Здравствуйте.

После объявления о том, что опубликованная версия CSP 4 является финальной и рекомендовано обновление на CSP 5, мы так и сделали.

Через какое-то время после обновления начали наблюдать проблемы.

Сервер - Windows Server 2012 R2, на нём крутится IIS с включенной Windows аутентификацией, TLS закрыт обыкновенным RSA-шным сертификатом.
Крипто-Про используется для рутинных процедур наложить подпись, проверить и т.п., для TLS не используется.

Клиенты - у них Крипто-Про тоже установлен для работы с какими-то чужими сайтами, но при взаимодействии с нашим сервером Крипто-Про никак не используется. По крайней мере мы в коде делаем обыкновенное обращение к https endpoint-у и что дальше происходит зависит от операционной системы.

В какой-то момент после обновления на CSP 5 начали изредка ловить "The HTTP request is unauthorized with client authentication scheme 'Ntlm'. The authentication header received from the server was 'Negotiate,NTLM'. ---> System.Net.WebException: The remote server returned an error: (401) Unauthorized". Такие ошибки ранее очень редко пробегали когда контроллер домена перезагружается и то ли клиент, то ли сервер не успели переключиться на резервный КД. Вроде ничего страшного, но в какой-то момент количество этих ошибок стало сильно больше, чем потенциальные перезагрузки КД.
Расследование позволило сопоставить время таких ошибок с записями в журнале Windows идущими вот такими парами друг за другом:

• source=ssp eventId=300 CryptoPro TLS. Error 0x80090014 calling CSP: Invalid provider type specified.
  
• source=ssp eventId=300 CryptoPro TLS. Error %2 calling CSP: %1

Посмотрели настройки Крипто-Про - он оказывается установлен с Kernel mode CSP. Обновлялись с CSP 4 до CSP 5 кнопкой далее-далее, не понятно, встал ли ядерный модуль при обновлении или он стоял всегда.
Удалили kernel mode CSP т.к. не используем Крипто-Про для TLS, ошибки авторизации 401 сразу прекратились.

Однако, некоторые пользователи по прежнему жалуются на ошибки, связанные с TSL (не авторизация, а разрывы соеденения). Полезли смотреть логи и увидели те же самые ошибки ssp 300 CryptoPro TLS с тем же текстом ошибки. Мы пока что не смогли сопоставить точное время этих ошибок с проблемами пользователей, но тем не менее, если мы удалиил Kernel mode CSP, откуда могут браться вот эти ошибки ssp 300 CryptoPro TLS?