logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

14 Страницы«<910111213>»
Опции
К последнему сообщению К первому непрочитанному
Offline ruslan_nn  
#201 Оставлено : 9 ноября 2018 г. 9:39:44(UTC)
ruslan_nn

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.11.2018(UTC)
Сообщений: 2
Российская Федерация
Откуда: нн

Автор: Дмитрий Пичулин Перейти к цитате
Автор: ruslan_nn Перейти к цитате
Здравствуйте. Невозможно авторизоваться по электронной подписи на Национальной электронной площадке https://etp-ets.ru
При выборе пункта "По ЭП" появляется окно с предупреждением "Внимание! Для корректной работы системы требуется установить КриптоПро ЭЦП Browser plug-in."

nep.jpg (132kb) загружен 9 раз(а).

P.S. КриптоПро ЭЦП Browser plug-in (версия 2.0.13292) установлен, настроен и проверен на других сайтах.
Chromium + ГОСТ версия 70.0.3538.77

Если на других сайтах работает, обращайтесь в поддержку проблемного сайта.

Например, возможно они проверяют ваш браузер по белому списку и даже не пытаются работать с неизвестными им браузерами.


На сайте есть проверка настроек, в них на браузер он не ругается, ошибка только по поводу плагина
nep1.jpg (253kb) загружен 13 раз(а).

Я конечно понимаю что проще утверждать что данный сайт только для IE, но на большинстве сайтов такое требование (на zakupki.gov.ru,
электронный бюджет https://ssl.budgetplan.minfin.ru/bp например) и все же Chromium превосходно работает с ними и с кучей других сайтов где требуется данный плагин.
По опыту общения с говорящими головами из техподдержки могу сразу сказать что они будут тыкать пальцем в инструкции где написано как IE настраивать.
Но и не удивлюсь если на https://etp-ets.ru криво реализован алгоритм работы с данным плагином.
Offline Дмитрий Пичулин  
#202 Оставлено : 13 ноября 2018 г. 12:15:31(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 784
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
Harmattan оставлено 16.11.2018(UTC)
Offline Дмитрий Пичулин  
#203 Оставлено : 21 ноября 2018 г. 11:53:51(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 784
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Знания в базе знаний, поддержка в техподдержке
Offline Lirein  
#204 Оставлено : 25 ноября 2018 г. 20:44:46(UTC)
Lirein

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.09.2015(UTC)
Сообщений: 77
Мужчина
Российская Федерация
Откуда: На работе

Сказал «Спасибо»: 16 раз
Поблагодарили: 48 раз в 37 постах
С пятницы перестал открываться сайт https://lkul.nalog.ru, ошибка работы с криптографией: ERR_FAILED, тем не менее на https://zakupki.gov.ru/ и другие сайты с HTTPS пускает. Полная переустановка СКЗИ КриптоПро, смена версий Chromium-GOST и CryptoPro CSP на ситуацию не влияет.
--- Эльфиек на всех не хватает...
*** А всё таки, она вертится!
Offline Дмитрий Пичулин  
#205 Оставлено : 25 ноября 2018 г. 22:27:43(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 784
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: Lirein Перейти к цитате
С пятницы перестал открываться сайт https://lkul.nalog.ru, ошибка работы с криптографией: ERR_FAILED, тем не менее на https://zakupki.gov.ru/ и другие сайты с HTTPS пускает. Полная переустановка СКЗИ КриптоПро, смена версий Chromium-GOST и CryptoPro CSP на ситуацию не влияет.

Интересно. А со всеми любимого Internet Explorer тоже не открывается?
Знания в базе знаний, поддержка в техподдержке
Offline Gloktar  
#206 Оставлено : 28 ноября 2018 г. 9:04:32(UTC)
Gloktar

Статус: Участник

Группы: Участники
Зарегистрирован: 30.07.2015(UTC)
Сообщений: 29

Сказал(а) «Спасибо»: 4 раз
Автор: Lirein Перейти к цитате
С пятницы перестал открываться сайт https://lkul.nalog.ru, ошибка работы с криптографией: ERR_FAILED, тем не менее на https://zakupki.gov.ru/ и другие сайты с HTTPS пускает. Полная переустановка СКЗИ КриптоПро, смена версий Chromium-GOST и CryptoPro CSP на ситуацию не влияет.


добрый день. Нет решения ситуации? Не нашли?
Offline Дмитрий Пичулин  
#207 Оставлено : 28 ноября 2018 г. 15:30:14(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 784
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: Gloktar Перейти к цитате
Автор: Lirein Перейти к цитате
С пятницы перестал открываться сайт https://lkul.nalog.ru, ошибка работы с криптографией: ERR_FAILED, тем не менее на https://zakupki.gov.ru/ и другие сайты с HTTPS пускает. Полная переустановка СКЗИ КриптоПро, смена версий Chromium-GOST и CryptoPro CSP на ситуацию не влияет.


добрый день. Нет решения ситуации? Не нашли?

Да, проблема странная, сервер lkul.nalog.ru как-то странно работает по TLS 1.2, но нормально работает по TLS 1.0.

Попробуйте отключить поддержку TLS 1.1 и TLS 1.2 на клиенте, должно помочь:

Код:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters\Protocols\TLS 1.1\Client' -add long Enabled 0
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters\Protocols\TLS 1.2\Client' -add long Enabled 0

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
Lirein оставлено 01.12.2018(UTC)
Offline Gloktar  
#208 Оставлено : 29 ноября 2018 г. 10:12:31(UTC)
Gloktar

Статус: Участник

Группы: Участники
Зарегистрирован: 30.07.2015(UTC)
Сообщений: 29

Сказал(а) «Спасибо»: 4 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Gloktar Перейти к цитате
Автор: Lirein Перейти к цитате
С пятницы перестал открываться сайт https://lkul.nalog.ru, ошибка работы с криптографией: ERR_FAILED, тем не менее на https://zakupki.gov.ru/ и другие сайты с HTTPS пускает. Полная переустановка СКЗИ КриптоПро, смена версий Chromium-GOST и CryptoPro CSP на ситуацию не влияет.


добрый день. Нет решения ситуации? Не нашли?

Да, проблема странная, сервер lkul.nalog.ru как-то странно работает по TLS 1.2, но нормально работает по TLS 1.0.

Попробуйте отключить поддержку TLS 1.1 и TLS 1.2 на клиенте, должно помочь:

Код:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters\Protocols\TLS 1.1\Client' -add long Enabled 0
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters\Protocols\TLS 1.2\Client' -add long Enabled 0



да, спасибо. разобрались уже. Видимо после последних обновлений что то на своей стороне налог.ру опять поломали
Offline Lirein  
#209 Оставлено : 1 декабря 2018 г. 16:49:35(UTC)
Lirein

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.09.2015(UTC)
Сообщений: 77
Мужчина
Российская Федерация
Откуда: На работе

Сказал «Спасибо»: 16 раз
Поблагодарили: 48 раз в 37 постах
Спасибо, после отключения TLS1.2 и TLS1.1 - всё заработало. Ждём пока налоговая починит настройки сервера.
--- Эльфиек на всех не хватает...
*** А всё таки, она вертится!
Offline Дмитрий Пичулин  
#210 Оставлено : 6 декабря 2018 г. 11:02:05(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 784
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Знания в базе знаний, поддержка в техподдержке
Offline Aleksandr G*  
#211 Оставлено : 11 декабря 2018 г. 15:03:12(UTC)
Aleksandr G*

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 83

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 15 раз в 14 постах
Автор: Lirein Перейти к цитате
Спасибо, после отключения TLS1.2 и TLS1.1 - всё заработало. Ждём пока налоговая починит настройки сервера.


nalog.ru заработал по TLS 1.2. Можно возвращать настройки
Offline x09  
#212 Оставлено : 14 декабря 2018 г. 8:58:57(UTC)
x09

Статус: Участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 24
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Хотел добавить центр сертификации свой.. выбираю сертификат - а мне сначала три чекбокса когда доверять и потом - "Неизвестная ошибка".. в логе
[9968:9968:1214/104929.358431:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168
[9968:9968:1214/105159.838689:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168

не работает?
Offline Дмитрий Пичулин  
#213 Оставлено : 14 декабря 2018 г. 9:17:44(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 784
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#214 Оставлено : 14 декабря 2018 г. 9:19:28(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 784
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: x09 Перейти к цитате
Хотел добавить центр сертификации свой.. выбираю сертификат - а мне сначала три чекбокса когда доверять и потом - "Неизвестная ошибка".. в логе
[9968:9968:1214/104929.358431:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168
[9968:9968:1214/105159.838689:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168

не работает?

"Выбираю сертификат" где?

Если вы работаете в экосистеме КриптоПро CSP, то все действия необходимо делать пользуясь функционалом КриптоПро CSP.
Знания в базе знаний, поддержка в техподдержке
Offline x09  
#215 Оставлено : 14 декабря 2018 г. 10:47:14(UTC)
x09

Статус: Участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 24
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: x09 Перейти к цитате
Хотел добавить центр сертификации свой.. выбираю сертификат - а мне сначала три чекбокса когда доверять и потом - "Неизвестная ошибка".. в логе
[9968:9968:1214/104929.358431:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168
[9968:9968:1214/105159.838689:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168

не работает?

"Выбираю сертификат" где?

Если вы работаете в экосистеме КриптоПро CSP, то все действия необходимо делать пользуясь функционалом КриптоПро CSP.



в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ
криптопро тоже стоит, там они есть. Но на сайт закрытый ГОСТОм не пускает NET::ERR_CERT_AUTHORITY_INVALID

Offline Дмитрий Пичулин  
#216 Оставлено : 14 декабря 2018 г. 13:16:50(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 784
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: x09 Перейти к цитате
в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ

Браузер это не КриптоПро CSP.

Посмотреть список сертификатов корневых УЦ пользователя: /opt/cprocsp/bin/amd64/certmgr -list -store uroot
Установить корневой сертификат УЦ в хранилище сертификатов пользователя: /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file /path/to/cert
Знания в базе знаний, поддержка в техподдержке
Offline x09  
#217 Оставлено : 17 декабря 2018 г. 10:52:08(UTC)
x09

Статус: Участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 24
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: x09 Перейти к цитате
в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ

Браузер это не КриптоПро CSP.

Посмотреть список сертификатов корневых УЦ пользователя: /opt/cprocsp/bin/amd64/certmgr -list -store uroot
Установить корневой сертификат УЦ в хранилище сертификатов пользователя: /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file /path/to/cert


В криптопро все сертификаты есть, а браузер ругается все равно. Он как-то прозрачно должен с криптопро связыватся?

p.s. тестирую вот тут ppu.admtyumen.ru

2018-12-17_12-52.png (210kb) загружен 13 раз(а).

Отредактировано пользователем 17 декабря 2018 г. 10:54:26(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#218 Оставлено : 17 декабря 2018 г. 11:09:29(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 784
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: x09 Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: x09 Перейти к цитате
в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ

Браузер это не КриптоПро CSP.

Посмотреть список сертификатов корневых УЦ пользователя: /opt/cprocsp/bin/amd64/certmgr -list -store uroot
Установить корневой сертификат УЦ в хранилище сертификатов пользователя: /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file /path/to/cert


В криптопро все сертификаты есть, а браузер ругается все равно. Он как-то прозрачно должен с криптопро связыватся?

p.s. тестирую вот тут ppu.admtyumen.ru

2018-12-17_12-52.png (210kb) загружен 13 раз(а).

С большой вероятностью, цепочка до корневых не может построиться, возможно стоит промежуточные сертификаты добавить в цепочку сервера, чтобы он их пользователям отправлял в рамках TLS.

Лучше, конечно, тестировать TLS с помощью csptestf -tlsc, а потом уже в браузере.

Знания в базе знаний, поддержка в техподдержке
Offline x09  
#219 Оставлено : 17 декабря 2018 г. 12:09:52(UTC)
x09

Статус: Участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 24
Российская Федерация

Поблагодарили: 1 раз в 1 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: x09 Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: x09 Перейти к цитате
в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ

Браузер это не КриптоПро CSP.

Посмотреть список сертификатов корневых УЦ пользователя: /opt/cprocsp/bin/amd64/certmgr -list -store uroot
Установить корневой сертификат УЦ в хранилище сертификатов пользователя: /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file /path/to/cert


В криптопро все сертификаты есть, а браузер ругается все равно. Он как-то прозрачно должен с криптопро связыватся?

p.s. тестирую вот тут ppu.admtyumen.ru

2018-12-17_12-52.png (210kb) загружен 13 раз(а).

С большой вероятностью, цепочка до корневых не может построиться, возможно стоит промежуточные сертификаты добавить в цепочку сервера, чтобы он их пользователям отправлял в рамках TLS.

Лучше, конечно, тестировать TLS с помощью csptestf -tlsc, а потом уже в браузере.



т.е. проблема может быть на стороне сервера, а не клиента?
Offline two_oceans  
#220 Оставлено : 18 декабря 2018 г. 7:18:46(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 286
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 18 раз
Поблагодарили: 68 раз в 66 постах
Цитата:
т.е. проблема может быть на стороне сервера, а не клиента?
Проблема скорее на клиенте.

Просто в ряде случаев проблемы на клиенте с построением цепочки могут быть из-за конфликта сертификатов УЦ. Например, есть другой действительный сертификат этого же удостоверяющего центра и издатель в конечном сертификате в точности совпадает с полем субъект в сертификате этого УЦ, но значение идентификатора ключа УЦ отличается. Пусть при этом верного сертификата УЦ у клиента не установлено. В этом случае при построении цепочки некоторыми программами может быть проигнорировано отличие идентификатора ключа и построена неверная цепочка к совсем другому корневому сертификату. На человеческий взгляд это практически неотличимо пока не сравните идентификаторы ключей. Далее цифровая подпись конечного сертификата будет считаться неверной при проверке ключом УЦ из другого сертификата УЦ и конечный сертификат будет считаться поврежденным. Это очень актуальная проблема если Вы несколько лет пользуетесь сертификатами одного и того же УЦ и у клиентов множество "прошлогодних" сертификатов этого УЦ (выдаются они дольше чем на 1 год и еще действуют), но нет "свежего" сертификата.

Указание всех промежуточных сертификатом самим сервером значительно ослабляет проблему построения неверной цепочки для сертификата сервера. Обратите внимание, что для наилучшего эффекта промежуточные сертификаты не просто должны передаваться сервером по отдельности, а должны быть расположены по порядку и уже связаны в цепочку. Полностью проблема не снимается, так как корневой сертификат должен быть установлен у клиента и в связи промежуточного сертификата с корневым также возможна аналогичная ошибка, но в целом указание промежуточных сертификатов сервером стабилизирует построение цепочек клиентами.

Отредактировано пользователем 18 декабря 2018 г. 7:24:20(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
14 Страницы«<910111213>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.