deemru
commented
1 year ago Есть ли какое-то решение проблемы или в какую сторону копать?
Лучший вариант получить проблему на чистой системе и рассказать как её воспроизвести.
Пока что, такие проблемы как правило связаны с установкой сторонних программ и дополнительных защит.
Сеть у нас с ограниченным доступом в интернет, может не хватает каких-то доступов для корректной работы механизмов?
Да, подгрузка CRL возможно зависает.
При переходе на https://gost.cryptopro.ru/ Алгоритм подписи sha256RSA
Это странно, лучше исключить браузер и попробовать утилиту из состава КриптоПро CSP:
csptest -tlsc -v -server fzs.roskazna.rucsptest -tlsc -v -server gost.cryptopro.ru
Проверить, что в обоих вариантах: SECPKG_ATTR_CIPHER_INFO: CipherSuite: ff85, TLS_GOSTR341112_256_WITH_28147_CNT_IMIT
А также обратить внимание на результат и время проверки цепочки сертификатов.
Можно ли включить принудительно протоколы ГОСТ, чтобы не было переключений на Boring SSL для определенных сайтов, т.е сайт отметить поддерживающим алгоритмы ГОСТ вручную? Или настройки КриптоПРО CSP нужно выставить корректные?
С релиза 100.0.4896.88 появился ключ --tlsmode=N:
- Добавлена опция командной строки "tlsmode", которая отвечает за режим работы TLS ГОСТ:
2 - переключение boringssl <> msspi без разрыва соединения (по умолчанию) 1 - принудительная работа только msspi 0 - переключение boringssl <> msspi с разрывом соединения -1 - принудительная работа только boringssl
Badrus4
Добрый день, сталкиваемся с проблемами при работе с https://fzs.roskazna.ru/ через браузер Chromium-Gost. Терминальный Сервер Windows server 2012r2 КриптоПРО CSP 4.0.9944 КриптоПро ЭЦП Browser plug-in 2.0.14816 Chromium-gost 109.0.5414.139 (пробовали 114.0.5735.198 на winserver 2016 тоже самое) Браузер установлен в систему с ключами --system-level --install Суть проблемы - при запуске браузера, все работает корректно, но стоит перейти на сайт https://fzs.roskazna.ru/ и в логе windows появялется ошибка (Произошла неустранимая ошибка при создании учетных данных SSL client. Внутреннее состояние ошибки: 10011.), она кстати возникает и при запуске браузера. В итоге страница не загружается и появляется ошибка: _Не удается получить доступ к сайту Веб-страница по адресу https://fzs.roskazna.ru/, возможно, временно недоступна или постоянно перемещена по новому адресу. ERR_CONNECTION_ABORTED_ Затем секунду-две ERR_FAILED и только потом сайт корректно загружается. Весь этот процесс занимает около 3-х минут. Во время "прогрузки" казны другие обычные сайты (яндекс и тд) тоже не загружаются, но как только казна загружается все снова начинает корректно работать. После прогрузки казны, сертификат с шифрованием ГОСТ Р 34.11-2012/34.10-2012 256 бит Есть подозрение что это связано с msspi или "простукиванием" протоколов.
Пробовали chromium-gost-49.0.2623.112-win32-gold, с ним все быстро загружается, но у пользователей сайт fzs.roskazna.ru не видит ЭЦП с сертификатом. На версиях 109.0.5414.139 и 114.0.5735.198 после трехминутного ожидания прогрузки все корректно работает, но ожидание работу сильно затрудняет. Пробовали КриптоПро 5 и Windows Server 2016, проблема сохраняется. При переходе на https://gost.cryptopro.ru/ Алгоритм подписи sha256RSA Есть ли какое-то решение проблемы или в какую сторону копать? Можно ли включить принудительно протоколы ГОСТ, чтобы не было переключений на Boring SSL для определенных сайтов, т.е сайт отметить поддерживающим алгоритмы ГОСТ вручную? Или настройки КриптоПРО CSP нужно выставить корректные?
Сеть у нас с ограниченным доступом в интернет, может не хватает каких-то доступов для корректной работы механизмов?