Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Добрый день. Коллеги! Наверно вопрос не совсем по адресу, но до техподдержки федерального казначейства сложно достучаться. Возникла проблемка - ночью с позавчера на вчера были работы на сайте gasu-office.roskazna.ru и вот уже второй день не могу к нему подключиться. Проверяю на компьютере без антивируса c Win7 x64 (только майкрософтовский защитник), но все те же симптомы на другом компьютере и с Win 10 x64 с Касперским (там меньше браузеров). На том же компьютере Win7 x64 на госзакупки без проблем заходит по гост tls. Подскажите как диагностировать в чем именно ошибка.
До обновления сайта (2 дня назад проверял) работало по 2 схемам: 1) браузеры с поддержкой гост tls (хромиум-гост 77(...102), интернет эксплорер 11, криптопро фокс 31-45) заходили напрямую; 2) браузеры без поддержки гост - ff esr 60.7 и новая опера с исправлением хостс (127.0.0.1 gasu-office.roskazna.ru) через двойной слой stunnel-msspi 5.44 (первый расшифровывает гост, второй подключается к первому и зашифровывает соединение алгоритмом rsa при помощи сертификата выданного доменным УЦ). При верном подключении сайт перенаправит на госуслуги для входа по ЭП.
После обновления сайта ничего этого не работает: хромиум-гост выдает "Сайт gasu-office.roskazna.ru отправил недействительный ответ". ИЕ пишет стандартно невозможно отобразить страницу, возможно дело в шифрах. Криптопро фокс 45 "An error occurred during a connection to gasu-office.roskazna.ru. Peer reports it experienced an internal error. Error code: SSL_ERROR_INTERNAL_ERROR_ALERT Страница, которую вы пытаетесь просмотреть, не может быть отображена, так как достоверность полученных данных не может быть проверена." Сервер крашится что ли?
Браузеры без гост напрямую (ff esr 60.7 напрямую без правки хостс) ожидаемо выдают SSL_ERROR_NO_CYPHER_OVERLAP, то есть похоже в этом случае сервер отвечает и не крашится. В старой опере напрямую "Безопасное подключение: критическая ошибка (40) с сервера", что тоже ожидаемо и ничего не проясняет.
ff esr 60.7 (после обновления до 60.9 то же) через первый слой stunnel-msspi (то есть только снятие гост-tls) пишет "Соединение было сброшено". Сам первый слой stunnel-msspi в лог пишет что сервер внезапно отключился ("s_connect: connected 94.25.27.210:443" "SSL_connect: Peer suddenly disconnected"). OpenSSL 1.1.0 тоже не подключается, получает 7 байт ответа. Явная активация движка gostengy ничего не меняет.
В общем, получается проблема с самим tls соединением и до сертификатов явно не доходит. Ничего не понимаю: не нравится версия TLS, не нравится гост, не нравится время или на сайте просто что-то крашится? Как точно узнать причину или как интерперетировать эти 7 байт ответа сервера (15 03 03 00 02) + (02 28)? Почитать какой-то RFC наверно? Отредактировано пользователем 11 октября 2019 г. 6:53:08(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,045
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 141 раз в 127 постах
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,451 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 32 раз Поблагодарили: 418 раз в 309 постах
|
Автор: two_oceans Добрый день. Коллеги! Наверно вопрос не совсем по адресу, но до техподдержки федерального казначейства сложно достучаться. Возникла проблемка - ночью с позавчера на вчера были работы на сайте gasu-office.roskazna.ru и вот уже второй день не могу к нему подключиться. Проверяю на компьютере без антивируса c Win7 x64 (только майкрософтовский защитник), но все те же симптомы на другом компьютере и с Win 10 x64 с Касперским (там меньше браузеров). На том же компьютере Win7 x64 на госзакупки без проблем заходит по гост tls. Подскажите как диагностировать в чем именно ошибка.
До обновления сайта (2 дня назад проверял) работало по 2 схемам: 1) браузеры с поддержкой гост tls (хромиум-гост 77(...102), интернет эксплорер 11, криптопро фокс 31-45) заходили напрямую; 2) браузеры без поддержки гост - ff esr 60.7 и новая опера с исправлением хостс (127.0.0.1 gasu-office.roskazna.ru) через двойной слой stunnel-msspi 5.44 (первый расшифровывает гост, второй подключается к первому и зашифровывает соединение алгоритмом rsa при помощи сертификата выданного доменным УЦ). При верном подключении сайт перенаправит на госуслуги для входа по ЭП.
После обновления сайта ничего этого не работает: хромиум-гост выдает "Сайт gasu-office.roskazna.ru отправил недействительный ответ". ИЕ пишет стандартно невозможно отобразить страницу, возможно дело в шифрах. Криптопро фокс 45 "An error occurred during a connection to gasu-office.roskazna.ru. Peer reports it experienced an internal error. Error code: SSL_ERROR_INTERNAL_ERROR_ALERT Страница, которую вы пытаетесь просмотреть, не может быть отображена, так как достоверность полученных данных не может быть проверена." Сервер крашится что ли?
Браузеры без гост напрямую (ff esr 60.7 напрямую без правки хостс) ожидаемо выдают SSL_ERROR_NO_CYPHER_OVERLAP, то есть похоже в этом случае сервер отвечает и не крашится. В старой опере напрямую "Безопасное подключение: критическая ошибка (40) с сервера", что тоже ожидаемо и ничего не проясняет.
ff esr 60.7 (после обновления до 60.9 то же) через первый слой stunnel-msspi (то есть только снятие гост-tls) пишет "Соединение было сброшено". Сам первый слой stunnel-msspi в лог пишет что сервер внезапно отключился ("s_connect: connected 94.25.27.210:443" "SSL_connect: Peer suddenly disconnected"). OpenSSL 1.1.0 тоже не подключается, получает 7 байт ответа. Явная активация движка gostengy ничего не меняет.
В общем, получается проблема с самим tls соединением и до сертификатов явно не доходит. Ничего не понимаю: не нравится версия TLS, не нравится гост, не нравится время или на сайте просто что-то крашится? Как точно узнать причину или как интерперетировать эти 7 байт ответа сервера (15 03 03 00 02) + (02 28)? Почитать какой-то RFC наверно? Лучший вариант для отладки -- банальный дамп трафика, обычно всё сразу становится понятно. |
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Включил Wireshark на соседнем компьютере Win 7 32 - в Wireshark конечно есть расшифровка протокола, но понятнее стало не до конца: хромиум-гост 77 (...90) открыл 2 соединения до gasu-office.roskazna.ru и отправил в каждый ClientHello TLS 1.0, на это сервер ответил Alert, TLS 1.2, длина 2, содержание: Уровень: Fatal Описание: Internal error 80 (0x50). Нашел коды https://blogs.msdn.micro...rotocol-the-alert-codes/80 "An internal error unrelated to the peer or the correctness of the protocol makes it impossible to continue, such as a memory allocation failure. The error is not related to protocol. This message is always fatal." Правильно ли я понимаю, что это что-то на серверной стороне не связанное напрямую с настройками клиентских машин и можно спокойно ждать исправления не меняя настроек? Видно что у openssl был другой код ошибки 40 (0x28): handshake_failure. "Indicates that the sender was unable to negotiate an acceptable set of security parameters given the options available. This is a fatal error." то есть не сошлись шифры. К слову, как отрегулировать чтобы хромиум отправил TLS 1.2? Отредактировано пользователем 11 октября 2019 г. 11:01:33(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,451 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 32 раз Поблагодарили: 418 раз в 309 постах
|
Автор: two_oceans Включил Wireshark на соседнем компьютере Win 7 32 - в Wireshark конечно есть расшифровка протокола, но понятнее стало не до конца: хромиум-гост 77 (...90) открыл 2 соединения до gasu-office.roskazna.ru и отправил в каждый ClientHello TLS 1.0, на это сервер ответил Alert, TLS 1.2, длина 2, содержание: Уровень: Fatal Описание: Internal error 80 (0x50). Нашел коды https://blogs.msdn.micro...rotocol-the-alert-codes/80 "An internal error unrelated to the peer or the correctness of the protocol makes it impossible to continue, such as a memory allocation failure. The error is not related to protocol. This message is always fatal." Правильно ли я понимаю, что это что-то на серверной стороне не связанное напрямую с настройками клиентских машин и можно спокойно ждать исправления не меняя настроек? Видно что у openssl был другой код ошибки 40 (0x28): handshake_failure. "Indicates that the sender was unable to negotiate an acceptable set of security parameters given the options available. This is a fatal error." то есть не сошлись шифры. Можете приаттачить? Посмотрим. Автор: two_oceans К слову, как отрегулировать чтобы хромиум отправил TLS 1.2? https://www.cryptopro.ru...&m=102945#post102945 |
|
1 пользователь поблагодарил pd за этот пост.
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Сейчас заработало, хотя никаких действий не предпринимал. Если появится снова ошибка в каком формате лучше сохранять дамп?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,451 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 32 раз Поблагодарили: 418 раз в 309 постах
|
Автор: two_oceans Сейчас заработало, хотя никаких действий не предпринимал. Если появится снова ошибка в каком формате лучше сохранять дамп? В любом формате, лучше .cap/.pcap. |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close