Open bobishka opened 3 years ago
Здравствуйте, у нас не воспроизводится.
Возможно, вместо "ОС: calculate-linux 21 (KDE)" необходимо использовать что-то более поддерживаемое.
Ага, однако же все работает, именно кроме этого.
В принципе разница в дистрибутивах не столь критична, если понимаешь, что делаешь. Если есть возможность подскажите хоть в какую сторону покапать?! На форуме криптопро посоветовали написать сюда.
Начните с поиска информации об ошибке ERR_CERT_NO_REVOCATION_MECHANISM
Понятно, предлагаете копаться в исходниках :( . Потому что информацию особо я не нашел по этой ошибке. даже не понятно пока, что она означает именно.
Зачем в исходниках ковыряться? Попытайтесь покормить Крипту актуальными crl. Или попробуйте отключить https://cloud.google.com/docs/chrome-enterprise/policies/?policy=RequireOnlineRevocationChecksForLocalAnchors
Спасибо! Я просто не понимал что эта ошибка вообще означала. Теперь стало яснее)
Кормешка прошла успешно. Все заработало.
Подскажите плиз, это все таки проблемы на стороне браузера или крипты?
IMHO. проблемы в сертификате сервера закупок. У него должны быть прописаны источники crl, но, судя по ошибке, их нет. Возможно, что следующий сертификат они себе сделают как положено.
Браузер вызывает функции безопасности, если они вернули ошибку, то это точно не проблема браузера сообщить вам об этом.
IMHO. проблемы в сертификате сервера закупок. У него должны быть прописаны источники crl, но, судя по ошибке, их нет. Возможно, что следующий сертификат они себе сделают как положено.
Самое интересное что они прописаны. Я и список-то скачал по той ссылке которые там указаны. Интересно, что вторая ссылка (http://crl.fsfk.local/crl/ucfk_2020.crl), видимо какая-то локальная или что-то, что я пока не вкурил. Может из-за этого проблемы?!
IMHO. проблемы в сертификате сервера закупок. У него должны быть прописаны источники crl, но, судя по ошибке, их нет. Возможно, что следующий сертификат они себе сделают как положено.
Самое интересное что они прописаны. Я и список-то скачал по той ссылке которые там указаны. Интересно, что вторая ссылка (http://crl.fsfk.local/crl/ucfk_2020.crl), видимо какая-то локальная или что-то, что я пока не вкурил. Может из-за этого проблемы?!
Тогда можете проблемный сертификат сюда закинуть, попробуем точно разобраться, где и в чём ошибка?
Прикрепил всю цепочку
На 5.0.12000 ошибок не видно.
/opt/cprocsp/bin/amd64/certmgr -list -verbose -chain -file lk_zakupki_user.cer
Certmgr 1.1 (c) "Crypto-Pro", 2007-2021.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer : E=uc_fk@roskazna.ru, S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET="Большой Златоустинский переулок, д. 6, строение 1", L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство
Subject : INN=007710568760, OGRN=1047797019830, STREET=Большой Златоустинский переулок дом 6 стр.1, E=isfk@roskazna.ru, C=RU, S=г. Москва, L=г. Москва, O=ФЕДЕРАЛЬНОЕ КАЗНАЧЕЙСТВО, OU=Управление развития контрактной системы, CN=ФЕДЕРАЛЬНОЕ КАЗНАЧЕЙСТВО
Serial : 0x60AFE53D09CF810CB4E42712CA2632B829582657
SHA1 Thumbprint : 78d5e6e6fd1190ba9d5ef0192a9681021c7123c8
SubjKeyID : 9a70ce9126ba79795d559cce9bdd42fc1d110f49
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Public key : 04 40 c6 56 ae 43 5a 68 93 b9 08 86 b1 04 93 b5
6c df 9f bc a9 85 9f e3 5d 8f 6b 72 48 65 86 a6
f4 ab c8 1f e1 be 16 6c 18 da 41 c4 19 b9 6d 9e
19 10 4c b2 5d f8 91 d8 58 00 a7 48 41 bf 30 18
14 9f
Not valid before : 30/09/2020 06:03:33 UTC
Not valid after : 30/12/2021 06:03:33 UTC
PrivateKey Link : No
Subject Alt Names
DNS Name : *.zakupki.gov.ru
DNS Name : zakupki.gov.ru
CDP : http://crl.roskazna.ru/crl/ucfk_2020.crl
CDP : http://crl.fsfk.local/crl/ucfk_2020.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1
1.3.6.1.5.5.7.3.2 Client authentication
Certificate chain : Verified successfully.
#0:
Issuer : Минкомсвязь России
Subject : Минкомсвязь России
Not valid before : 06/07/2018 12:18:06 UTC
Not valid after : 01/07/2036 12:18:06 UTC
SHA1 Thumbprint : 4bc6dc14d97010c41a26e058ad851f81c842415a
#1:
Subject : Федеральное казначейство
Not valid before : 05/02/2020 14:02:47 UTC
Not valid after : 05/02/2035 14:02:47 UTC
SHA1 Thumbprint : 34d46afd0cb2a6530926ba5f5e6a058365f09969
#2:
Subject : ФЕДЕРАЛЬНОЕ КАЗНАЧЕЙСТВО
Not valid before : 30/09/2020 06:03:33 UTC
Not valid after : 30/12/2021 06:03:33 UTC
SHA1 Thumbprint : 78d5e6e6fd1190ba9d5ef0192a9681021c7123c8
=============================================================================
[ErrorCode: 0x00000000]
К сожалению не могу воспроизвести это в точности на версии 5.0.11455, так как certmgr этой версии не поддерживает параметр "-chain". Нахальное использование этой утилиты из версии 5.0.12000 приводит к ошибке - "внутренняя ошибка в цепочке".
Возможно, где-то ошибка в моей конфигурации или это какой-то недуг версии 5.0.11455. Видимо придется пробовать инсталить версию 12000 и покупать новую лицензию
Зачем в исходниках ковыряться? Попытайтесь покормить Крипту актуальными crl. Или попробуйте отключить https://cloud.google.com/docs/chrome-enterprise/policies/?policy=RequireOnlineRevocationChecksForLocalAnchors
а как это сделать , флаг какой-то есть или параметр командной строки?
Здравствуйте.
Криптопро: v.5.11455 ОС: calculate-linux 21 (KDE) Chromium-GOST: v.93.*
Все работает пока, что, кроме одной вещи: Никак не могу зайти по https на закрытую часть lk.zakupki.gov.ru
сайт gost.cryptopro.ru показывает на странице в поле cipher: GOST2012* Сертификаты минкомсвязи и казначейства были установлены в "Доверенные корневые центры сертификации".
При первом редиректе на https://lk.zakupki.* вываливается ошибка ERR_CERT_NO_REVOCATION_MECHANISM, если ее игнорировать все будет работать, но без ssl