Bus gov ru ошибка сертификата

miheyich	#1 Оставлено : 22 марта 2019 г. 10:02:54(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 22.03.2019(UTC) Сообщений: 3 Откуда: Vdk Сказал(а) «Спасибо»: 1 раз	Доброго времени суток всем) Возможно пишу не по адресу, но уже не знаю куда обратиться, так как официальная поддержка заколебала безрезультатными переписками уже неделю, а сам переделал уже всё что мог. Комп, чистая установка специально для эксперимента: 1) Win 10 со всеми обновами (стороннего антивируса нет, только встроенный) 2) КриптоПро CSP 4.0.9963 (ядро 4.0.9019 КС1) 3) IE 11.648.17134.0 Проделал все настройки согласно инструкциям на сайте ГМУ (bus.gov.ru), уже несколько раз всё внимательно перепроверил. При попытке зайти в личный кабинет на bus.gov.ru IE кидает ошибку: Не удается безопасно подключиться к этой странице Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS. Если это будет повторяться, обратитесь к владельцу веб-сайта. Для параметров безопасности протокола TLS не установлены значения по умолчанию, что также могло стать причиной ошибки. При попытке зайти хромом: Этот сайт не может обеспечить безопасное соединение На сайте private.bus.gov.ru используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH Однако, при попытке зайти через Edge все проходит ровно, вылазит окошко ввода PIN, ввожу, успешно захожу в личный кабинет, но проблема в том, что Edge официально порталом не поддерживается в части возможности подписи документов. Я понимаю, что это не форум поддержки пользователей bus.gov.ru, но может все-таки у кого-то тоже была подобная проблема и её как-то удалось решить? Причем примерно до середины-20 чисел января 2019 года через IE все работало, после чего то ли вышло какое-то обновление, то ли ещё какие-то изменения произошли, в результате чего зайти на портал больше не удается. Официальная поддержка принимает от меня обращения и каждый раз кидает одну и ту же дичь с одной и той же инструкцией. Составление каждого обращения занимает по полчаса, вагон скринов, описание как для даунов и в итоге просто одна и та же инструкция в ответ.

two_oceans	#2 Оставлено : 22 марта 2019 г. 10:59:33(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,598 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 388 раз в 363 постах	Сочувствую. В целом, win 10 не сертифицирована и попытки работать на ней сродни рулетке. Фраза «со всеми обновами» для «десятки» это как приговор: на последнем обновлении как правило гост неработоспособен, пока гост допиливают, «десятка» уже снова обновляется и снова все не работает. Никакая техподдержка не будет вникать и бросит читать уже после слов «Win 10 со всеми обновами». Чтобы тут можно было что-то конкретно посоветовать нужна еще полная версия windows. Мое личное мнение: откатиться на время когда работало (поставить работавшую версию «десятки») и заблокировать обновления «десятки» совсем. Либо откатится на семерку, если железо позволяет — в новых ноутах то тачпад, то wifi специально сделаны чтобы не работали на семерке, на новых материнских платах биос дает семерке неизвестную версию ACPI. Если в эдже работает подпись, хоть и неофициально — то несоответствием больше или меньше не так уж важно. По поводу Хрома — можно попробовать Хромиум-гост, новейшие ссылки в соседней теме. К слову, вчера чего то там слетало у Казначейства и вход по сертификатам на госзакупки и ГМУ вообще не работал, так что имеет смысл немного подождать с опробыванием вариантов. Отредактировано пользователем 22 марта 2019 г. 11:03:17(UTC)  | Причина: Не указана

Андрей Солдатов	#3 Оставлено : 22 марта 2019 г. 11:14:49(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 12.03.2019(UTC) Сообщений: 314 Откуда: Москва Сказал «Спасибо»: 4 раз Поблагодарили: 66 раз в 62 постах	Видимо, Вы столкнулись с последствиями установки обновления KB4486996. Удалите pin-код с Вашего ключевого контейнера и попробуйте авторизоваться в браузере Internet Explorer. Либо обновите СКЗИ «КриптоПро CSP» до версии 4.0.9969 (R5).
Техническую поддержку оказываем тут. Наша база знаний.
1 пользователь поблагодарил Андрей Солдатов за этот пост.	miheyich оставлено 23.03.2019(UTC)

miheyich	#4 Оставлено : 23 марта 2019 г. 8:25:18(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 22.03.2019(UTC) Сообщений: 3 Откуда: Vdk Сказал(а) «Спасибо»: 1 раз	Автор: Андрей Солдатов Видимо, Вы столкнулись с последствиями установки обновления KB4486996. Удалите pin-код с Вашего ключевого контейнера и попробуйте авторизоваться в браузере Internet Explorer. Либо обновите СКЗИ «КриптоПро CSP» до версии 4.0.9969 (R5). Спасибо огромное, действительно помогло! ЗАРАБОТАЛО!!!

miheyich	#5 Оставлено : 23 марта 2019 г. 8:27:28(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 22.03.2019(UTC) Сообщений: 3 Откуда: Vdk Сказал(а) «Спасибо»: 1 раз	Автор: two_oceans Сочувствую. В целом, win 10 не сертифицирована и попытки работать на ней сродни рулетке. Фраза «со всеми обновами» для «десятки» это как приговор: на последнем обновлении как правило гост неработоспособен, пока гост допиливают, «десятка» уже снова обновляется и снова все не работает. Никакая техподдержка не будет вникать и бросит читать уже после слов «Win 10 со всеми обновами». Чтобы тут можно было что-то конкретно посоветовать нужна еще полная версия windows. Мое личное мнение: откатиться на время когда работало (поставить работавшую версию «десятки») и заблокировать обновления «десятки» совсем. Либо откатится на семерку, если железо позволяет — в новых ноутах то тачпад, то wifi специально сделаны чтобы не работали на семерке, на новых материнских платах биос дает семерке неизвестную версию ACPI. Если в эдже работает подпись, хоть и неофициально — то несоответствием больше или меньше не так уж важно. По поводу Хрома — можно попробовать Хромиум-гост, новейшие ссылки в соседней теме. К слову, вчера чего то там слетало у Казначейства и вход по сертификатам на госзакупки и ГМУ вообще не работал, так что имеет смысл немного подождать с опробыванием вариантов. На Edge подписать у меня в принципе не получалось, хотя в целом портал работал корректно. Была мысль уже психануть, просто развернуть виртуально Win7 и дать rdp директору до виртуалки, но основная проблема в том, что на весь офис закуплен W10 + O16, W7 просто тупо нет. Но обновление действительно помогло, IE отпустило, хром не работает как и раньше.

Александр Лавник	#6 Оставлено : 26 марта 2019 г. 12:26:53(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,202 Сказал «Спасибо»: 53 раз Поблагодарили: 722 раз в 674 постах	Автор: miheyich Автор: two_oceans Сочувствую. В целом, win 10 не сертифицирована и попытки работать на ней сродни рулетке. Фраза «со всеми обновами» для «десятки» это как приговор: на последнем обновлении как правило гост неработоспособен, пока гост допиливают, «десятка» уже снова обновляется и снова все не работает. Никакая техподдержка не будет вникать и бросит читать уже после слов «Win 10 со всеми обновами». Чтобы тут можно было что-то конкретно посоветовать нужна еще полная версия windows. Мое личное мнение: откатиться на время когда работало (поставить работавшую версию «десятки») и заблокировать обновления «десятки» совсем. Либо откатится на семерку, если железо позволяет — в новых ноутах то тачпад, то wifi специально сделаны чтобы не работали на семерке, на новых материнских платах биос дает семерке неизвестную версию ACPI. Если в эдже работает подпись, хоть и неофициально — то несоответствием больше или меньше не так уж важно. По поводу Хрома — можно попробовать Хромиум-гост, новейшие ссылки в соседней теме. К слову, вчера чего то там слетало у Казначейства и вход по сертификатам на госзакупки и ГМУ вообще не работал, так что имеет смысл немного подождать с опробыванием вариантов. На Edge подписать у меня в принципе не получалось, хотя в целом портал работал корректно. Была мысль уже психануть, просто развернуть виртуально Win7 и дать rdp директору до виртуалки, но основная проблема в том, что на весь офис закуплен W10 + O16, W7 просто тупо нет. Но обновление действительно помогло, IE отпустило, хром не работает как и раньше. Здравствуйте. 1) В Microsoft Edge не работает КриптоПро ЭЦП Browser Plugin. 2) Google Chrome не поддерживает ГОСТ TLS, поэтому двусторонний TLS по ГОСТ в нем невозможен (требуется на портале). 3) Если нет возможности обновится до несертифицированной версии КриптоПро CSP 4.0 R5 или запомнить/удалить пароль для ключевого контейнера, то можно доустановить в КриптоПро CSP службу хранения ключей и на вкладке Безопасность панели КриптоПро CSP включить использование этой службы.
Техническую поддержку оказываем тут Наша база знаний

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Информация обновлена: 30.08.2019

Вот такое сообщение мы увидели при попытке зайти в личный кабинет на bus.gov.ru

Раньше bus.gov.ru воспринимал сертификат электронной подписи без указания кода, который подчеркнут красным на изображении выше, а теперь ГМУ (он же bus.gov.ru) выдает ошибку.

Решение заключается в переиздании сертификата электронной подписи с указанием полномочия «Работа с ГМУ» и указанием «Учетного номера организации ГМУ».

Если при попытке подписать какой-либо документ на сайте bus.gov.ru вы получаете ошибку 400, то наиболее вероятный способ её решить — почистить временные файлы браузера.

Очищаем временные файлы браузера

Самый простой способ сделать это с помощью командной строки. Для этого, первым делом закрываем браузер, а после нажимаем клавиши Win + R , и набираем туда команду cmd , после чего нажимаем кгопку ОК.

В открывшемся черном окне пишем команду ниже:

Нажимаем клавишу ввода (Enter), и ждем завершения операции очистки.

Электронно-цифровая подпись (ЭЦП) играет важную роль в дистанционном документообороте. Она подтверждает личность владельца, дает электронному документу юридическую силу. Ряд сервисов и вовсе не доступен без верификации с помощью цифровой подписи. Потому любая проблема с ЭЦП может приостановить работу. Владелец может понести фактические убытки, например, при несвоевременной сдаче отчетности либо в виде упущенной выгоды.

Исходя из назначения ЭЦП и технических возможностей, с подписью могут произойти лишь следующие неполадки:

проблемы с сертификатом
— сертификат не выбран,
не найден, не верен

проблемы с подписанием
документа — ЭЦП выдает
ошибку

проблема со входом в
аккаунт — ЭЦП не
отображается

Чтобы выяснить, как решить возникшие сложности, необходимо разобрать каждую ошибку в отдельности.

Сертификат для создания ЭЦП не найден

Если появляется сообщение «Сертификат ЭЦП не зарегистрирован» или аналогичное, то ошибка может быть вызвана несколькими причинами:

неправильная настройка
сертификата ключа

неверная настройка
интернет-браузера

отсутствие корневого
сертификата
Удостоверяющего Центра

Как устранить нарушение

Почему ЭЦП не подписывает документ

Не удается подписать документ ЭЦП в следующих случаях:

истек срок действия
лицензии программы

ошибочно вставлен носитель с
другим сертификатом

Как исправить ошибку

В последнем случае следует проверить правильность выбора. Убедиться в отсутствии подключения носителей других сертификатов. Проверить физические контейнеры: дисковод и USB-разъемы.

Если же истек срок действия лицензии, придется потратить немного времени для получения новой. Для этого следует обратиться в свой Удостоверяющий Центр.

Ошибка при входе на электронную площадку

Еще одна не менее часто встречающаяся проблема, которая может быть вызвана совокупностью причин. Как показывает практика, кроме описанных выше факторов, мотивом может послужить также неправильно установленная библиотека Capicom.

Как исправить

Проверить наличие установленной библиотеки. Определить наличие копий 2 файлов .dll в одной из папок Windows. Актуально для 64-разрядной операционной системы.

Пошаговая установка библиотеки Capicom

Если при попытке входа на электронную площадку, всплывает окно с текстом: «Не установлен объект Capicom», необходимо заново установить библиотеку. Существует 2 способа в зависимости от разряда операционной системы. Узнать эту информацию можно кликнув правой кнопкой компьютерной мыши по значоку «Мой компьютер». В появившемся меню следует выбрать «Свойства», раздел «Тип системы».

Установка библиотеки Capicom для 32-bit ОС

Если ошибка по-прежнему появляется, необходимо скачать и установить альтернативную библиотеку с сайта Microsoft Download Center

• Перейдите по ссылке http://download.microsoft.com/download/5/7/9/579f7fa4-217e-438b-b117-e77fd14db181/capicom_dc_sdk.msi.
• Сохраняете файл capicom_dc_sdk.msi на свой ПК.
• Запустите и установите программу аналогичным образом.

Библиотеку, скачанную из Microsoft Download Center, необходимо зарегистрировать. Для этого необходимо перейдите в «Мой компьютер», затем на «Диск С», в папку Windows, а далее в папку system 32. Отройте файл с именем cmd, чтобы запустить его. В открывшееся окно командной строки вставить строку: c:windowssystem32
egsvr32.exe capicom.dll, после этого нажать кнопку ENTER на клавиатуре. Следом должно появиться сообщение об успешной регистрации.

Установка библиотеки Capicom для 64-bit ОС

Все действия по настройке и установке библиотеки Capicom необходимо производить под учетной записью «Администратора», а именно:

• Перейдите по ссылке http://www.sberbank-ast.ru/Docs/faq/Capicom%20Win7%20(64bit).rar.
• Сохраните архив на компьютер.
• Распакуйте архив Capicom Win7 (64bit).rar
• Перейдите в распакованную папку и скопируйте из нее 2 файла — capicom.dll и capicom.inf в папку syswow64, расположенную по адресу: «Мой компьютер» – «Диск С» – Windows – syswow64.

Затем следует зарегистрировать библиотеку.
Для этого перейдите в «Мой компьютер» – «Диск С» – Windows – system32.
В этой папке найдите файл cmd и запустите его правой кнопкой мыши. В появившуюся командную строку вставьте запись: c:windowssyswow64
egsvr32.exe capicom.dll. Нажмите кнопку ENTER на клавиатуре. После этого должно появиться сообщение об успешной регистрации.

Конфликт цифровой подписи и ключей ФСЗН

Проблемы с ЭЦП чаще всего встречаются на тех компьютерах, где помимо ПО для работы с ЭЦП Фонда соцзащиты населения установлены другие программы, также использующие ЭЦП. На сегодняшний день цифровые подписи требуются для работы с банками, электронными счетами-фактурами, для предоставления отчетности в МНС, Госкомстат и другие организации. Однако каждая из организаций может использовать различные версии криптографического ПО, а их совместное использование часто приводит к нарушению работы ЭЦП.

Итак, если вы не можете подписать пачку документов, получаете сообщение об ошибке при входе в программу или в момент подписи, не видите свой криптографический ключ и т. п., то причин обычно не так уж много:

неправильно установленное
ПО для работы с ЭЦП

конфликт версий
установленного ПО

не установленный или
прекративший действие
сертификат

В первых двух случаях ошибки обычно проявляются уже при входе в программу или в момент подписи документа. Например, пользователь получает сообщения «Ошибка AvFundCrypt», «Ошибка AvCryptMail», «Ошибка при вызове функции Win32 API». В таких случаях поможет правильная установка нужных версий программного обеспечения.

Помните! Если вовремя не восстановить работу ЭЦП, можно лишиться возможности участия, потерять шанс на выгодные предложения и вложения.

Чтобы избежать вопросов, почему не работает ЭЦП, внимательно изучите инструкцию по установке, настройке и работе электронной подписи. Либо облегчите себе задачу, доверив все процессы специалистам нашей компании.

По вопросам приобретения и обслуживания ЭЦП звоните нашим специалистам!

Посещая сайты, мы обычно ищем полезный либо интересный контент. Но иногда при открытии некоторых ресурсов, которые до этого корректно работали, видим сообщение о том, что в данный момент не удается безопасно подключиться к этой странице. Решение возникшей проблемы, а также причины её появления в ряде ситуаций рассмотрим в сегодняшней статье.

Не удается безопасно подключиться к этой странице, так как сайт заблокирован Роскомнадзором

Активная деятельность Роскомнадзора в последнее время затронула не только Телеграм, но и другие “ни в чем не повинные” ресурсы. Так, пользователи сообщают, что при посещении в течение дня одного и того же сайта он то открывается, то появляется сообщение “ Не удается безопасно подключиться к этой странице ”. Проблема может обнаруживаться при заходе только на один ресурс, остальные при этом работают нормально. Найдена и причина такого поведения – часть IP-адресов , предоставленных определенному сайту, оказалась заблокирована Роскомнадзором. В результате, если пользователь попадает на подобный заблокированный IP, страница не открывается. Если же IP-адрес не входит в число подозрительных, то ресурс спокойно предоставляет доступ к своим данным.

Что можно сделать, чтобы все-таки попасть на нужный сайт? Инженеры техподдержки интернет-ресурсов советуют применить все возможные методы, которые не запрещены законодательством, чтобы обойти блокировку.

Роскомнадзор «не дремлет»

Невозможность отображения https

Одной из причин того, что не удается безопасно подключиться к этой странице, может быть невозможность обработки данных , передаваемых по протоколу https . С такими проблемами пользователь сталкивается, когда пытается войти в личный кабинет на государственных порталах (например, zakupki.gov.ru или bus.gov.ru ). Страница не открывается и появляется сообщение о том, что необходимо включить криптографические протоколы TLS и/ или SSL . Что делать в подобной ситуации? Если ранее все работало нормально, то, возможно, причина в автоматической установке обновлений для Windows 10 . Данная ОС в последнее время получила широкое распространение среди пользователей и Microsoft большинство обновлений выпускает именно под эту операционку.

Нажимаем ПКМ на кнопку “ Пуск ” и выбираем “ Выполнить ”. Сначала вводим команду regsvr32 /u cpcng –> ОК, затем regsvr32 cpcng –> ОК . Если проблема продолжает присутствовать, пробуем другие способы ее решения.

Не включено использование протоколов TLS и/ или SSL

В браузере I nternet Explorer 11 протоколы TLS и/ или SSL включаются в дополнительных свойствах обозревателя в блоке “ Безопасность ”. Чтобы туда попасть, нужно в IE нажать “ Сервис ” –> “ Свойства браузера ”.

Вносим изменения в настройки браузера

Проставляем галочки в нужных окошках и кликаем “ Применить ” –> “ ОК ”.

Также можно добавить сайт в перечень надежных. Для этого заходим в свойства IE11 (“ Сервис ” –> “ Свойства браузера ” –> “ Безопасность ” –> “ Надежные сайты ” –> “ Сайты ”) и вводим, к примеру bus.gov.ru в зону надежных веб-сайтов, перед этим сняв флажок в окошке “Для всех сайтов этой зоны требуется проверка серверов (https)”.

Настраиваем параметры безопасности в свойствах браузера

Решение проблемы с прокси-сервером

Если для сетевого подключения используется прокси-сервер, то для того, чтобы не отображалось сообщение “Не удается безопасно подключиться к этой странице”, нужно корректно настроить его работу. Открываем браузер Microsoft Edge , в правом верхнем углу нажимаем на 3 точки и открываем “ Параметры ” –> “ Просмотреть доп. параметры ” –> “ Открыть параметры прокси-сервера ”. Откроется вот такое окно.

Открываем параметры прокси-сервера

Можно совсем отключить прокси, переведя курсор в положение “ Откл .”, либо поместить нужные адреса в раздел исключений .

Нет доступа к TCP-порту 443

Отсутствие доступа к TCP-порту 443 также может быть причиной появления ошибки “Не удается безопасно подключиться к этой странице”.

В этом случае нужно сделать следующее.

1. Нажать ПКМ на “ Пуск ” и выбрать “ Выполнить ”.
2. Ввести cmd и подтвердить OK .
3. В окне набрать telnet bus.gov.ru 443 –> Enter .

Если не получилось подключиться к узлу через данный порт, отобразится информация о сбое. В случае корректной работы системы все ранее введенные данные очищаются и здесь уже необходимо обратиться к сисадмину для получения информации о корректных данных для настройки TCP-порта 443.

Проблема с корневыми сертификатами

Бывает так, что после какого-нибудь сбоя или обновления необходимо переустановить корневые сертификаты. Для этого скачиваем сертификат с сайта удостоверяющего центра, ранее выдавшего его.

Затем делаем следующее:

1. Открываем сертификат, который сохранили на компьютере, и устанавливаем его.
2. В пункте “ Поместить сертификат в следующее хранилище ” через “Обзор” выбираем “ Доверенные корневые центры сертификации ”.
3. Подтверждаем OK и заканчиваем установку, нажав “ Готово ”.

Сбои в работе КриптоПро CSP

Источников сбоя может быть несколько. Рассмотрим наиболее встречаемые.

Обязательно пробуем каждый из предложенных способов, пока проблема не решится, и ошибка “Не удается безопасно подключиться к этой странице” не перестанет нас преследовать.

Информация обновлена: 15.08.2019

Перечислим основные решения:

1. Проверяем установлены следующие программы: криптопро 4 (если установлена, то обновляем до 4.0.9969), криптопро эцп баузер плагин 2, не закончился ли демо-период криптопро?
2. В каком браузере заходите на ФЗС? Используйте IE 9 версии и выше. Edge не работает.
3. Устанавливаем корневой сертификат головного удостоверяющего центра. Подробнее тут.
4. Устанавливаем корневой сертификат удостоверяющего центра казначейства. Подробнее тут.
5. Устанавливаем личный сертификат в КриптоПро. Подробнее тут.
6. В свойствах браузера Internet Explorer — вкладка «Безопасность» — иконка «Надежные сайты» — кнопка «Сайты» — необходимо добавить 2 адреса: https://fzs.roskazna.ru и https://lk-fzs.roskazna.ru
   
7. Возможно мешает антивирусник. Отключаем его. Не совсем, а временно.
8. Если главная страница открывается, а зайти в личный кабинет с помощью подписи, которая вот-вот закончится не получается, то проверяем срок действия закрытого ключа. Дело в том, что некоторые версии криптопро 4 ограничивают использование электронной подписи сроком действия закрытого ключа. На самом деле пока действует сертификат Криптопро можно победить.
   1 вариант. Переводим время на компьютере назад. На сколько надо перевести время назад узнаем в Криптопро — вкладка «Сервис» — кнопка «Протестировать» — выбираем ваш контейнер — в открывшемся окне ищем строчку «Срок действия закрытого ключа». Допустим вы получили дату 6 мая, на компьютере устанавливайте 5 мая и пробуйте войти в ФЗС. После генерации не забываем вернуть настоящее время. Перевод времени помогает побороть только ФЗС. Для других порталов используйте 2-ой вариант.
   2 вариант. Экспорт сертификата и закрытого ключа в PXF и установка из PFX — подробнее тут.
9. Иногда Windows 10 не удается победить и лучше сделать запрос на другой ОС, желательно Windows 7.
10. И наконец самое последнее — если все перепробовали, а ФЗС не удается победить, то Регламент УЦ Казначейства позволяет подать запрос с помощью АРМ генерации ключей (версия 1.0.0.46 поддерживает ГОСТ 2012). Ниже приведена выдержка из Регламента, подтверждающая что вы имеете право воспользоваться АРМ генерации ключей.

4.2 Формирование Заявления на сертификат, создание КЭП, Запроса на сертификат осуществляется получателем сертификата, владельцем сертификата одним из следующих способов:
…
4.2.2 На АРМ Заявителя с использованием Средства создания запроса (АРМ генерации ключей) в случае отсутствия технической возможности использования ИС УЦ ( fzs.roskazna.ru).

Вам также может понравиться

ФЗС Росказна перевыпуск сертификата — инструкция для чайников

ЕИС (zakupki.gov.ru) Сообщение «У вас нет прав на просмотр данной страницы»

При формировании запроса произошла ошибка: error: certenroll::cx509enrollment::_createrequest: неизвестный криптографический алгоритм. 0x80091002 (-2146889726)

У этой записи 30 комментариев

Денис

При установке последней сборки КриптоПРО 4.0.9963.0 на Windows 10 с сайта КриптоПРО получается ошибка о неверных настройках TLS. Проблема решилась установкой старой сборки 4.0.9842.0, так что проблема не в Windows, а в кривых руках разработчиков КриптоПРО.

Admin

Так же можно обновить то 4.0.9969. Проверяли — работает.

В последние годы, количество пользователей государственными сервисами возросло в разы. Однако прибавились и проблемы. К примеру, очень многие, при попытке зайти и авторизоваться на сайтах zakupki.gov.ru, bus.gov.ru или fzs.roskazna.ru через сертификаты получают уведомление «Не удается отобразить эту страницу. Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах».

Ошибка входа по сертификату в zakupki.gov.ru

В статье мы расскажем: что такое ТЛС, какие настройки нужно проверить в первую очередь и как быстро исправить ошибку на порталах по типу Закупок.

Что это за ошибка?

Итак, данная ошибка может выскакивать в браузерах Internet Explorer или Firefox. В большинстве случаев, пользователь правильно настраивает рабочее место и обновляет все версии программного обеспечения, но портал при авторизации/входе все равно запрашивает некий TLS. Для начала разберемся — что это такое.

Transport Layer Security (TLS) — это специальный протокол защиты транспортного уровня, обеспечивающий безопасную передачу данных в Сети. ТЛС появился позднее знакомого многим SSL и разработан на базе его спецификации SSL 3.0. Именно связку ssl+tls используют по умолчанию в Wwindows, также она поддерживается государственными порталами (Закупки, Росказна, СУФД).

Запрос на активацию всех трех версий ТЛС (1, 1.1, 1.2) обусловлен необходимостью поддерживать как новые, так и устаревшие клиенты (системы, браузеры или устройства), через которые пользователь обращается к серверу.

Вот основные причины возникновения сбоя:

• Отключены указанные в ошибке компоненты:SSL версии 3.0 и TLS всех версий.
• Подключение блокируется антивирусом.
• Устаревшая версия необходимого ПО (сертификаты, браузер, компоненты формирования подписи). Истек срок лицензии.

Как включить TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах?

Для начала проверьте, действительно ли у вас НЕ активны указанные протоколы. Для этого нужно проделать следующее:

Открываем стандартно «Панель управления», где ищем опцию «Свойства браузера».

Свойства браузера в панели управления

Проставьте все галочки напротив TLS и SSL

Там же, в свойствах, пройдите во вкладку Безопасность, где добавьте zakupki.gov.ru в список надежных, но галочку напротив проверки https снимите.

Добавьте проблемный сайт в список надежных

В чем может быть еще дело?

Если вдруг вам не помогло, что бывает довольно таки часто — начинайте проверять все надстройки пользователя ЭЦП и системы в общем:

1. Обязательно отключите все экраны предустановленного антивируса. Причем, в том же диспетчере задач прокрутите список и остановите все связанные с ним процессы. Можно сделать добавление проблемного адреса в список игнорирования.
2. Обязательный пункт — только актуальная версия браузера. Для той же Росказны и Госзакупок требуется Internet Explorer 11 и последний Firefox.
3. Авторизация через ЭЦП на гос. порталах работает без сбоев только в случае свежих версий требуемого ПО (Крипто Про ЭЦП Browser-plugin, сертификаты корневые/пользователя, компоненты формирования подписи). Обязательно посетите эту страницу ЕИС и перенастройте свое рабочее место.
4. Обновите программку и плагин КриптоПРО. Дополнительно проверьте там настройку считывателей TLS: вкладка «Настройки TLS», где проставьте галочки только на «Поддерживать RFC 5746 (Renegotiation Indication)» и «Не использовать устаревшие cipher suite». После чего необходима очередная перезагрузка ПК.

1. Можно на чистую переустановить КриптоПро. Главное не забудьте отключить в диспетчере сам процесс инсталятора при запуске.
2. Если вы занимались переустановкой самой Windows, то при первой авторизации может подгружаться еще и окно выбора сертификата, который нужно подтвердить. Если такой выбор отменить — возникнет ошибка.
3. Бывает и такое, что IE 11 в 64-разрядной системе не срабатывает, поэтому откройте его 32-разрядную версию. Пройдите по пути C: -> Program Files (x86) -> Internet Explorer -> explore.exe.
4. Часто бывает так, что на одном ПК заводятся клиенты для работы с разными гос.порталами. Из-за этого может возникать путаница при входе по сертификату. Нужно понимать, что сертификация для СУФД не работает при входе на ФЗС.

В редких случаях всему виной может быть проблема с закрытым TCP-портом 443, который необходим при шифровании TLS. В сети множество инструкций по проверке (открыт/закрыт) этого параметра.

Заключение

Как видите, причин ошибки «Не удается отобразить эту страницу» в zakupki.gov.ru достаточно много. Если же включение SSL 3.0, TLS 1.0, 1.1, 1.2 не поможет, как и другие советы — пробуйте сброс параметров самого IE 11. Также можете написать в саму поддержку закупок: helpdesk@zakupki.gov.ru. Опишите в письме все что вы выполнили и в каких настройках уверены, а какие вызывают сомнения.

Многие пользователи при входе на некоторые HTTPS-сайты, требующие цифровую подпись, сталкиваются с различными ошибками или уведомлениями о невозможности установления безопасного соединения. Если при попытке зайти на ресурс система сообщает о том, что «Протокол не поддерживается Клиент и сервер используют разные версии протокола SSL или разные наборы шифров», для решения проблемы стоит воспользоваться одним из описанных ниже способов.

Очистка cash и cookie

Прежде всего нужно сделать очистку браузера, включая cookie-файлы и cash. В Google Chrome, Yandex Browser и Opera комбинация клавиш «CTRL» + «H» открывает меню очистки истории. В Mozilla Firefox нужно вставить в адресную строку about:preferences#privacy и выделить галочками пункты «Cookie и данные сайтов» и «Кэшированное веб-содержимое». Для полной очистки необходимо выбрать временной промежуток «Все время» и нажать на клавишу «Удалить».

Отключение лишних расширений

Конфликт протоколов может быть вызван различными расширениями и дополнениями, которые были установлены в используемый браузер. Первым делом нужно отключить плагины, вмешивающиеся в трафик (VPN, антивирусные утилиты, proxy), и межсетевые экраны (программно-аппаратные средства, предназначенные для информационной защиты от анализа трафика). Для этого потребуется открыть меню расширений и удалить лишние. Если проблема с открытием нужного сайта не решилась, стоит отключить все дополнения. Открыть раздел настройки плагинов можно, вставив в адресную строку следующую комбинацию:

Антивирус и файрвол

Антивирусные приложения, как и межсетевые экраны, могут стать причиной блокировки веб-сайтов. Поэтому в случае конфликта протоколов стоит временно отключить их. Большинство антивирусов позволяет проверять SST/TLS сертификаты. Если программа зафиксирует факт использования сайтом самоподписанных или обладающих плохой защитой сертификатов (бесплатных SSL), она автоматически заблокирует ресурс. То же самое может произойти с неактуальными версиями SSL-протоколов. Для решения проблемы нужно зайти в настройки антивируса, открыть раздел сканирования и выключить опцию автоматической проверки HTTPS/HTTP трафика и сертификатов SSL.

Для разных антивирусов решение будет отличаться, поскольку каждая программа может блокировать свои подразделы. К примеру, NOD32 фильтрует веб-протоколы, а Dr.Web не пропускает модуль проверки HTTP-трафика SpIDer Gate.

Настройка часового пояса

Некорректные настройки часового пояса или неправильно установленная дата могут стать причиной блокировки HTTPS-ресурса. Конфликт протоколов в данном случае связан с сетевой аутентификацией. ОС автоматически сверяет дату создания и истечения сертификатов, и при выявлении нестыковок доступ к определенному веб-сайту блокируется. Поэтому рекомендуется проверить настройки часового пояса и убедиться в том, что они установлены правильно.

Получить информацию о своем часовом поясе можно с помощью сервиса 2ip.ru. Сайт идентифицирует город, в котором зарегистрирован провайдер. Нужно выставить время, актуальное для своего населенного пункта, либо воспользоваться функцией автоматического определения.

Сертификаты операционной системы

Одна из самых распространенных причин конфликта протоколов связана с корневыми сертификатами операционной системы. Если ОС Windows долгое время не обновлялась, то скорей всего на компьютере будут отсутствовать доверенные (корневые) сертификаты Trusted Root. Исправить данный недочет можно посредством обновления ОС. Устанавливать актуальные апдейты необходимо с помощью «Центра обновлений». Если на компьютере установлена Windows 7, нужно обязательно загрузить Service Pack 1 (KB976932).

Поддержка протоколов

Для доступа к открытым веб-ресурсам без каких-либо затруднений можно воспользоваться усложненным способом (в отличие от описанных выше), который предполагает активацию поддержки SSL и TLS протоколов. Из-за того, что мошенники используют разные уловки и приемы для перехвата информации в HTTPS-трафике, указанные протоколы могут быть отключены. Активация устаревших версий SSL и TLS представляет собой серьезную угрозу для безопасности ОС во время пользования интернетом.

Прибегать к данному способу рекомендуется только в том случае, если перечисленные выше варианты не помогли устранить конфликт протоколов. Большинство популярных браузеров отказалось от ненадежных старых протоколов в пользу актуальных. Для активации устаревших TLS/SSL протоколов нужно проделать такие действия:

Если данный алгоритм не помог решить проблему, стоит воспользоваться следующим вариантом:

Остается в «Панели управлений» кликнуть по свойствам браузера и установить средний либо высокий уровень безопасности для интернет-соединения. Пропускать данный шаг нельзя, в противном случае устранить проблему с блокировкой сайтов не получится.

Поддержка разных версий протокола SSL клиентом и сервером

Если конфликт протоколов наблюдается при попытке зайти на один из государственных порталов, нужно сделать следующие действия:

В случае устаревшего сертификата нужно сделать его перерегистрацию.

Заключение

Если при попытке зайти на сайт возникает системное уведомление о том, что «Протокол не поддерживается Клиент и сервер используют разные версии протокола SSL или разные наборы шифров», нужно очистить cash и cookie, отключить лишние плагины, расширения и антивирусную защиту. Также необходимо правильно установить настройки часового пояса, обновить сертификаты операционной системы и активировать поддержку SSL и TLS протоколов.

Источник

Клиент и сервер поддерживают разные версии протокола SSL или набора шифров

При открытии web-страничек появляются ошибки без каких либо на то причин? Или браузер выдает сообщение, что нельзя установить безопасное соединение? Пытаетесь открыть zakupki.gov.ru и lkul.nalog.ru, а появляется ошибка “Клиент и сервер поддерживают разные версии протокола ssl или набора шифров”? Пора разобраться, чем это вызвано и как выйти из сложившейся ситуации.

Вышеуказанные проблемы проявляются при открытии HTTPS платформ и ресурсов, у которых есть опция входа с цифровой подписью. Прежде, чем приступить к устранению ошибок, нужно убедиться, что проблема связана не с вашим ПО и компьютером. Попробуйте открыть необходимый интернет-ресурс на другом устройстве или подключившись к другой интернет-сети. Посмотрите, как обстоят дела со входом через прочие браузеры.

Клиент и сервер поддерживают разные версии протокола SSL в Закупках

Начинайте с очистки кэша и куки

Первое, что нужно сделать для решения проблемы с SSL – это почистить браузер от мусора, включая куки и кэш. В Хроме, Яндексе и Опере в меню очистки можно попасть через комбинацию «CTRL+H». В Мозилле скопируйте вот этот адрес: about:preferences#privacy и найдите пункт «Куки и данные сайтов». Делая очистку, следует указать в строке выбора временного промежутка «Все время». В меню очистки выберите все пункты и подтвердите действие.

Очистка кэша и куки в Firefox

Отключите лишние расширения

Доступ может блокироваться из-за различных установленных расширений и дополнений в рабочих браузерах. В первую очередь это касается плагинов, вмешивающихся в трафик и сетевые экраны, например ВПН, антивирусы, прокси. После открытия раздела с расширениями нужно удалить все подозрительные. Если нужный сайт по прежнему не открывается, попробуйте отключить все установленные расширения.

Попасть в меню управления плагинами достаточно просто. Можете просто скопировать этот путь в своем браузере:

Файрвол и антивирус

Блокировать открытые ресурсы могут антивирусники и межсетевой экран. Попробуйте ненадолго их отключить, чтобы проверить, не они ли блокируют доступ к необходимому HTTPS сайту.

Последние версии антивирусных программ содержат в себе опцию проверки SST/TLS сертификатов. Опция эта работает в автоматическом режиме. Если антивирусник заметит, что интернет-платформа применяет самоподписанный или плохо защищенный сертификат (бесплатные SSL) – он может ограничить к ней доступ. Это также касается неактуальной версии SSL-протокола.

Для выхода из сложившейся ситуации необходимо открыть параметры антивирусной программы, найти раздел со сканированием и отключить режим проверки SSL сертификатов и HTTP/HTTPS трафика. Единого решения для всех антивирусников нет, так как каждый из них блокирует свои разделы. Так, например, в Dr.Web может не пускать на страницу опция «SpIDer Gate», а ESET NOD 32 – в фильтр веб-протоколов.

Настройка фильтрации веб-протоколов в ESET

Часовой пояс

Даже такие незначительные детали, как часовой пояс или не отвечающая действительности дата, могут послужить причиной отказа в доступе к HTTPS площадке. Связана такая закономерность с выполнением сетевой аутентификации. Система осуществляет проверку даты создания и истечения сертификатов, из-за чего и появляются “несостыковки”. Во избежание подобных сложностей в настройках лучше всегда правильно указывать часовой пояс.

Правильно узнать свой часовой пояс можно через сервис 2ip.ru, который укажет город регистрации вашего провайдера. Именно по этому городу выставляйте свой часовой пояс. В случае с правильным временем нужно установить автоматическое определение.

Сертификаты ОС

Одна из вероятных причин блокировки доступа к определенным платформам может заключаться в корневых сертификатах вашей операционки. Если вы долгий период не обновляли Windows, то на ПК с большой долей вероятности отсутствует «TrustedRootCA» – корневые сертификаты (доверенные). Этот нюанс решается простым и очевидным решением – обновлением операционной системы. Следует запустить установку актуальных апдейтов через Центр обновлений. Если же на ПК установлена Windows 7, то необходимо заняться обязательной инсталляцией SP1 (KB976932), а также обновлением KB2998527.

Поддержка протоколов

Чтобы дальше спокойно заходить на открытые ресурсы без каких либо сложностей, можно обратиться к чуть более сложному способу, чем указанные выше – следует включить поддержку TLS и SSL.

Устаревшие версии указанных протоколов отключены потому, что сейчас злоумышленники могут создавать слишком много угроз для перехвата данных в трафике HTTPS типа. Включение старых протоколов может поставить под угрозу безопасность пользователя во время использования Интернета. Используйте способ только в том случае, если предыдущие не помогли.

На сегодняшний день браузеры не используют ненадежные старые протоколы и уже давно перешли на актуальные. Чтобы активировать устаревшие протоколы SSL/TLS необходимо:

Активация TSL протоколов в браузере

Если и этот способ не помог, то можно попробовать такой вариант:

Повышение уровня безопасности для сайтов

Клиент и сервер поддерживают разные версии протокола SSL при входе в zakupki.gov.ru

Если аналогичные ошибки возникают при входе на сайт zakupki.gov.ru или прочие государственные порталы – следует проверить следующие моменты:

Полную инструкцию с детальным описанием каждого пункта можно найти на сайте zakupki.gov.ru/epz, скачав “Инструкцию по настройке рабочего стола”.

Заключение

Как показывает практика – на обновленных Windows такие ошибки на сайтах не выскакивают, а клиент и сервер поддерживают совместимые версии ssl-протоколов и наборы шифров соответствуют всем требованиям. В случае с закупками советуем обновить Internet Exprolel и провести настройку доступов, строго придерживаясь указанной в ссылке инструкции.

Источник

Ошибка «Этот сайт не может обеспечить безопасное соединение» в Chrome, Opera и Яндекс Браузер

У меня почему-то перестали открываться некоторые HTTPS сайты (не все!). При попытке открыть такой сайт в браузере появляется окно с ошибкой «Этот сайт не может обеспечить безопасное соединение». Сайты не отображаются как в Google Chrome, так и в Opera и в Яндекс Браузере. Без HTTPS некоторые сайты открываются, но не все, только те, у которых страницы доступны и по протоколу HTTPS и по протоколу HTTP.В Google Chrome ошибка при открытии HTTPS сайт выглядит так:

В Opera и Яндекс Браузер ошибка выглядит примерно также. Как мне открыть такие сайты?

Ответ

Как вы уже вероятно поняли, проблема связана с проблемами при SSL взаимодействии между вашим компьютеров и HTTPS сайтом. Причины такой ошибки могут быть довольно разные. В этой статье я попробовал собрать все методы исправления ошибки «Этот сайт не может обеспечить безопасное соединение» (This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR) в различных браузерах.

Сразу хочется отметить, что несмотря на то, что браузеры Google Chrome, Opera и Яндекс Браузер выпускаются разными компаниями, на самом деле все эти браузеры основаны на одном и том же движке — Chrome и проблема с ошибками открытия HTTPS сайтов в них решается одинаково.

В первую очередь нужно убедиться, что проблема не на стороне самого HTTPS сайта. Попробуйте открыть его с других устройств (телефон, планшет, домашний/рабочий компьютер и т.д.). Также проверьте, открывается ли в других браузерах, например, IE/Edge или Mozilla Firefox. В Firefox похожая ошибка обсуждалась в статье Ошибка при установлении защищённого соединения в Mozilla Firefox.

Очистите кэш и куки браузера, SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Чтобы очистить SSL кэш в Windows:

Отключите сторонние расширения в браузере

Проверьте настройки антивируса и файрвола

Если на вашем компьютере установлены антивирусная программа или межсетевой экран (часто он встроен в антивирус), возможно доступ к сайту блокируется именно ими. Чтобы понять, ограничивают ли доступ к сайту антивирусы или файрволы, попробуйте на время приостановить их работу.
Во многих современных антивирусах по-умолчанию присутствует модуль проверки SST/TLS сертификатов сайтов. Если антивирус обнаружит, что сайт использует недостаточно защищенный (или самоподписанный) сертификат или устаревшую версию протокола SSL (тот же SSL v3 или ниже), доступ к пользователя к такому сайту может быть ограничен. Попробуйте отключить сканирование HTTP/HTTPS трафика и SSL сертификатов. Как вы понимает, все зависит от того, какой антивирус и вас установлен. Например:

Проверьте настройки даты и времени

Неправильная дата и время (и часового пояса) на компьютере также может быть причиной ошибки при установке защищенного соединения с HTTPS сайтами. Ведь при выполнении аутентификации система проверяет срок создания и дату истечения сертификата сайта и вышестоящего центра сертификации.

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности, в случае с Windows 7 – обязательно установить SP1 (KB976932) и обновления часовых поясов (KB2998527).

Вы можете вручную обновить корневые сертификаты по статье: Как вручную обновить корневые сертификаты в Windows (так же рекомендуем проверить хранилище сертификатов на предмет недоверенных сертификатов, это позволит предотвратить перехват вашего HTTPs трафика и ряд других проблем).

Отключите поддержку протокола QUIC

Проверьте, не включена ли в Chrome поддержка протокола QUIC (Quick UDP Internet Connections). Протокол QUIC позволяет гораздо быстрее открыть соединение и согласовать все параметры TLS (HTTPs) при подключении к сайту. Однако в некоторых случая он может вызывать проблемы с SSL подключениями. Попробуйте отключить QUIC:

Включите поддержку протоколов TLS и SSL

И самый последний пункт – скорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Старые версии протоколов TLS и SSL отключены не по простой прихоти разработчиков, а в связи с наличием большого количества уязвимостей, которые позволяют злоумышленникам перехватить ваши данные в HTTPS трафике и даже видоизменить их. Бездумное включение старых протоколов существенно снижает вашу безопасность в Интернете, поэтому к этому способу нужно прибегать в последнюю очередь, если все другое точно не помогло.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется меньшая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения.

Чтобы включить старые версии протоколов SSL/TLS (еще раз отмечаю – это небезопасно):

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

Источник

Вход в личный кабинет

Автор

Сообщение

При попытке входа в личный кабинет выдает следующее:
Этот сайт не может обеспечить безопасное соединение.
На сайте private.bus.gov.ru используется неподдерживаемый протокол.
Протокол не поддерживается. Клиент и сервер используют разные версии протокола SSL или разные наборы шифров.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
КАК это победить?

Добрый день.
Убедитесь, что рабочее место пользователя настроено для работы с Закрытой частью в соответствии с разделом 3. ПОДГОТОВКА К РАБОТЕ документа «Руководство пользователя. Общее».

Руководства пользователей размещены и доступны для загрузки на Официальном сайте в разделе «Документы» – «Руководства пользователей»: http://bus.gov.ru/documents?section=2031

В случае, если проблема с отображением сообщения «Невозможно отобразить страницу» стала возникать на ранее настроенном рабочем месте, проблема может вызвана установкой обновлений безопасности от октября 2015 года для ОС Windows через Windows Update.
Также проблема может возникать при установке обновлений 2017 года для ОС Windows. В этом случае необходимо переустановить КриптоПРО.
Попробуйте выполнить следующие действия с правами администратора:
— выбрать в меню «Пуск» пункт «Выполнить».
— последовательно выполнить две команды:

regsvr32 /u cpcng
regsvr32 cpcng

Альтернативно, можно попробовать переустановить КриптоПро CSP.

Другие возможные причины возникновения ошибки «Невозможно отобразить страницу» в Internet Explorer при доступе в закрытую часть Официального сайта:

1) Не включено использование протоколов шифрования SSLTLS.

2) Закрыт TCP-порт 443, необходимый для передачи https-трафика с SSLTLS-шифрованием, либо закрыт доступ к узлу Официального сайта в сети Интернет.

Проверить открыт ли TCP-порт 443 на рабочем месте можно, перейдя по ссылке: https://gmail.com/

Для проверки доступности узла bus.gov.ru через 443 порт можно воспользоваться утилитой командной строки telnet для операционных систем Windows. Для этого необходимо:

— выбрать в меню «Пуск» пункт «Выполнить»;
— в окне «Запуск программы» ввести команду «cmd» и нажать «ОК»;
— в командной строке Windows ввести «telnet bus.gov.ru 443» и нажать Enter.

Если подключение через этот порт с узлом установить не удалось, отобразится сообщение о сбое подключения («Не удалось открыть порт подключения к этому узлу»), в противном случае откроется telnet-подключение (окно командной строки очистится, отобразится курсор ввода).

Действия необходимые для открытия доступа зависят от способа организации интернет-подключения и в этом случае необходимо обратиться к системному администратору организации.

3) Не установлен корневой сертификат Удостоверяющего центра Федерального казначейства или стороннего аккредитованного удостоверяющего центра.

Корневые сертификаты других УЦ должны быть доступны на сайте этого УЦ (сайте организации-владельца УЦ).

Установка корневых сертификатов производится следующим образом:

— Открыть сохраненный сертификат и нажать «Установить сертификат»;
— в появившемся окне мастера импорта сертификатов нажать кнопку «Далее»;
— в следующем окне необходимо выбрать пункт «Поместить сертификат в следующее хранилище» и нажать кнопку «Обзор» для выбора хранилища;
— выбрать хранилище «Доверенные корневые центры сертификации» и нажать кнопку «OK»;
— завершить установку сертификата, нажав кнопку «Готово».

4) Не установлено или некорректно установлено ПО СКЗИ КриптоПро CSP.

Выполнение односторонней аутентификации с помощью КриптоПро CSP можно проверить на ресурсах компании ООО «КРИПТО ПРО».

Для проверки односторонней аутентификации необходимо перейти по ссылке: https://cpca.cryptopro.ru/

Если отобразится сообщение «Internet Explorer не может отобразить эту страницу», установка ПО КриптоПро CSP, возможно, нарушена, либо его работу блокирует стороннее ПО:

— антивирусное программное обеспечение;
— вредоносное программное обеспечение, вирусы или последствия их работы;
— другие криптопровайдеры (ЛИССИ-CSP, VipNET CSP и подобные).

Если в результате перехода по ссылке https://cpca.cryptopro.ru/ отобразится страница IE c сообщением «Ошибка в сертификате безопасности этого веб-узла.» (необходимо нажать «Продолжить открытие этого веб-узла») или сразу страница УЦ ООО «КРИПТО-ПРО» («Добро пожаловать в Удостоверяющий центр ООО «КРИПТО-ПРО»»), то работа КриптоПро CSP выполняется корректно.

Установку КриптоПро CSP необходимо производить, используя последние сборки дистрибутива, необходимой версии КриптоПро CSP (актуальной версией является 4.0 и выше), предварительно отключив ПО антивирусной и проактивной защиты (т.к. их использование может приводить к некорректной установке КриптоПро CSP).

5) Истек срок лицензии КриптоПро CSP.

Срок использования демонстрационной версии КриптоПро CSP ограничен 90 днями с момента установки.

В случае, если пробный период истек, при попытке выполнения действий, использующих криптопровайдер КриптоПро CSP отображается сообщение об истечении срока действия лицензии.

Для версии 4.0 на этой вкладке необходимо нажать кнопку «Ввод лицензии». В результате откроется диалоговое окно мастера установки КриптоПро «Сведения о пользователе» с полем для ввода ключа лицензии.

6) Браузер Internet Explorer не принимает серверный сертификат узла bus.gov.ru.

7) Необходимо в настройках браузера, на вкладке «Дополнительно», в разделе «Безопасность» снять чек-бокс «Включить фильтр SmartScreen».

В случае повторного появления ошибки, необходимо обратиться в службу технической поддержки Официального сайта ГМУ приложив скриншоты выполнения рекомендаций и скриншоты ошибки с актуальной датой.

Источник

(действует до 19.11.2033) (действует до 05.02.2035) (действует до 13.04.2036)

(действует до 10.01.2037)

Так же для работы КриптоПРО необходимо установить корневые сертификаты удостоверяющих центров. Они необходимы для открытия официального сайта КриптоПро, сайта проверки работы браузерного плагина и т.д. Подробнее почитать можно на сайтах соответствующих сертификатов по ссылкам: http://cpca20.cryptopro.ru/ и https://cpcakc3.cryptopro.ru/tls.htm

• Cертификаты УЦ CryptoPro Root CA
• Cертификаты УЦ CryptoPro TLS CA

Популярные браузеры могут считать данные сертификаты опасными, соглашаемся на сохранение всё равно. Сертификаты загружаются по прямым ссылкам с официального сайта казначейства.

Процесс установки сертификатов довольно прост:

Правой кнопкой мыши нажать по файлу и выбрать пункт Установить сертификат

Выбрать область установки сертификата (рекомендуется выбирать Локальный компьютер, так сертификат будет работать для всех пользователей в системе).

Установка сертификата из скаченного файла

Выбрать хранилище сертификатов Доверенные центры корневой сертификации, наждать ОК, Далее, Готово.

Установка сертификатов корневых центров сертификации

Проделать эти операции для каждого из сертификатов.

2. Установка и запуск криптопровайдера КриптоПро CSP

Установить программу с прилагаемого дистрибутива, либо скачать её с официального сайта (требуется регистрация). Рекомендуемая для использования версия 4.0.9944 и выше.

Для сертификатов выпущенных с 01.01.2022 или для тех, которые не устанавливаются в КриптоПРО CSP четвертой версии, возможно, поможет обновление четвертой версии до версии 5.0.11455, как на изображении ниже, лицензия будет перенесена (но не более новой, иначе, из-за обновленной системы лицензирования, лицензия слетит).

Процесс установки не сложен — там нет необходимости в специфических настройках.

Запустить программу можно нажав на её ярлык в Пуск — Все программы — КРИПТО-ПРО — КриптоПро CSP, либо найдя ярлык запуска в Панели управления (Раздел Система и безопасность)

После установки программа будет работать в пробном, но полнофункциональном, режиме 3 месяца (при условии, что программа была установлена впервые), чего на первое время хватит.

Регистрация лицензии на КриптоПро

Следует зарегистрировать программу (кнопка Ввод лицензии) используя выданный в казначействе документ: Учётная карточка лицензии на право использования электронной подписи. Нужный код находится в поле Серийный номер лицензии.

Учётная карточка лицензии на КриптоПро

3. Установка личных сертификатов (своя ЭЦП)

Запустить КриптоПро, перейти на вкладку Сервис, нажать на кнопку Установить личный сертификат, выбрать файл сертификата, нажав кнопку Обзор (файл сертификата обычно находится на той же флэшке, на которой находится контейнер ЭЦП), нажать Далее (отобразятся сведения о сертификате), нажать Далее.

Установка личного сертификата в КриптоПро

Отметить галочкой пункт Найти контейнер автоматически. В случае успеха, поле ниже заполнится, нажать Далее, обязательно отметить галочкой пункт Установить сертификат (цепочку сертификатов) в контейнер, так чтобы она приняла вид галочки, а не квадрата. Нажать Далее и Готово.

4. Установка и настройка браузера

Есть возможность работать с сайтами во встроенном в систему Windows браузере Intertnet Explorer (требуется последняя, 11 версия). Но у данного браузера есть определённые минусы включая то, что он больше не будет развиваться и поддерживаться, а соответственно и его поддержка государственными сайтами может быть прекращена в любой момент. На многих сайтах он уже отмечен как не рекомендуемый. Т.к. он не требует особой настройки его можно попробовать использовать как экстренный вариант, если с рекомендуемым ниже браузером что-то не получается.

Рекомендуется использовать для работы Яндекс.Браузер по нескольким причинам: активно разрабатывается и своевременно обновляется, имеет вшитую поддержку сайтов использующих шифрование ГОСТ, популярный (вследствие чего проще). Скачать его можно с официального сайта или по прямой ссылке.

В процессе установке нет выбора устанавливаемых компонентов и опций, потому сразу после установки желательно:

• Удалить лишние программы (Панель управления — Удаление программ):
  • Алиса
  • Кнопка Яндекс на панели задач

  

  Включение поддержки шифрования по ГОСТ в Яндекс.Браузере

  Теперь надо включить ту возможность, ради которой был выбран этот браузер — поддержку государственных стандартов шифрования, т.к. эта возможность по-умолчанию отключена. Нужно перейти в Меню — Настройки — Системные — Подключаться к сайтам, использующим шифрование по ГОСТ.

  Если вы работаете с несколькими ЭЦП, то важно знать, что одновременно можно работать только с одной ЭЦП. Выбор сертификата запоминается браузером и в случае необходимости зайти из под другой ЭЦП — следует перезапустить браузер.

  На этом этапе у вас уже есть настроенное рабочее место и браузер через который можно работать.

  При попытке перейти на сайт bus.gov.ru может вылезти ошибка, что протокол шифрования устарел. Это не проблема браузера, сайт и правда использует устаревший протокол. В таком случае необходимо согласится с возможным риском и добавить сайт в исключения, это поможет на какое-то время.

  5. КриптоПро ЭЦП Browser plug-in (CADES)

  Необходим для взаимодействия криптопровайдера с ЭЦП через сторонний (не Internet Explorer) браузер.

  Оба компонента обязательны к установке:

  , установщик: https://cryptopro.ru/products/cades/plugin/get_2_0

  После установки, плагин попытается установить своё расширение в браузер. Если у него это не получилось или вы отказались, то ссылка на расширение ниже. Расширение так же есть в качестве основных в Яндекс.браузере и его можно просто включить.

  

  1. Магазин расширений для Chrome: https://chrome.google.com/webstore/detail/cryptopro-extension-for-c/iifchhfnnmpdbibifmljnfjhpififfog?hl=ru

  В случае ошибки «Превышено время ожидания от плагина» (обычно выскакивает при попытке опубликовать материал в bus.gov.ru) следует убедится, что установлена актуальная версия плагина (отключить установленную из каталога Opera и установить актуальную из каталога Chrome. В моём случае не работало на версии 1.2.7, а после установки 1.2.8 заработало.

  6. Плагин Госуслуг для браузера

  Необходим для авторизации в госуслугах (ЕСИА) через ЭЦП. Предложит себя скачать автоматически, если понадобится. Обязательно надо установить не только сам плагин, но и расширение в браузер:

  1. Официальный сайт, установщик: https://ds-plugin.gosuslugi.ru/plugin/upload/
  2. Магазин расширений для Chrome: https://chrome.google.com/webstore/detail/%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%80%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B4%D0%BB%D1%8F-%D0%BF%D0%BB%D0%B0%D0%B3%D0%B8%D0%BD%D0%B0-%D0%B3%D0%BE/pbefkdcndngodfeigfdgiodgnmbgcfha?hl=ru

  7. Возможные проблемы

  7.1 Ошибка ERR_SSL_VERSION_OR_CHIPER_MISMATCH

  

  Ошибка ERR_SSL_VERSION_OR_CHIPER_MISMATCH в Яндекс.Браузере

  Эта ошибка возникает при проблемах установки соединения по протоколу ГОСТ.

  Решение: Обратить более пристальное внимание на пункты инструкции 1 и 4 и перезагрузить ПК

  Если после этого не заработало, то может помочь:

  Переустановка КриптоПРО, либо обновление до новой версии. Версия 4 легко обновляется до версии 5.0 (не 5 R2, 5 R3 и более новых, т.к. в них изменилась система лицензирования и ваша лицензия от версии 4 не подойдёт, а только до обычной). Скачать можно на официальном сайте (после регистрации).

  В случае использования устаревших систем (Windows версий 7, 8, 8.1) в них может стоять Internet Explorer версии ниже 11. Если это так, то обновить до 11 версии. Скачать можно с официального сайта: 32bit, 64bit и перезагрузить ПК. Это может помочь, даже если вы не пользуетесь Internet Explorer’ом, а ошибка возникает в Яндекс Браузере.

  7.2 Ошибка net::ERR_SSL_OBSOLETE_VERSION

  

  

  Не является ошибкой. Некоторые сайты всё ещё используют устаревшую версию протокола шифрования TLS 1.0 или TLS 1.1. Яндекс.Браузер считает использование этих протоколов небезопасным и предупреждает об этом. Подробнее можно почитать тут.

  Решение: Нажать на кнопку Открыть подробности и нажать на ссылку Перейти на сайт … (небезопасно)

  7.3 Internet Explorer — Этот веб-сайт не защищён (Код ошибки: 0)

  

  Эта ошибка возникает при отсутствующих корневых сертификатах безопасности, следовательно выполните рекомендации раздела 1. После этого перезагрузить ПК, либо: зайти в свойства браузера, вкладка Содержание, Кнопка Очистить SSL и перезапустить браузер.

  7.4 Влияние антивирусных программ

  Во многих комплексных антивирусных программных продуктах (далее антивирус), помимо обычной проверки файлов на вирусы, реализована проверка сетевых данных. Т.к. подавляющая часть сайтов работает по зашифрованному протоколу HTTPS, то антивирус не сможет проверить содержимое этих данных — для этого ему нужно их расшифровать. Чтобы это сделать, в цепочку сертификатов при установке соединения с сайтом внедряется сертификат антивируса и обычные сайты открываются без проблем. Проблемы начинаются с государственных сайтов и сайтов использующих шифрование по ГОСТ (которое не признанно всемирно, поэтому не работает сразу везде). Из-за внедрения сертификата антивируса нарушается цепочка шифрования и сайт может не открыться, при этом могут появляться все вышеописанные ошибки о невозможности установить защищённое соединение. Поэтому, если вы сделали все вышеуказанные рекомендации, перезагрузили ПК и у вас всё равно ничего не заработало, то скорее всего дело в вашем антивирусе. Встроенный в Windows антивирус влияние не оказывает, а вот популярные продукты от Kaspersky, DrWeb, ESET Nod32, Avast и т.д. могут.

  Подробнее как отключить проверку HTTPS трафика:

  • Kaspersky, Drweb, NOD32, AdGuard: https://browser.yandex.ru/help/troubleshooting/security.html
  • Avast https://support.avast.com/ru-ru/article/Use-Antivirus-HTTPS-scan/

  7.5 Выберите другую организацию (при авторизации через ЕСИА)

  Для сайтов, у которых авторизация производится через ЕСИА (единую систему идентификации и авторизации) при выборе сертификата могут наблюдаться разнообразные ошибки авторизации в основном связанные с неправильным выбором сертификата для входа (к примеру, сообщение на ЕИС Закупки Выберите другую организацию при входе по 223-ФЗ, раздел V). Почти всегда это связано с закешированными данными об авторизации на сайте Госуслуги.

  Решение: авторизоваться на сайте Госуслуги, нажать Выйти в личном кабинете (чтобы деавторизоваться), перезапустить браузер, зайти на интересующий сайт и авторизоваться в штатном режиме на интересующем вас сайте.

  Приложения к статье

  Если у вас остались вопросы, нашли ошибку — пишите комментарий!

  Не можете настроить рабочее место по вышеприведённой инструкции? — Настрою за вас! Свяжитесь со мной

  Регистрируемся на государственный сайтах zakupki.gov.ru и bus.gov.ru. Подготовка компьютера к работе с личным кабинетом сервиса гос.закупок

  Если вы работаете в бюджетном учреждении, или обслуживаете такие организации по части it-обеспечения, вам может понадобиться провести процедуру настройки и подключения рабочих станций для работы с государственными ресурсами. Это сервисы гос.закупом. Сейчас мы разберем процесс по шагам.

  Введение

  Мы поговорим про два сервиса. Вот они:

  zakupki.gov.ru — используется для размещения информации о государственных закупках, и работе в системе торгов.

  bus.gov.ru — размещение официальной информации о бюджетном учреждении.

  Вашей организации может понадобиться доступ к этим ресурсам по рабочей необходимости, или же в приказном порядке. В любом случае, нужно знать, как происходит процесс регистрации и подключения к системам.

  Формируем сертификат для сайта bus.gov.ru в программе АРМ Генерация ключей

  Вам необходимо сформировать сертификат для сайта Бус Гов Ру (bus.gov.ru). Этот сайт курируется Федеральным Казначейством России и необходим в первую очередь для размещения информации о государственных (муниципальных) учреждениях.

  Формируем сертификат для сайта bus.gov.ru

  Актуальная на момент написания статьи версия программы АРМ генерация ключей — 1.0.0.44n. Можете скачать ее с сайта Федерального Казначейства. Распаковывайте архив в удобное для вас место, заходите в папку АРМ ГК 44 и запускайте файл install.exe.

  После установки на вашем рабочем столе появится папка OTR, а в ней подпапка : Клиент СЭД с ярлыком АРМ Генерации ключей. Запускайте его. Если появится ошибка Exception EoleSysError in module vcl50.bpl (Ошибка при обращении к реестру OLE) — выполните рекомендации, описанные в этой статье и приступим непосредственно к генерации ключа.

  После успешного запуска ярлыка АРМ Генерации ключей вверху экрана появится окошко с предложением создать запрос на сертификат.

  

  Нажимаем Создать запрос на сертификат и выбираем в меню Запрос на сертификат заявителя.

  

  Откроется следующее окно генерации, в котором обязательно надо поставить три галочки (помимо галочки Аутентификация клиента), указывающие на то — какой тип сертификата будет генерироваться и для чего он будет использоваться. Кликаем по значку + пункта Работа с ГМУ и ставим галочки как на следующей картинке.

  

  Далее появится окно, в котором необходимо будет внести информацию о заявителе — руководителе организации, на которую планируется получение сертификата доступа. На картинке подчеркнуты обязательные к заполнению поля.

  

  Учетный номер организации ГМУ можно узнать на самом сайте Бус Гос, пройдя по ссылке bus.gov.ru/pub/registry и введя ИНН требуемой организации. Снизу в поисковой выдаче при совпадении ИНН с существующей фирмой будет дана ссылка, в которой следует кликнуть на вкладку «Регистрационные данные» и в 8 поле Реестровый номер в перечне ГМУ вы найдете требуемый порядковый номер.

  Нажимаем кнопку Далее и следим, чтобы галочка Распечатать заявку на получение сертификата ключа ЭЦП стояла. Далее нажимаем Выполнить и указываем носитель, на который будет записан ключ. Желательно, чтобы это был съемный флеш-носитель. Далее запустится биологический датчик случайных чисел. Водите мышкой без остановки над этим окошком и хаотично нажимайте цифровые и буквенные кнопки вашей клавиатуры чтобы помочь системе сгенерировать ключ. Когда линия процесса генерации дойдет до конца — вам останется придумать пароль для сертификата и повторить его в соседнем окошке. Нажав кнопку ОК вы увидите предложение выбрать путь для файла ключа с расширением .req. По умолчанию это C:FkClnt1EXE.

  После будет сформирован документ Заявление на получение квалифицированного сертификата ключа проверки электронной подписи в Удостоверяющем центре Федерального казначейства, который надо распечатать в 2 экземплярах, подписать ответственным лицом и отнести в отделение Казначейства вместе с флеш-носителем на который был записан файл ключа. После активации ключа вы сможете работать с сайтом Бус Гов (bus.gov.ru).

  

  Устанавливаем корневые сертификаты УЦ Федерального Казначейства 2019

  

  Причины появления ошибки «Не найден корневой сертификат» в Континент АП

  

  Ошибка «Сервер отказал в доступе пользователю. Причина: неизвестный клиент» в Континент АП

  

  Ошибка генерации 9 “Указанный криптопровайдер не найден” в Crypto Pro версий 4.0