Здравствуйте.

Странная ситуация начала происходить с рабочими станциями с Windows 7 Pro.

Пользователи работают с отечественными ресурсами Казначейства России (ЕИС Закупки, Электронный бюджет и пр.), на компьютерах установлен КриптоПро 5 (12900), актуальные версии веб-плагина и GOST Chromium 108/109 версий (последние для Windows 7) + запасным браузер Яндекс.

Жалобы начались на прошлой неделе, что тормозит открытие данных ресурсов, через какое-то время (проходит наверно пару минут) появляется ошибка ERR_CERT_UNABLE_TO_CHECK_REVOCATION

При этом тоже самое происходит если пытаться запустить проверку работы плагина причем в обоих браузерах - GOST Chromium и Яндексе.

Проблемы с доступом к точкам распространения/отзыва нет - все доступно.

Переустановка КриптоПро (в том числе с удалением и чисткой следов) и обновление его (и вебплагина) до последнего релиза не помогает.

Со стороны пользователей никаких изменений не происходило, т.к. вся их схема работы неизмена минимум последний год, обновлений на ОС так же никаких не устанавливалось.

Самое странное, что данная проблема не носит массовый характер, несмотря на однотипную конфигурацию рабочих станций и ПО на них. На текущий момент пока 2 таких случая обнаружилось.

Все эти варианты уже были отработаны. С точки зрения рабочих станций и доступа в интернет - ничего не менялось.

Проблема конкретно между криптопровайдером и конечным ресурсом с GOST.

По симптомам очень похоже на проблему, описанную в баге по GOST Chromium - https://github.com/deemru/Chromium-Gost/issues/71

Но там решение неприменимо к Windows 7.

В моем случае все оказалось просто.

У пользователей с данной проблемой есть особенность - это использование браузера Internet Explorer для доступа к ресурсу МГФОМС - msis.mgfoms.ru, для доступа к нему используется специальный прокси в сеть МГФОМС и, соответственно, на этапе проверки точек распространения/отзывов запрос идет через этот прокси (видимо Windows использует свой т.н. "системный прокси" для этого).

В самом GOST Chromium используется расширение переключения прокси SwitchyOmega (там свои сценарии доступа к различным ресурсам), но запросы по статусам сертификатов идут в "системный прокси".

Костыль - это вписать исключение прокси в Internet Explorer *.roskazna.ru, чтобы запросы уходили напрямую, без прокси.

Проблема в том, что несмотря на использование стороннего расширения для переключения прокси для доступа в Интернет (в используемом браузере GOST Chromium), запросы по валидации сертификатов все равно шли через "системное прокси".

Такое поведение оказалось неожиданным.