Нет поддержки российских криптоалгоритмов при использовании tls казначейство как исправить

Протокол TLS в Internet Explorer

TLS является последователем SSL, протокола, который дает надежное и безопасное соединение между узлами в интернете. Его используют при разработке различных клиентов, включая браузеры и клиент-серверные приложения. Что такое TLS в Internet Explorer?

Немного о технологии

Все предприятия и организации, которые занимаются финансовыми операциями, используют данный протокол для исключения прослушки пакетов и осуществления несанкционированного доступа злоумышленниками. Эта технология создана защищать важные соединения от атак злоумышленников.

Включение и отключение протокола

На некоторые сайты иногда невозможно зайти из-за того, что отключена поддержка технологий SSL и TLS. В обозревателе Интернет Эксплорер всплывает соответствующее уведомление. Итак, как же включить протоколы, чтобы продолжать пользоваться безопасной связью?
1.Откройте Панель управления через Пуск. Еще один способ: открыть Эксплорер и нажать на иконку шестеренки в правом верхнем углу.

2.Зайдите в раздел «Свойства браузера» и откройте блок «Дополнительно».

3.Поставьте галочки рядом с «Использовать TLS 1.1 и TLS 1.2».

4.Кликните по ОК для сохранения внесенных изменений. Если вы захотите отключить протоколы, что крайне не рекомендуется делать, особенно если вы пользуетесь интернет-банкингом, снимите отметки с этих же пунктов.

Чем отличаются 1.0 от 1.1 и 1.2? 1.1 – это только немного усовершенствованный вариант TLS 1.0, который частично унаследовал его недоработки. 1.2 является наиболее безопасной версией протокола. С другой стороны, не все сайты могут открываться при этой включенной версии протокола.

Как известно, мессенджер Скайп напрямую связан с Internet Explorer как компонентом Windows. Если у вас не будет отмечен галочкой протокол TLS в настройках, то со Скайпом могут возникнуть проблемы. Программа просто не сможет соединиться с сервером.

Если в настройках Интернет Эксплорер выключена поддержка TLS, все функции программы, связанные с сетью, не будут работать. Более того, от этой технологии зависит сохранность ваших данных. Не пренебрегайте ей, если выполняете финансовые операции в этом браузере (покупки в интернет-магазинах, перевод денег через интернет-банкинг или электронный кошелек и т.д.).

Источник

Ошибка в Internet Explorer. Убедитесь, что протоколы SSL и TLS включены.

SSL TLS

Протокол SSL TLS

Пользователи бюджетных организаций, да и не только бюджетных, чья деятельность напрямую связана с финансами, во взаимодействии с финансовыми организациями, например, Минфином, казначейством и т.д., все свои операции проводят исключительно по защищенному протоколу SSL. В основном, в своей работе они используют браузер Internet Explorer. В некоторых случаях — Mozilla Firefox.

Ошибка SSL

Основное внимание, при проведении данных операций, да и работе в целом, уделено системе защиты: сертификаты, электронные подписи. Для работы используется программное обеспечение КриптоПро актуальной версии. Что касается проблемы с протоколами SSL и TLS, если ошибка SSL появилась, вероятнее всего отсутствует поддержка данного протокола.

Ошибка TLS

Ошибка TLS во многих случаях также может указывать на отсутствие поддержки протокола. Но… посмотрим, что можно в этом случае сделать.

Поддержка протоколов SSL и TLS

Итак, при использовании Microsoft Internet Explorer, чтобы посетить веб-сайт по защищенному протоколу SSL, в строке заголовка отображается Убедитесь что протоколы ssl и tls включены. В первую очередь, необходимо включить поддержку протокола TLS 1.0 в Internet Explorer.

Если вы посещаете веб-сайт, на котором работает Internet Information Services 4.0 или выше, настройка Internet Explorer для поддержки TLS 1.0 помогает защитить ваше соединение. Конечно, при условии, что удаленный веб-сервер, который вы пытаетесь использовать поддерживает этот протокол.

Для этого в меню Сервис выберите команду Свойства обозревателя.

На вкладке Дополнительно в разделе Безопасность, убедитесь, что следующие флажки выбраны:

Использовать SSL 2.0
Использовать SSL 3.0
Использовать TLS 1.0

Нажмите кнопку Применить, а затем ОК. Перезагрузите браузер.

После включения TLS 1.0, попытайтесь еще раз посетить веб-сайт.

Системная политика безопасности

Если по-прежнему возникают ошибки с SSL и TLS, если вы все еще не можете использовать SSL, удаленный веб-сервер, вероятно, не поддерживает TLS 1.0. В этом случае, необходимо отключить системную политику, которая требует FIPS-совместимые алгоритмы.

Чтобы это сделать, в Панели управления выберите Администрирование, а затем дважды щелкните значок Локальная политика безопасности.

В локальных параметрах безопасности, разверните узел Локальные политики, а затем нажмите кнопку Параметры безопасности.

В соответствии с политикой в ​​правой части окна, дважды щелкните Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания, а затем нажмите кнопку Отключено.

Внимание! Изменение вступает в силу после того, как локальная политика безопасности повторно применяется. То есть включите ее и перезапустите браузер.

КриптоПро TLS SSL

Обновить КриптоПро

Далее, как одним из вариантов решения проблемы, является обновление КриптоПро, а также настройка ресурса. После настройки рабочего места, останется только перезагрузить браузер.

Настройка SSL TLS

Настройка сети

Еще одним вариантом может быть отключение NetBIOS через TCP/IP — расположен в свойствах подключения.

Регистрация DLL

Запустить командную строку от имени администратора и ввести команду regsvr32 cpcng. Для 64-разрядной ОС необходимо использовать тот regsvr32, который в syswow64.

Источник

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

и какой антивирус у вас установлен?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

В яндекс браузере это включается следующем образом:

1. Нажмите → Настройки.
2. Откройте Системные.
3. В блоке Сеть опция Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP.

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

mar59 пишет: корневые серт установлены.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

КриптоПро 5?
На четверке R4 такая же история?

Антивирус есть? Настроен для работы с ГОСТ-шифрованием?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Как включить и отключить TLS 1.0, TLS 1.1, TLS 1.2 протоколы

В данном руководстве разберем несколько способов, как включить или отключить сетевые протоколы TLS 1.0, TLS 1.1 и TLS 1.2.

На сегодняшний день протокол TLS 1.0 не является безопасным, так как он устарел и существуют выше версии, которые более безопасные.

Современные браузеры поддерживают протокол с версии TLS 1.2, и разумным будет отключить версию TLS 1.0.

Если у Вас Windows 7 или XP, то очевидно, что там стоят старые версии браузеров для которых необходим включенный протокол TLS 1.0 или TLS 1.1.

Как включить или отключить TLS 1.0

1. Через свойства интернета

2. Через реестр

Нажимаем Win+R и вводим regedit, чтобы открыть редактор реестра. В реестре переходим по следующему пути:

Вместо TLS 1.0 вы можете создать TLS 1.1 или TLS 1.2, смотря какой вам нужен. Кроме того, можно создать сразу несколько.

Выделяем одним нажатием созданный раздел Client и справа на пустом поле жмем правой кнопкой мыши Создать > Параметр DWORD (32 бита). Назовите новый параметр Enabled. Щелкните по нему два раза, чтобы открыть свойства и задайте значение 1, чтобы включить и 0, чтобы отключить.

Источник

Сбой запроса на сертификат клиента, если безопасные протоколы TLS 1.2 и 1.1 включены в Internet Explorer 11

Примечание: Поддержка классических приложений Internet Explorer 11 будет отменена 15 июня 2022 г. (список области действия см. в вопросе и о том, как это сделать). Те же приложения и сайты IE11, которые вы используете сегодня, могут открываться Microsoft Edge режиме Internet Explorer. Подробнее об этом.

Проблемы

Если веб-сайт запрашивает клиентский сертификат (например, для проверки подлинности), Internet Explorer 11 не сможет отправить сертификат, если включены безопасные протоколы TLS 1.2 и TLS 1.1.

Решение

Сведения об обновлении

Чтобы устранить эту проблему, установите последнее накопительное обновление системы безопасности для Internet Explorer. Для этого перейдите в Microsoft Update.

Технические сведения о последних накопительных обновлениях системы безопасности для Internet Explorer можно найти на следующем веб-сайте Майкрософт:

http://www.microsoft.com/technet/security/current.aspxПримечание. Это обновление впервые было включено в обновление для системы безопасности 2976627.

Чтобы получить дополнительные сведения об обновлении для системы безопасности 2976627, щелкните номер следующей статьи, чтобы просмотреть статью в базе знаний Майкрософт:

2976627 MS14–051: накопительное обновление системы безопасности для Internet Explorer: 12 августа 2014 г.

Дополнительная информация

Эта проблема возникает только с серверами, которые не поддерживают TLS-сеанс (например, путем отправки сброса TCP при получении версии протокола TLS, которая не поддерживается сервером). Если сервер корректно передает сеанс TLS, который указывает на нужную версию в соответствующем сертификате сервера, то все необходимые клиентские сертификаты отправляются на сервер правильно.

Статус

Корпорация Майкрософт подтверждает наличие этой проблемы в своих продуктах, которые перечислены в разделе «Применяется к».

Ссылки

См. термины, которые корпорация Майкрософт использует для описания обновлений программного обеспечения.

Источник

3edd	#1 Оставлено : 31 августа 2022 г. 15:48:40(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 31.08.2022(UTC) Сообщений: 1 Откуда: Псков	Всем добрый день. Столкнулся со странной и необъяснимой проблемой. Имеем парк абсолютно одинаковых машин с Windows 10 Pro сборки 1909 на борту. Установлены сертифицированные дистрибутивы КриптоПро 4.0.9944. На машинах используются разные информационные системы: ЕИС, Облачная 1С, Электронный бюджет, ГАС «Управление» и т.д. Типовую настройку произвожу под браузер Chromium GOST, аутентификация и подписание ЭП работает. Теперь интересное: есть среди них 3 машины, где такая же конфигурация ПО не работает от слова совсем. Сейчас поясню, в чем проблема: Конфигурация софта одинаковая, все плагины, корневые сертификаты и т.д. и т.п. установлены. Не происходит соединение по TLS на проблемных машинах с сайтами, использующими ГОСТ-криптографию (ЕИС, Электронный бюджет, ГАСУ и т.д.). При попытке перехода на страницу аутентификации такого сайта вместо окна выбора сертификата получаем ошибку SSL от браузера или иную ошибку о невозможности открытия страницы. Портал ФЗС Росказны рапортует об отсутствии поддержки российских криптоалгоритмов. Страница проверки ЭЦП Browser Plugin так же не открывается. Плагин и расширение для браузера последние. Теперь, собственно, попытки решения: Последовательное обновление КриптоПро 4 на более новые билды (до 9975 включительно) эффекта не дает никакого. Если обновить/установить КриптоПро 5.0.11455, то всё начинает работать, НО только в Internet Explorer и Yandex Browser. В Chromium, Sputnik и т.д. так же глухо и ничего не открывается. Если обновить на более поздние версии КрпитоПро 5, то начинает работать везде, но на нее не имеем лицензии) Собственно, на одной из проблемных машин переустанавливал ОС с нуля, пробовал другие, более ранние сборки десятки, типа 1709 и те же грабли. Аппаратное? Уже не знаю, что думать. Цель-заставить таки работать 4.0.9944. Извиняюсь за простыню, но случай и правда какой-то нестандартный.

Пользователи, просматривающие эту тему

Guest (2)

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Нет поддержки российских криптоалгоритмов при использовании tls как настроить

С такой ошибкой Мы столкнулись — при работе с новым порталом https://arm-fzs.roskazna.gov.ru — который позволяет нам проверить настройку нашего АРМ (компьютера), для последующей работы с порталом https://fzs.roskazna.ru — где мы можем перевыпустить ЭЦП или сделать запрос на изготовление новой.

Решений несколько:

1. Обязательно смотрите все уведомления — которые всплывают. В нашем случае в низу браузера было уведомление — где нужно выбрать «разрешить».

2. У Вас не установлен плагин КриптоПро ЭЦП Browser Plugin — на скриншоте видно, что есть ссылка «скачать». Скачиваем. Устанавливаем

3. У Вас установлена не самая свежая версия Крипто Про. Как написал один из пользователей в комментариях

Не забываем о браузерах, которые мы можем использовать этих целей:

Для ОС Microsoft Windows 7 или версии выше поддерживаются следующие браузеры:

Internet Explorer версии 9 или выше;
Яндекс.Браузер версии 18.9.1.954 или выше;
Chromium-gost версии 83.0.4103.61 или выше.

Для операционных систем Альт Линукс, Astra Linux, РЕД ОС и GosLinux поддерживается браузер Chromium-gost версии 83.0.4103.61 или выше.

На этом все. Возможно у кого то будут «частные случаи» иного характера, решение которых — не описано в этой статье. Поделитесь с нами )) как вы победили эту ошибку?!

Источник

Поддержка протоколов TLS по ГОСТу

Яндекс.Браузер использует протоколы TLS, которые обеспечивают защищенную передачу данных в интернете. Передаваемые по безопасному соединению данные шифруются и расшифровываются с использованием утилиты КриптоПро CSP.

Установка «КриптоПро CSP»

По требованиям российского законодательства признается только использование TLS-соединений, установленных по российским криптографическим алгоритмам ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001. Поэтому, если вам требуется использование сайтов, использующих шифрование по ГОСТ алгоритмам, необходимо установить программу «КриптоПро CSP» .

В операционных системах Windows используется программа КриптоПро CSP — набор криптографических утилит для генерации электронной подписи, работы с сертификатами

Для установки КриптоПро CSP воспользуйтесь материалами с официального сайта:

После установки КриптоПро CSP браузер проверяет наличие и работоспособность этой программы.

Сайты, запрашивающие шифрование ГОСТ TLS

Если сайт запрашивает шифрование ГОСТ TLS, браузер проверяет, установлено ли программа КриптоПро CSP. Если программа установлена, ей передается управление.

Примеры сайтов, запрашивающих шифрование: www.gosuslugi.ru , сайты на домене .gov.ru , .kamgov.ru , .nalog.ru .

Если сайта нет в списке, то запрашивается дополнительное подтверждение. Если вы доверяете сайту и соединение должно быть произведено с использованием шифрования ГОСТ TLS, нажмите кнопку Продолжить .

Включение и отключение поддержки КриптоПро CSP браузером

По умолчанию в браузере включена поддержка КриптоПро CSP. Рекомендуем убедиться в этом:

Чтобы отключить поддержку шифрования, воспользуйтесь аналогичной последовательностью действий.

Источник

Поддержка протоколов TLS по ГОСТу

Яндекс.Браузер использует протоколы TLS, которые обеспечивают защищенную передачу данных в интернете. Передаваемые по безопасному соединению данные шифруются и расшифровываются с использованием утилиты КриптоПро CSP.

Установка «КриптоПро CSP»

По требованиям российского законодательства признается только использование TLS-соединений, установленных по российским криптографическим алгоритмам ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2012. Поэтому, если вам требуется использование сайтов, использующих шифрование по ГОСТ алгоритмам, необходимо установить программу «КриптоПро CSP» .

В операционных системах Windows используется программа КриптоПро CSP — набор криптографических утилит для генерации электронной подписи, работы с сертификатами.

Для установки КриптоПро CSP воспользуйтесь материалами с официального сайта:

После установки КриптоПро CSP браузер проверяет наличие и работоспособность этой программы.

Сайты, запрашивающие шифрование ГОСТ TLS

Если сайт запрашивает шифрование ГОСТ TLS, браузер проверяет, установлена ли программа КриптоПро CSP. Если программа установлена, ей передается управление.

Примеры сайтов, запрашивающих шифрование: www.gosuslugi.ru , сайты на домене .gov.ru , .kamgov.ru , .nalog.ru .

Если сайта нет в списке, то запрашивается дополнительное подтверждение. Если вы доверяете сайту и соединение должно быть произведено с использованием шифрования ГОСТ TLS, нажмите кнопку Продолжить .

Включение и отключение поддержки КриптоПро CSP браузером

По умолчанию в браузере включена поддержка КриптоПро CSP. Рекомендуем убедиться в этом:

Чтобы отключить поддержку шифрования, воспользуйтесь аналогичной последовательностью действий.

Источник

Нет поддержки российских криптоалгоритмов при использовании TLS

• Сообщений: 251
• Репутация: 1
• Спасибо получено: 90

После перезагрузки,
когда на страничке https://arm-fzs.roskazna.gov.ru/ проверки АРМ выдаётся сообщение об ошибке,
Проверьте Корневой сертификат
Минкомсвязь России действующий до 01.07.2036
На вкладке Состав — Алгоритм подписи
должно быть:
ГОСТ Р 34.11-2012/34.10-2012 256 бит

Какой антивирус у вас установлен и какая версия КрипоПРО?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• arsa
• —>
• Не в сети

• Сообщений: 2
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• ranger
• —>
• Не в сети

• Сообщений: 338
• Репутация: 1
• Спасибо получено: 35

настройки KES проверяйте

ни один антивирус с фильтрацией трафика с российскими алгоритмами не работает
домены надо добавлять в исключения

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• FarWinter
• —>
• Ушел

• Сообщений: 251
• Репутация: 1
• Спасибо получено: 90

Поставьте в настройках KES 11.6.0.394
Настройка — Настройки сети
Проверка защищённых соединений
[*] Не проверять защищённые соединения
и перезайдите в браузер

Когда КриптоПРО переустанавливали,
удалять нужно дополнительно с чисткой следов КриптоПРО
утилитой cspclean.exe

Для удаления всех следов КриптоПро с удалением контейнеров закрытых ключей в реестре
запускать cspclean.exe -delkeys

Утилита есть в файле «Порядок полного удаления КриптоПро и Кода Безопасности.zip»
disk.yandex.ru/d/PAjg5CRY8EqaQA
или скачать с официального сайта КриптоПРО

Бывает, что сертификаты на ПК пользователей некорректно установлены, поэтому лучше
1. Переустановить корневые сертификаты
1.1 Удалить установленные сертификаты через оснастку «Сертификаты»
В Windows 7×64:
Пуск — КРИПТО-ПРО — Сертификаты

В Windows 10: быстро открыть оснастку просмотра сертификатов можно через поиск
нажать клавиши Win+S (Win — клавиша с логотипом Windows, находится между Ctrl и Alt)
В поисковой строке набрать: Сертификаты

Проверить «Сертификаты — текущий пользователь» и «Сертификаты (локальный компьютер)»
Доверенные корневые центры сертификации — Сертификаты
Промежуточные центры сертификации — Сертификаты

Искать и удалять сертификаты:
«Минкомсвязь России» Действующий по <1 июля 2036 г. 15:18:06>
«Федеральное казначейство» Действующий по <19 ноября 2033 г. 18:56:01>
«Федеральное казначейство» Действующий по <5 февраля 2035 г. 17:02:47>
«Федеральное казначейство» Действующий по

1.2 Установить корневые сертификаты ФК с помощью автоматического инсталятора
в хранилище сертификатов — Локальный компьютер
файл «root_2036 Локальный компьютер (ГОСТ 2012).exe»
из сообщения:
sedkazna.ru/forum.html?view=topic&defaul. =1011&start=30#18540

Установка корневых сертификатов для ГОСТ 2012
в хранилище сертификатов — Локальный компьютер
В Доверенные корневые центры сертификации (Root):
«Минкомсвязь России» Действующий по
В Промежуточные центры сертификации (CA):
«Федеральное казначейство» Действующий по <19 ноября 2033 г. 18:56:01>
«Федеральное казначейство» Действующий по <5 февраля 2035 г. 17:02:47>
«Федеральное казначейство» Действующий по

2. Удалить старые(просроченные) сертификаты пользователей из хранилища Личное через оснастку «Сертификаты»
Сертификаты — текущий пользователь
Личное
Сертификаты

3. Установить Сертификат пользователя в контейнер
Инструкция есть в Теме «QuickCG — Порядок быстрой настройки Chromium GOST»
sedkazna.ru/forum.html?view=topic&catid=9&id=1206#16364
пункт 6.0 Установка личного сертификата пользователя

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Нет поддержки российских криптоалгоритмов при использовании TLS

• Сообщений: 251
• Репутация: 1
• Спасибо получено: 90

После перезагрузки,
когда на страничке https://arm-fzs.roskazna.gov.ru/ проверки АРМ выдаётся сообщение об ошибке,
Проверьте Корневой сертификат
Минкомсвязь России действующий до 01.07.2036
На вкладке Состав — Алгоритм подписи
должно быть:
ГОСТ Р 34.11-2012/34.10-2012 256 бит

Какой антивирус у вас установлен и какая версия КрипоПРО?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• arsa
• —>
• Не в сети

• Сообщений: 2
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• ranger
• —>
• Не в сети

• Сообщений: 338
• Репутация: 1
• Спасибо получено: 35

настройки KES проверяйте

ни один антивирус с фильтрацией трафика с российскими алгоритмами не работает
домены надо добавлять в исключения

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• FarWinter
• —>
• Ушел

• Сообщений: 251
• Репутация: 1
• Спасибо получено: 90

Поставьте в настройках KES 11.6.0.394
Настройка — Настройки сети
Проверка защищённых соединений
[*] Не проверять защищённые соединения
и перезайдите в браузер

Когда КриптоПРО переустанавливали,
удалять нужно дополнительно с чисткой следов КриптоПРО
утилитой cspclean.exe

Для удаления всех следов КриптоПро с удалением контейнеров закрытых ключей в реестре
запускать cspclean.exe -delkeys

Утилита есть в файле «Порядок полного удаления КриптоПро и Кода Безопасности.zip»
disk.yandex.ru/d/PAjg5CRY8EqaQA
или скачать с официального сайта КриптоПРО

Бывает, что сертификаты на ПК пользователей некорректно установлены, поэтому лучше
1. Переустановить корневые сертификаты
1.1 Удалить установленные сертификаты через оснастку «Сертификаты»
В Windows 7×64:
Пуск — КРИПТО-ПРО — Сертификаты

В Windows 10: быстро открыть оснастку просмотра сертификатов можно через поиск
нажать клавиши Win+S (Win — клавиша с логотипом Windows, находится между Ctrl и Alt)
В поисковой строке набрать: Сертификаты

Проверить «Сертификаты — текущий пользователь» и «Сертификаты (локальный компьютер)»
Доверенные корневые центры сертификации — Сертификаты
Промежуточные центры сертификации — Сертификаты

Искать и удалять сертификаты:
«Минкомсвязь России» Действующий по <1 июля 2036 г. 15:18:06>
«Федеральное казначейство» Действующий по <19 ноября 2033 г. 18:56:01>
«Федеральное казначейство» Действующий по <5 февраля 2035 г. 17:02:47>
«Федеральное казначейство» Действующий по

1.2 Установить корневые сертификаты ФК с помощью автоматического инсталятора
в хранилище сертификатов — Локальный компьютер
файл «root_2036 Локальный компьютер (ГОСТ 2012).exe»
из сообщения:
sedkazna.ru/forum.html?view=topic&defaul. =1011&start=30#18540

Установка корневых сертификатов для ГОСТ 2012
в хранилище сертификатов — Локальный компьютер
В Доверенные корневые центры сертификации (Root):
«Минкомсвязь России» Действующий по
В Промежуточные центры сертификации (CA):
«Федеральное казначейство» Действующий по <19 ноября 2033 г. 18:56:01>
«Федеральное казначейство» Действующий по <5 февраля 2035 г. 17:02:47>
«Федеральное казначейство» Действующий по

2. Удалить старые(просроченные) сертификаты пользователей из хранилища Личное через оснастку «Сертификаты»
Сертификаты — текущий пользователь
Личное
Сертификаты

3. Установить Сертификат пользователя в контейнер
Инструкция есть в Теме «QuickCG — Порядок быстрой настройки Chromium GOST»
sedkazna.ru/forum.html?view=topic&catid=9&id=1206#16364
пункт 6.0 Установка личного сертификата пользователя

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Нет поддержки российских криптоалгоритмов при использовании TLS

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

и какой антивирус у вас установлен?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

В яндекс браузере это включается следующем образом:

1. Нажмите → Настройки.
2. Откройте Системные.
3. В блоке Сеть опция Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP.

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

mar59 пишет: корневые серт установлены.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

КриптоПро 5?
На четверке R4 такая же история?

Антивирус есть? Настроен для работы с ГОСТ-шифрованием?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Нет поддержки российских криптоалгоритмов при использовании TLS

Нет поддержки российских криптоалгоритмов при использовании TLS

10 фев 2022 07:22 #17934 от mar59

при проверке настройки рабочего места для работы с порталом ФЗС выдается только одна ошибка:

На ПК win10, Браузер IE11, КриптоПро 4.0.9963.

Все остальные проверки проходит нормально.

Подскажите пожалуйста, в чем может быть дело?

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 фев 2022 07:33 #17935 от gurazor

Добавьте сайт в список доверенных узлов, сбросьте настройку безопасности для этих узлов на уровень «низкий», внесите сайт в список исключений антивируса, проверьте настройки SSL и TLS в IE

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 фев 2022 07:42 #17936 от mar59

проверено. Все правильно. На Win 7 вопрос решается установкой версии криптопро не ниже 4.0.9944 и плагина.

У некоторых вопрос решается полной переустановкой КриптоПро и плагина.

Нет ли еще какого либо решения?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 фев 2022 13:01 — 10 фев 2022 13:03 #17943 от FarWinter

Проверьте Корневой сертификат

действующий до 01.07.2036

На вкладке Состав — Алгоритм подписи

ГОСТ Р 34.11-2012/34.10-2012 256 бит

и какой антивирус у вас установлен?

Спасибо сказали: ranger

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

12 фев 2022 05:53 #17959 от mar59

Извините, организация больше не отвечает, посмотреть не могу. Если будет еще такая ситуация, все спрошу и отпишусь

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

02 март 2022 09:47 #18176 от Mischanja

В яндекс браузере это включается следующем образом:

1. Нажмите → Настройки.

2. Откройте Системные.

3. В блоке Сеть опция Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP.

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

02 март 2022 10:53 #18177 от ranger

какие антивирусы используется?

скорее всего пытается влезть в работу ГОСТ-шифрования (фильтрация https)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 апр 2022 06:54 #18456 от mar59

Антивирус удален, надежные сайты введены, корневые серт установлены. Криптопро переустанавливали, плагин тоже.

Win 10 Крипто 4/0/9963

В IE 11 и Гост Хромиум то же самое

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 апр 2022 07:21 — 08 апр 2022 07:35 #18457 от Gvinpin

mar59 пишет: корневые серт установлены.

Проверьте, чтобы в промежуточных был установлен именно корневой сертификат УЦ ФК от 05.02.2020, действительный до 2035 года. Похоже, проверяется наличие любого сертификата УЦ ФК, поэтому и не ругается на корневые.

Разум когда-нибудь победит ©

Спасибо сказали: mar59

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 апр 2022 07:58 #18458 от mar59

СПАСИБО. Видимо действительно дело в корневых.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

04 июнь 2022 06:56 #18679 от rrcrst

Столкнулся с такой же проблемой. Во всех браузерах не проходит проверку автоматизированного рабочего места пользователя Портала заявителя информационной системы «Удостоверяющий центр Федерального казначейства» — Нет поддержки российских криптоалгоритмов при использовании TLS. Крипто Про CSP и плагин переустанавливал. Сертификаты подчищал и заново переустанавливал.

Прошу помощи советом!

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

04 июнь 2022 07:53 #18680 от AlexXXL

У меня такая проблема решилась обновлением Хромиум-ГОСТа до последней версии.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

04 июнь 2022 08:16 — 05 июнь 2022 12:55 #18681 от Gvinpin

rrcrst пишет: Во всех браузерах не проходит проверку автоматизированного рабочего места пользователя Портала заявителя информационной системы «Удостоверяющий центр Федерального казначейства» — Нет поддержки российских криптоалгоритмов при использовании TLS. Крипто Про CSP и плагин переустанавливал. Сертификаты подчищал и заново переустанавливал.

Во всех браузерах проверка завершается с такой ошибкой при отсутствии корневого сертификата УЦ ФК от 05.02.2020 (причем независимо от того, установлен корневой от 13.04.2022, или нет).

И если на КриптоПро и плагин не ругается, то смысла их переустанавливать нет.

Разум когда-нибудь победит ©

Спасибо сказали: Alex_04

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

07 июнь 2022 07:31 #18692 от ranger

На четверке R4 такая же история?

Антивирус есть? Настроен для работы с ГОСТ-шифрованием?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

22 июнь 2022 10:10 #18756 от arsa

Винда 10, АРМ для ВРС настроен, работаем через IE-11

После перезагрузки компа ошибка входа, проверяем и на страничке проверки АРМ выдает сообщение, что нет поддержки российских криптоалгоритмов при использовании TLS

На хромиум госте так же пробовал-аналогичная ситуация.

Таким образом пока нашел выход из сложившейся ситуации переустановкой криптопро csp…

Может кто поделится лечением)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Поддержка протоколов TLS по ГОСТу

Яндекс.Браузер использует протоколы TLS, которые обеспечивают защищенную передачу данных в интернете. Передаваемые по безопасному соединению данные шифруются и расшифровываются с использованием утилиты КриптоПро CSP.

Установка «КриптоПро CSP»

В операционных системах Windows используется программа КриптоПро CSP — набор криптографических утилит для генерации электронной подписи, работы с сертификатами.

Для установки КриптоПро CSP воспользуйтесь материалами с официального сайта:

После установки КриптоПро CSP браузер проверяет наличие и работоспособность этой программы.

Сайты, запрашивающие шифрование ГОСТ TLS

Если сайт запрашивает шифрование ГОСТ TLS, браузер проверяет, установлена ли программа КриптоПро CSP. Если программа установлена, ей передается управление.

Включение и отключение поддержки КриптоПро CSP браузером

По умолчанию в браузере включена поддержка КриптоПро CSP. Рекомендуем убедиться в этом:

Чтобы отключить поддержку шифрования, воспользуйтесь аналогичной последовательностью действий.

Шифрование TLS-трафика по алгоритмам ГОСТ-2012 c Stunnel

В этой статье я хочу показать, как настроить Stunnel на использование российских криптографических алгоритмов в протоколе TLS. В качестве бонуса покажу, как шифровать TLS-канал, используя алгоритмы ГОСТ, реализованные в криптоядре Рутокен ЭЦП 2.0.

Но для начала давайте вообще разберёмся для чего нужен Stunnel. В двух словах — это программа, на которую можно переложить всю логику шифрования трафика между сервером и клиентом. Делается это следующем образом: допустим у вас есть клиент и сервер, которые общаются между собой без использования шифрования, аутентификации и проверки целостности. Вы могли бы переписать клиент и сервер так, чтобы все исходящие и входящие сообщения передавались между собой с учётом всех этих моментов, но для чего такие сложности, если можно это просто переложить на плечи другому приложения? Для решения такой задачи как раз подойдёт Stunnel.

Вам нужно просто настроить клиент таким образом, чтобы весь свой трафик он передавал на клиентский Stunnel, в свою очередь, он устанавливает безопасное соединение с сервером, отправляя данные на серверный Stunnel. Stunnel на сервере расшифровывает пришедший трафик и перенаправляет данные на вход серверу. Вышесказанное проще осознать глядя на эту диаграмму

Стоит заметить, что на сервере не обязательно должен стоять именно Stunnel, для работы с криптографическими алгоритмами. Здорово, что есть готовые демонстрационные стенды, которые поддерживают российскую криптографию, список которых есть в презентации с РусКрипто’2019.

Нам нужны стабильно работающие серверы, осуществляющие двухстороннюю аутентификацию.

Звучит достаточно просто, давайте попробуем организовать этот процесс.

Подготовительный шаг

OpenSSL для Windows можно взять отсюда, а для пользователей линукса — из репозиториев или собрать самому, скачав свежую версию отсюда. Также его можно взять из Rutoken SDK, из директории opensslopenssl—1.1, этот архив нам будет полезен и дальше, т.к. в нём находится интересующий нас rtengine. Stunnel можно найти здесь. Для работы необходима версия >= 5.56.

Скачать rtengine можно из Rutoken SDK, он лежит в директории opensslrtenginebin. Закинуть его нужно туда, где хранятся все движки openssl. Узнать путь до них можно с помощью

Но просто переместить движок в нужную папку — мало, нужно ещё сконфигурировать сам openssl для работы с ним. Узнаём где лежит файл с конфигурацией openssl.cnf с помощью той же команды, что указана выше (под виндой stunnel идёт с собственной версией openssl, поэтому файл с конфигурацией лежит в pathtostunnelconfigopenssl.cnf

Давайте проверим, что rtengine подключился, для этого подключим токен и выведем список всех алгоритмов шифрования:

Напомню, что в Windows нужно проверять на openssl, который лежит рядом с stunnel

Если среди них будут присутствовать наши ГОСТы, значит всё настроено верно.

Настало время самого интересного: проверка установки соединения по ГОСТу с тестовыми серверами КриптоПро. Список данных серверов описан здесь (https://www.cryptopro.ru/products/csp/tc26tls). Каждый из этих серверов работает со своими алгоритмами для аутентификации и шифрования. Более того на портах 443, 1443, 2443,… запущены сервисы, которые воспринимают только определённые парамсеты. Так, например, по адресу https://tlsgost-256auth.cryptopro.ru происходит шифрование с аутентификацией с использованием алгоритмов GOST2012-GOST8912-GOST8912 и 256-битным ключом. Так же на порту 443 используется XchA-ParamSet, на порту 1443 — XchB-ParamSet, на порту 2443 — A-ParamSet и т.д.

Теперь, когда мы знаем, какой ключ нам нужен, давайте получим корневой сертификат от тестового сервера, выработаем ключи для работы и подпишем запрос на наш сертификат.

Простой способ (работает под Windows и Linux)

Через командную строку

Для того, чтобы получить корневой сертификат, зайдём на сайт тестового УЦ ООО «КРИПТО-ПРО». И нажмём на кнопку для получения сертификата. Отобразится новая вкладка, в которой нужно будет выбрать метод шифрования Base64 и нажать на кнопку «Загрузка сертификата ЦС». Полученный файл certnew.cer сохраняем.

Теперь генерируем ключи.

Стоит заметить, что сгенерированные на токене ключи не могут быть скопированы с токена. В этом состоит одно из основных преимуществ их использования.

Создадим запрос на сертификат:

Опять открываем сайт тестового УЦ, но на этот раз нажимаем на кнопку «Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64». Вставляем в поле содержимое нашего запроса, нажимаем на кнопку Выдать и загружаем сертификат user.crt в формате Base64. Полученный файл сохраняем

Остался последний вопрос: Для чего всё это. Зачем мы получали все эти сертификаты, ключи и запросы?

Дело в том, что они нужны протоколу TLS для двусторонней аутентификации. Работает это очень просто.

У нас есть сертификат сервера, и мы считаем его доверенным.

Наш клиент проверяет, что сервер, с которым мы работаем имеет аналогичный сертификат.

Сервер же хочет убедиться, что работает с пользователем, который ему известен. Для этого мы и создавали запрос на сертификат для работы через наши ключи.

Мы отправили этот запрос и сервер подписал её своей ЭЦП. Теперь мы можем каждый раз предъявлять этот сертификат, подписанный корневым УЦ, тем самым подтверждая, что мы — это мы.

Конфигурирование Stunnel

Осталось только правильно настроить наш туннель. Для этого создадим файл stunnel.conf с настройками Stunnel по умолчанию и напишем туда следующее:

Теперь, если всё сделано правильно, можно запустить Stunnel с нашей конфигурацией и подключиться к серверу:

Откроем браузер и зайдём по адресу localhost:8080. Если всё верно, то отобразится следующее:

Если же нет, то смотрим логи и используем отладчик, чтобы понять в чём же всё-таки проблема.

Ошибка в Internet Explorer. Убедитесь, что протоколы SSL и TLS включены.

SSL TLS

Протокол SSL TLS

Пользователи бюджетных организаций, да и не только бюджетных, чья деятельность напрямую связана с финансами, во взаимодействии с финансовыми организациями, например, Минфином, казначейством и т.д., все свои операции проводят исключительно по защищенному протоколу SSL. В основном, в своей работе они используют браузер Internet Explorer. В некоторых случаях — Mozilla Firefox.

Ошибка SSL

Основное внимание, при проведении данных операций, да и работе в целом, уделено системе защиты: сертификаты, электронные подписи. Для работы используется программное обеспечение КриптоПро актуальной версии. Что касается проблемы с протоколами SSL и TLS, если ошибка SSL появилась, вероятнее всего отсутствует поддержка данного протокола.

Ошибка TLS

Ошибка TLS во многих случаях также может указывать на отсутствие поддержки протокола. Но… посмотрим, что можно в этом случае сделать.

Поддержка протоколов SSL и TLS

Итак, при использовании Microsoft Internet Explorer, чтобы посетить веб-сайт по защищенному протоколу SSL, в строке заголовка отображается Убедитесь что протоколы ssl и tls включены. В первую очередь, необходимо включить поддержку протокола TLS 1.0 в Internet Explorer.

Если вы посещаете веб-сайт, на котором работает Internet rmation Services 4.0 или выше, настройка Internet Explorer для поддержки TLS 1.0 помогает защитить ваше соединение. Конечно, при условии, что удаленный веб-сервер, который вы пытаетесь использовать поддерживает этот протокол.

Для этого в меню Сервис выберите команду Свойства обозревателя.

На вкладке Дополнительно в разделе Безопасность, убедитесь, что следующие флажки выбраны:

Использовать SSL 2.0

Использовать SSL 3.0

Использовать TLS 1.0

Нажмите кнопку Применить, а затем ОК. Перезагрузите браузер.

После включения TLS 1.0, попытайтесь еще раз посетить веб-сайт.

Системная политика безопасности

Если по-прежнему возникают ошибки с SSL и TLS, если вы все еще не можете использовать SSL, удаленный веб-сервер, вероятно, не поддерживает TLS 1.0. В этом случае, необходимо отключить системную политику, которая требует FIPS-совместимые алгоритмы.

Чтобы это сделать, в Панели управления выберите Администрирование, а затем дважды щелкните значок Локальная политика безопасности.

В локальных параметрах безопасности, разверните узел Локальные политики, а затем нажмите кнопку Параметры безопасности.

В соответствии с политикой в ​​правой части окна, дважды щелкните Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания, а затем нажмите кнопку Отключено.

Внимание! Изменение вступает в силу после того, как локальная политика безопасности повторно применяется. То есть включите ее и перезапустите браузер.

КриптоПро TLS SSL

Обновить КриптоПро

Далее, как одним из вариантов решения проблемы, является обновление КриптоПро, а также настройка ресурса. После настройки рабочего места, останется только перезагрузить браузер.

Настройка SSL TLS

Настройка сети

Еще одним вариантом может быть отключение NetBIOS через TCP/IP — расположен в свойствах подключения.

Регистрация DLL

Запустить командную строку от имени администратора и ввести команду regsvr32 cpcng. Для 64-разрядной ОС необходимо использовать тот regsvr32, который в syswow64.

Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin.

А пока разберем ошибку: Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin, с которой мы столкнулись на новом сервисе https://arm-fzs.roskazna.gov.ru — который позволяет проверить настройки Вашего компьютера, для работы с сайтом https://fzs.roskazna.ru (обязательным для этих сайтов является использование браузера Internet Explorer версии 9 или выше;)

Нет поддержки российских криптоалгоритмов при использовании TLS

Не установлены поддерживаемые версии СКЗИ

Как видно из скриншота — в нижней части экрана появилось оповещение! Нам обязательно нужно нажать «Разрешить». Это оповещение как раз касается плагина от Crypto-Pro. После нажатия всплывет еще одно окошка.

Если он у вас не установлен. То в ошибке есть ссылка «скачать». Скачивайте. Устанавливайте. Перезапускайте браузер и пробуйте еще раз

После того как нажали «Да» браузер (у меня автоматически обновил вкладку) и я увидел заветную картинку.

Проверено на 2 компьютерах с аналогичной ошибкой. Если у Вас была «загвоздка» с этой ошибкой в чем то другом, обязательно пишите в комментариях

Один отзыв для «Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin.»

Существует другой вариант решения этой проблемы.Более надежный.Установить клиента Континент АП.

Поддержка протоколов TLS по ГОСТу

Яндекс.Браузер использует протоколы TLS, которые обеспечивают защищенную передачу данных в интернете. Передаваемые по безопасному соединению данные шифруются и расшифровываются с использованием утилиты КриптоПро CSP.

Установка «КриптоПро CSP»

В операционных системах Windows используется программа КриптоПро CSP — набор криптографических утилит для генерации электронной подписи, работы с сертификатами

Для установки КриптоПро CSP воспользуйтесь материалами с официального сайта:

После установки КриптоПро CSP браузер проверяет наличие и работоспособность этой программы.

Сайты, запрашивающие шифрование ГОСТ TLS

Если сайт запрашивает шифрование ГОСТ TLS, браузер проверяет, установлено ли программа КриптоПро CSP. Если программа установлена, ей передается управление.

Включение и отключение поддержки КриптоПро CSP браузером

По умолчанию в браузере включена поддержка КриптоПро CSP. Рекомендуем убедиться в этом:

Чтобы отключить поддержку шифрования, воспользуйтесь аналогичной последовательностью действий.

Источник

Нет поддержки российских криптоалгоритмов при использовании TLS

Нет поддержки российских криптоалгоритмов при использовании TLS

10 фев 2022 07:22 #17934 от mar59

при проверке настройки рабочего места для работы с порталом ФЗС выдается только одна ошибка:

На ПК win10, Браузер IE11, КриптоПро 4.0.9963.

Все остальные проверки проходит нормально.

Подскажите пожалуйста, в чем может быть дело?

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 фев 2022 07:33 #17935 от gurazor

Добавьте сайт в список доверенных узлов, сбросьте настройку безопасности для этих узлов на уровень «низкий», внесите сайт в список исключений антивируса, проверьте настройки SSL и TLS в IE

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 фев 2022 07:42 #17936 от mar59

проверено. Все правильно. На Win 7 вопрос решается установкой версии криптопро не ниже 4.0.9944 и плагина.

У некоторых вопрос решается полной переустановкой КриптоПро и плагина.

Нет ли еще какого либо решения?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 фев 2022 13:01 — 10 фев 2022 13:03 #17943 от FarWinter

Проверьте Корневой сертификат

действующий до 01.07.2036

На вкладке Состав — Алгоритм подписи

ГОСТ Р 34.11-2012/34.10-2012 256 бит

и какой антивирус у вас установлен?

Спасибо сказали: ranger

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

12 фев 2022 05:53 #17959 от mar59

Извините, организация больше не отвечает, посмотреть не могу. Если будет еще такая ситуация, все спрошу и отпишусь

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

02 март 2022 09:47 #18176 от Mischanja

В яндекс браузере это включается следующем образом:

1. Нажмите → Настройки.

2. Откройте Системные.

3. В блоке Сеть опция Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP.

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

02 март 2022 10:53 #18177 от ranger

какие антивирусы используется?

скорее всего пытается влезть в работу ГОСТ-шифрования (фильтрация https)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 апр 2022 06:54 #18456 от mar59

Антивирус удален, надежные сайты введены, корневые серт установлены. Криптопро переустанавливали, плагин тоже.

Win 10 Крипто 4/0/9963

В IE 11 и Гост Хромиум то же самое

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 апр 2022 07:21 — 08 апр 2022 07:35 #18457 от Gvinpin

mar59 пишет: корневые серт установлены.

Проверьте, чтобы в промежуточных был установлен именно корневой сертификат УЦ ФК от 05.02.2020, действительный до 2035 года. Похоже, проверяется наличие любого сертификата УЦ ФК, поэтому и не ругается на корневые.

Разум когда-нибудь победит ©

Спасибо сказали: mar59

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

08 апр 2022 07:58 #18458 от mar59

СПАСИБО. Видимо действительно дело в корневых.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

04 июнь 2022 06:56 #18679 от rrcrst

Столкнулся с такой же проблемой. Во всех браузерах не проходит проверку автоматизированного рабочего места пользователя Портала заявителя информационной системы «Удостоверяющий центр Федерального казначейства» — Нет поддержки российских криптоалгоритмов при использовании TLS. Крипто Про CSP и плагин переустанавливал. Сертификаты подчищал и заново переустанавливал.

Прошу помощи советом!

Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

04 июнь 2022 07:53 #18680 от AlexXXL

У меня такая проблема решилась обновлением Хромиум-ГОСТа до последней версии.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

04 июнь 2022 08:16 — 05 июнь 2022 12:55 #18681 от Gvinpin

rrcrst пишет: Во всех браузерах не проходит проверку автоматизированного рабочего места пользователя Портала заявителя информационной системы «Удостоверяющий центр Федерального казначейства» — Нет поддержки российских криптоалгоритмов при использовании TLS. Крипто Про CSP и плагин переустанавливал. Сертификаты подчищал и заново переустанавливал.

Во всех браузерах проверка завершается с такой ошибкой при отсутствии корневого сертификата УЦ ФК от 05.02.2020 (причем независимо от того, установлен корневой от 13.04.2022, или нет).

И если на КриптоПро и плагин не ругается, то смысла их переустанавливать нет.

Разум когда-нибудь победит ©

Спасибо сказали: Alex_04

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

07 июнь 2022 07:31 #18692 от ranger

На четверке R4 такая же история?

Антивирус есть? Настроен для работы с ГОСТ-шифрованием?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

22 июнь 2022 10:10 #18756 от arsa

Винда 10, АРМ для ВРС настроен, работаем через IE-11

После перезагрузки компа ошибка входа, проверяем и на страничке проверки АРМ выдает сообщение, что нет поддержки российских криптоалгоритмов при использовании TLS

На хромиум госте так же пробовал-аналогичная ситуация.

Таким образом пока нашел выход из сложившейся ситуации переустановкой криптопро csp…

Может кто поделится лечением)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Поддержка протоколов TLS по ГОСТу

Яндекс.Браузер использует протоколы TLS, которые обеспечивают защищенную передачу данных в интернете. Передаваемые по безопасному соединению данные шифруются и расшифровываются с использованием утилиты КриптоПро CSP.

Установка «КриптоПро CSP»

В операционных системах Windows используется программа КриптоПро CSP — набор криптографических утилит для генерации электронной подписи, работы с сертификатами.

Для установки КриптоПро CSP воспользуйтесь материалами с официального сайта:

После установки КриптоПро CSP браузер проверяет наличие и работоспособность этой программы.

Сайты, запрашивающие шифрование ГОСТ TLS

Если сайт запрашивает шифрование ГОСТ TLS, браузер проверяет, установлена ли программа КриптоПро CSP. Если программа установлена, ей передается управление.

Включение и отключение поддержки КриптоПро CSP браузером

По умолчанию в браузере включена поддержка КриптоПро CSP. Рекомендуем убедиться в этом:

Чтобы отключить поддержку шифрования, воспользуйтесь аналогичной последовательностью действий.

Шифрование TLS-трафика по алгоритмам ГОСТ-2012 c Stunnel

В этой статье я хочу показать, как настроить Stunnel на использование российских криптографических алгоритмов в протоколе TLS. В качестве бонуса покажу, как шифровать TLS-канал, используя алгоритмы ГОСТ, реализованные в криптоядре Рутокен ЭЦП 2.0.

Но для начала давайте вообще разберёмся для чего нужен Stunnel. В двух словах — это программа, на которую можно переложить всю логику шифрования трафика между сервером и клиентом. Делается это следующем образом: допустим у вас есть клиент и сервер, которые общаются между собой без использования шифрования, аутентификации и проверки целостности. Вы могли бы переписать клиент и сервер так, чтобы все исходящие и входящие сообщения передавались между собой с учётом всех этих моментов, но для чего такие сложности, если можно это просто переложить на плечи другому приложения? Для решения такой задачи как раз подойдёт Stunnel.

Вам нужно просто настроить клиент таким образом, чтобы весь свой трафик он передавал на клиентский Stunnel, в свою очередь, он устанавливает безопасное соединение с сервером, отправляя данные на серверный Stunnel. Stunnel на сервере расшифровывает пришедший трафик и перенаправляет данные на вход серверу. Вышесказанное проще осознать глядя на эту диаграмму

Стоит заметить, что на сервере не обязательно должен стоять именно Stunnel, для работы с криптографическими алгоритмами. Здорово, что есть готовые демонстрационные стенды, которые поддерживают российскую криптографию, список которых есть в презентации с РусКрипто’2019.

Нам нужны стабильно работающие серверы, осуществляющие двухстороннюю аутентификацию.

Звучит достаточно просто, давайте попробуем организовать этот процесс.

Подготовительный шаг

OpenSSL для Windows можно взять отсюда, а для пользователей линукса — из репозиториев или собрать самому, скачав свежую версию отсюда. Также его можно взять из Rutoken SDK, из директории opensslopenssl—1.1, этот архив нам будет полезен и дальше, т.к. в нём находится интересующий нас rtengine. Stunnel можно найти здесь. Для работы необходима версия >= 5.56.

Скачать rtengine можно из Rutoken SDK, он лежит в директории opensslrtenginebin. Закинуть его нужно туда, где хранятся все движки openssl. Узнать путь до них можно с помощью

Но просто переместить движок в нужную папку — мало, нужно ещё сконфигурировать сам openssl для работы с ним. Узнаём где лежит файл с конфигурацией openssl.cnf с помощью той же команды, что указана выше (под виндой stunnel идёт с собственной версией openssl, поэтому файл с конфигурацией лежит в pathtostunnelconfigopenssl.cnf

Давайте проверим, что rtengine подключился, для этого подключим токен и выведем список всех алгоритмов шифрования:

Напомню, что в Windows нужно проверять на openssl, который лежит рядом с stunnel

Если среди них будут присутствовать наши ГОСТы, значит всё настроено верно.

Настало время самого интересного: проверка установки соединения по ГОСТу с тестовыми серверами КриптоПро. Список данных серверов описан здесь (https://www.cryptopro.ru/products/csp/tc26tls). Каждый из этих серверов работает со своими алгоритмами для аутентификации и шифрования. Более того на портах 443, 1443, 2443,… запущены сервисы, которые воспринимают только определённые парамсеты. Так, например, по адресу https://tlsgost-256auth.cryptopro.ru происходит шифрование с аутентификацией с использованием алгоритмов GOST2012-GOST8912-GOST8912 и 256-битным ключом. Так же на порту 443 используется XchA-ParamSet, на порту 1443 — XchB-ParamSet, на порту 2443 — A-ParamSet и т.д.

Теперь, когда мы знаем, какой ключ нам нужен, давайте получим корневой сертификат от тестового сервера, выработаем ключи для работы и подпишем запрос на наш сертификат.

Простой способ (работает под Windows и Linux)

Через командную строку

Для того, чтобы получить корневой сертификат, зайдём на сайт тестового УЦ ООО «КРИПТО-ПРО». И нажмём на кнопку для получения сертификата. Отобразится новая вкладка, в которой нужно будет выбрать метод шифрования Base64 и нажать на кнопку «Загрузка сертификата ЦС». Полученный файл certnew.cer сохраняем.

Теперь генерируем ключи.

Стоит заметить, что сгенерированные на токене ключи не могут быть скопированы с токена. В этом состоит одно из основных преимуществ их использования.

Создадим запрос на сертификат:

Опять открываем сайт тестового УЦ, но на этот раз нажимаем на кнопку «Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64». Вставляем в поле содержимое нашего запроса, нажимаем на кнопку Выдать и загружаем сертификат user.crt в формате Base64. Полученный файл сохраняем

Остался последний вопрос: Для чего всё это. Зачем мы получали все эти сертификаты, ключи и запросы?

Дело в том, что они нужны протоколу TLS для двусторонней аутентификации. Работает это очень просто.

У нас есть сертификат сервера, и мы считаем его доверенным.

Наш клиент проверяет, что сервер, с которым мы работаем имеет аналогичный сертификат.

Сервер же хочет убедиться, что работает с пользователем, который ему известен. Для этого мы и создавали запрос на сертификат для работы через наши ключи.

Мы отправили этот запрос и сервер подписал её своей ЭЦП. Теперь мы можем каждый раз предъявлять этот сертификат, подписанный корневым УЦ, тем самым подтверждая, что мы — это мы.

Конфигурирование Stunnel

Осталось только правильно настроить наш туннель. Для этого создадим файл stunnel.conf с настройками Stunnel по умолчанию и напишем туда следующее:

Теперь, если всё сделано правильно, можно запустить Stunnel с нашей конфигурацией и подключиться к серверу:

Откроем браузер и зайдём по адресу localhost:8080. Если всё верно, то отобразится следующее:

Если же нет, то смотрим логи и используем отладчик, чтобы понять в чём же всё-таки проблема.

Ошибка в Internet Explorer. Убедитесь, что протоколы SSL и TLS включены.

SSL TLS

Протокол SSL TLS

Пользователи бюджетных организаций, да и не только бюджетных, чья деятельность напрямую связана с финансами, во взаимодействии с финансовыми организациями, например, Минфином, казначейством и т.д., все свои операции проводят исключительно по защищенному протоколу SSL. В основном, в своей работе они используют браузер Internet Explorer. В некоторых случаях — Mozilla Firefox.

Ошибка SSL

Основное внимание, при проведении данных операций, да и работе в целом, уделено системе защиты: сертификаты, электронные подписи. Для работы используется программное обеспечение КриптоПро актуальной версии. Что касается проблемы с протоколами SSL и TLS, если ошибка SSL появилась, вероятнее всего отсутствует поддержка данного протокола.

Ошибка TLS

Ошибка TLS во многих случаях также может указывать на отсутствие поддержки протокола. Но… посмотрим, что можно в этом случае сделать.

Поддержка протоколов SSL и TLS

Итак, при использовании Microsoft Internet Explorer, чтобы посетить веб-сайт по защищенному протоколу SSL, в строке заголовка отображается Убедитесь что протоколы ssl и tls включены. В первую очередь, необходимо включить поддержку протокола TLS 1.0 в Internet Explorer.

Если вы посещаете веб-сайт, на котором работает Internet rmation Services 4.0 или выше, настройка Internet Explorer для поддержки TLS 1.0 помогает защитить ваше соединение. Конечно, при условии, что удаленный веб-сервер, который вы пытаетесь использовать поддерживает этот протокол.

Для этого в меню Сервис выберите команду Свойства обозревателя.

На вкладке Дополнительно в разделе Безопасность, убедитесь, что следующие флажки выбраны:

Использовать SSL 2.0

Использовать SSL 3.0

Использовать TLS 1.0

Нажмите кнопку Применить, а затем ОК. Перезагрузите браузер.

После включения TLS 1.0, попытайтесь еще раз посетить веб-сайт.

Системная политика безопасности

Если по-прежнему возникают ошибки с SSL и TLS, если вы все еще не можете использовать SSL, удаленный веб-сервер, вероятно, не поддерживает TLS 1.0. В этом случае, необходимо отключить системную политику, которая требует FIPS-совместимые алгоритмы.

Чтобы это сделать, в Панели управления выберите Администрирование, а затем дважды щелкните значок Локальная политика безопасности.

В локальных параметрах безопасности, разверните узел Локальные политики, а затем нажмите кнопку Параметры безопасности.

В соответствии с политикой в ​​правой части окна, дважды щелкните Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хеширования и подписывания, а затем нажмите кнопку Отключено.

Внимание! Изменение вступает в силу после того, как локальная политика безопасности повторно применяется. То есть включите ее и перезапустите браузер.

КриптоПро TLS SSL

Обновить КриптоПро

Далее, как одним из вариантов решения проблемы, является обновление КриптоПро, а также настройка ресурса. После настройки рабочего места, останется только перезагрузить браузер.

Настройка SSL TLS

Настройка сети

Еще одним вариантом может быть отключение NetBIOS через TCP/IP — расположен в свойствах подключения.

Регистрация DLL

Запустить командную строку от имени администратора и ввести команду regsvr32 cpcng. Для 64-разрядной ОС необходимо использовать тот regsvr32, который в syswow64.

Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin.

А пока разберем ошибку: Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin, с которой мы столкнулись на новом сервисе https://arm-fzs.roskazna.gov.ru — который позволяет проверить настройки Вашего компьютера, для работы с сайтом https://fzs.roskazna.ru (обязательным для этих сайтов является использование браузера Internet Explorer версии 9 или выше;)

Нет поддержки российских криптоалгоритмов при использовании TLS

Не установлены поддерживаемые версии СКЗИ

Как видно из скриншота — в нижней части экрана появилось оповещение! Нам обязательно нужно нажать «Разрешить». Это оповещение как раз касается плагина от Crypto-Pro. После нажатия всплывет еще одно окошка.

Если он у вас не установлен. То в ошибке есть ссылка «скачать». Скачивайте. Устанавливайте. Перезапускайте браузер и пробуйте еще раз

После того как нажали «Да» браузер (у меня автоматически обновил вкладку) и я увидел заветную картинку.

Проверено на 2 компьютерах с аналогичной ошибкой. Если у Вас была «загвоздка» с этой ошибкой в чем то другом, обязательно пишите в комментариях

Один отзыв для «Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin.»

Существует другой вариант решения этой проблемы.Более надежный.Установить клиента Континент АП.

Поддержка протоколов TLS по ГОСТу

Яндекс.Браузер использует протоколы TLS, которые обеспечивают защищенную передачу данных в интернете. Передаваемые по безопасному соединению данные шифруются и расшифровываются с использованием утилиты КриптоПро CSP.

Установка «КриптоПро CSP»

В операционных системах Windows используется программа КриптоПро CSP — набор криптографических утилит для генерации электронной подписи, работы с сертификатами

Для установки КриптоПро CSP воспользуйтесь материалами с официального сайта:

После установки КриптоПро CSP браузер проверяет наличие и работоспособность этой программы.

Сайты, запрашивающие шифрование ГОСТ TLS

Если сайт запрашивает шифрование ГОСТ TLS, браузер проверяет, установлено ли программа КриптоПро CSP. Если программа установлена, ей передается управление.

Включение и отключение поддержки КриптоПро CSP браузером

По умолчанию в браузере включена поддержка КриптоПро CSP. Рекомендуем убедиться в этом:

Чтобы отключить поддержку шифрования, воспользуйтесь аналогичной последовательностью действий.

Источник