. Это проблема в КриптоПро CSP 5 R2 (нужно что-то дополнительно где-то указать?) или в ОС?
Gostengy, по которому вопросов нет, работает TLS1.2 (но там на обычную astra linux установлено).
Online lab2  
#6 Оставлено : 5 октября 2021 г. 18:26:57(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 40
Российская Федерация

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 2 раз в 1 постах
Автор: alex_nur Перейти к цитате
В данный момент используем оба варианта.


Как думаете по лицензиям, для gostengy достаточно обычной серверной лицензии? Вот если покупать сейчас для gostengy (несертифицируемый)+КриптоПро CSP 5 R2, с обычной серверной лицензией будет работать?

Интересно и наоборот - лицензия "TLS-сервер на 1000 подключений" будет работать с gostengy ?
Offline alex_nur  
#7 Оставлено : 5 октября 2021 г. 19:34:30(UTC)
alex_nur

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: lab2 Перейти к цитате

Как думаете по лицензиям, для gostengy достаточно обычной серверной лицензии? Вот если покупать сейчас для gostengy (несертифицируемый)+КриптоПро CSP 5 R2, с обычной серверной лицензией будет работать?


Было достаточно. Но не исключено, что в будущих версиях CSP не поставят запрет на использование "обычной серверной" лицензии. Возможно, что в R2 уже нельзя (этот вопрос лучше в техподдержку адресуйте), ведь TLS дороже. Думаю что точно вполне реально, что если не на R2, то на какой-нибудь более старой версии CSP точно работать будет.
У меня требование от безопасников, чтобы в дальнейшем проект подлежал сертификации. Я в этом не разбираюсь. Тут на форуме пояснили, что связку с gostengy никогда не удастся сертифицировать. Отсюда и приобретение TLS. Думаю, что безопасники и сами до конца не знают что там действительно нужно по ИБ в плане юридических вопросов. Сам я для себя уяснил, что если нет работы с гос.тайной, а просто используется обработка ПД, то необязательно вообще иметь сертификацию. На сайте ФСБ даже официальный ответ по этому поводу был: главное что защищено ГОСТом. Никто не будет штрафовать за то, что используются несертифицированные средства защиты. Но помимо требований законов РФ есть еще и внутренние ЛПА на предприятии, и вот там может быть ужесточение (хотя вроде никакой ЛПА не должен противоречить и ухудшать правовое положение в сравнении с ФЗ). Если бы мне лично (или моей фирме, в которой я был бы директором) необходим был бы SSL с ГОСТ, я бы использовал просто gostengy. Другое дело, что ничего не стоит на месте, и в будущем потребуется какая-либо фича, которой нет в связке с gostengy, и никто ее не реализует, т.к. эта связка больше не развивается.

Автор: lab2 Перейти к цитате

Интересно и наоборот - лицензия "TLS-сервер на 1000 подключений" будет работать с gostengy ?


Точно будет. Проверено.
Offline two_oceans  
#8 Оставлено : 6 октября 2021 г. 8:06:59(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 318 раз в 300 постах
Цитата:
Если бы мне лично ... необходим был бы SSL с ГОСТ, я бы использовал просто gostengy. Другое дело, что ничего не стоит на месте, и в будущем потребуется какая-либо фича, которой нет в связке с gostengy, и никто ее не реализует, т.к. эта связка больше не развивается.
Соглашусь полностью. Тут есть наверняка есть минимум 2 фактора изменений: 1) для использования TLS openssl (как сам openssl, так и его библиотеки в других продуктах nginx и т.д.) нужно поддерживать в актуальной версии, так как там все время находят уязвимости. Соответственно новая версия openssl может уже оказаться несовместимой с gostengy. Поэтому более перспективно использование gostengy с openssl только в качестве внутреннего УЦ - в этом случае уязвимости TLS значения не имеют и по сертификацию тоже речи не идет, обновлять openssl необходимости нет;
2) поддержка гост-2015 - когда она будет внедряться, определенно gostengy уже не поспеет. End of Line.
Цитата:
Как думаете по лицензиям,
Думаю, что gostengy продолжит работать, так как по сути может использоваться и в клиентском ПО, а поддержки новых алгоритмов там уже ожидать не приходится. Так этот путь будет просто временным отступлением от "генеральной линии партии".

Более интересно, что теперь еще и stunnel входит в состав сертифицированного СКЗИ. Так Вы можете и на клиентских ос снимать шифрование гост либо перешифровать на rsasha256 и использовать в браузерах без поддержки гост. Зачем какие-то патчи если можно сервер расположить за ним (разве что из-за возможности при патче принимать и гост и не-гост)? Вот с лицензией конечно вопрос - полагаю теперь на stunnel требуется отдельная (которая тут упоминается как вариант 2)?

Отредактировано пользователем 6 октября 2021 г. 8:09:58(UTC)  | Причина: Не указана

Offline alex_nur  
#9 Оставлено : 6 октября 2021 г. 12:13:01(UTC)
alex_nur

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2020(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: alex_nur Перейти к цитате
В данный момент используем оба варианта.
Установленный таким образом nginx позволяет осуществить подключение максимум TLS1.0. Устанавливал на Astra Linux SE Смоленск. Это проблема в КриптоПро CSP 5 R2 (нужно что-то дополнительно где-то указать?) или в ОС?
Gostengy, по которому вопросов нет, работает TLS1.2 (но там на обычную astra linux установлено).


Ответила техподдержка, что версии TLS регулируются директивой
sspi_protocols TLSv1 TLSv1.1 TLSv1.2;

Работает, подтверждаю.
В инструкции https://support.cryptopr...-c-podderzhkojj-gost-tls директива sspi_protocols тоже указана, однако там она относится к комментарию:
sspi_certificate 0x00E3CD25AA5310D07F; # RSA cert serial sspi_protocols TLSv1.2;

Для меня из инструкции было неочевидным, что sspi_protocols TLSv1.2 является самостоятельной директивой, т.к. все сливалось в комментарий к директиве sspi_certificate.
Попросил, чтобы в инструкцию внесли изменение.
thanks 1 пользователь поблагодарил alex_nur за этот пост.
two_oceans оставлено 06.10.2021(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.