× Единая информационная система в сфере закупок
zakupki.gov.ru

Проблема с ЕИС

02 июль 2018 07:59 #7768 от ViktorGRBS

two_oceans пишет: Ага, при входе в ЕИС мелким шрифтом пишет про КриптоПро 4.0. У меня такая же на нескольких компьютерах с КриптоПро 3.6 R3 - 3.6.1, а на моем ноутбуке с КриптоПро 4.0 и Win 7... при заходе на ЕИС через IE вообще появляется ошибка от какой-то службы "Произошла критическая ошибка. Компьютер будет перезагружен через 1 минуту". (Поискал в интернете, процесс svchost в котором служб как грязи, попытка изменить параметры Крбероса тоже ничего не дала. В свете этой ошибки я наверно пока придержу тиражирование 4.0 в организации). Причем на ЕГИССО прекрасно заходит, в антивирусе проверка защищенных соединений и порта 443 отключена.


Читайте новости на главной странице. Написано: проблемы со входом, техническая поддержка занимается решением этого вопроса!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

02 июль 2018 08:19 #7769 от two_oceans

Blaze пишет: В свойствах Internet Explorer включите только протокол TLS 1.0
Все остальные протоколы отключите (снимите галочку со всех SSL и TLS новых версий)

Спасибо, но этот совет неприменим, так как ЕГИССО как раз требует TLS 1.2. Для одной только 1.0, для другой 1.2. Придем к тому, чтобы сделать по отдельному компу для каждой ГИС и к нему по расписанию пользователей пускать?

Читайте новости на главной странице. Написано: проблемы со входом, техническая поддержка занимается решением этого вопроса!

Тут быстрее узнаешь, когда туда вообще ни прямо ни в профиль не зайти. Очень замечательно, что техподдержка занимается, однако что уже начало что-то в службах крашится от "горячо любимой" ЕИС, настораживает. Потом порадуют рекомендацией на десятку и Эдж перейти?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

02 июль 2018 10:16 #7770 от felix
Support прислал решение:
Уважаемый пользователь!
На главной странице сайта ЕИС размещена новость:
Начиная с версии ЕИС 8.2., выходящей 1.07.2018 пользователям ЕИС, за исключением пользователей, работающим по 223-ФЗ, настоятельно рекомендуется использовать средство криптографической защиты информации (далее - СКЗИ) «КриптоПро CSP» 4.0 (сборка 4.0.9944), дистрибутив которого размещен по ссылке.
Обращаем внимание, что в случае использования «КриптоПро CSP» версии 4.0 (сборка 4.0.9842) в отдельных случаях возможно некорректное поведение СКЗИ, приводящее к перезагрузке персонального компьютера пользователя (далее - ПК). В целях предотвращения непредвиденной перезагрузки ПК пользователям необходимо выполнить настройки веб-обозревателя в соответствии с инструкцией (раздел 1.2.5).
Также, обращаем внимание пользователей, что обновление сборки 4.0.9842 «КриптоПро CSP» версии 4.0 на сборку 4.0.9944 не требует приобретения дополнительных лицензий на программное обеспечение.
Рекомендуем Вам проверить настройки рабочего места в соответствии с документом Инструкция по настройке рабочего места (с 01.07.2018), переустановить сертификаты : Сертификат Головного удостоверяющего центра, Сертификат Удостоверяющего центра Федерального казначейства, Корневой сертификат Уполномоченного удостоверяющего центра федерального казначейства (2013 г.).
Инструкция по установке сертификатов (подробнее в Руководстве пользователя):
1. Открыть нужный сертификат и нажать кнопку «установить сертификат»
2. На появившемся окне мастера импорта сертификатов нажать кнопку «Далее»
3. В следующем окне необходимо выбрать по умолчанию.
4. Выбрать "Далее" и завершить установку сертификата, нажав кнопку «Готово».
Данные файлы доступны по ссылке :
zakupki.gov.ru/epz/main/public/document/...FZALL&_categories=on
В случае актуальности проблемы от Вас необходима запись последовательности входа в ЛК с отображением ошибки, настройки рабочего места, скриншот сборки «КриптоПро CSP» программы :
1. Зайти на главную страницу ЕИС;
2. Пуск - Выполнить - прописать PSR и нажать enter;
3. Появится ПО "Средство записи действий", в параметрах необходимо указать максимальное количество скриншотов "99";
4. Зайти в ЛК;
5. Нажать F12;
6. Сеть - Начать сбор сетевого трафика;
7. Воспроизвести проблему;
8. Сеть - Остановить сбор, затем "Экспорт собранного трафика" (сохранить файл);
9. В открытой программе "Средство записи действий" остановить запись действий, сохранить файл;
10. Полученные файлы направить на Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Так же приложите ранее высланную информацию.
С уважением, служба технической поддержки Официального сайта ЕИС.
Спасибо сказали: two_oceans, Wmffre, sam28daphne

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

02 июль 2018 12:35 #7771 от Blaze
Корневые zakupki.gov.ru и клиентские сертификаты используют старый протокол TLSv1.0 и GOST R 34.10-2001
# nmap --script ssl-enum-ciphers -p 443 zakupki.gov.ru  
    Starting Nmap 7.70 ( https://nmap.org ) at 2018-06-20 17:48 Local time zone must be set--see zic manual page  
    Nmap scan report for zakupki.gov.ru (31.173.38.227)  
    Host is up (0.016s latency).  
      
    PORT    STATE SERVICE  
    443/tcp open  https  
    | ssl-enum-ciphers:   
    |   TLSv1.0:   
    |     ciphers:   
    |       TLS_DH_RSA_WITH_AES_128_CBC_SHA - unknown  
    |       TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown  
    |     compressors:   
    |       NULL  
    |     cipher preference: client  
    |_  least strength: unknown  
      
    Nmap done: 1 IP address (1 host up) scanned in 1.27 seconds
в то время как Google Chrome и Mozilla Firefox поддерживают протокол TLS 1.3

Компания Google анонсировала скорое прекращение поддержки протокола SSLv3 и алгоритма RC4, которые не отвечают современным требованиям безопасности и подвержены нескольким видам атак.
На первом этапе поддержка SSLv3 и RC4 будет отключена на фронтэнд-серверах, после чего отключение распространится на все продукты Google, включая Chrome (SSLv3 в Chrome уже отключён, в очереди на отключение RC4), Android, поисковые боты и SMTP-серверы. По статистике SSL Pulse из 200 тысяч крупнейших HTTPS-сайтов 42% уже отключили RC4 и 65% отключили SSLv3.

Кроме того, планируется повысить требования к параметрам установки соединения HTTPS, например, для работы с сайтами Google по защищённому каналу связи на стороне клиента станет обязательной поддержка TLS 1.2, наличие расширения SNI (Server Name Indication) и присутствие набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Доверие будет ограничено корневыми сертификтами из списка pki.google.com/roots.pem, при обработке сертификатов обязательной будет поддержка DNS SAN (Subject Alternative Names). Для тестирования соответствия клиентского ПО новым требованиям Google подготовлена страница cert-test.sandbox.google.com/

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

02 июль 2018 12:59 - 02 июль 2018 13:11 #7772 от Wmffre

two_oceans пишет: Спасибо, но этот совет неприменим, так как ЕГИССО как раз требует TLS 1.2. Для одной только 1.0, для другой 1.2. Придем к тому, чтобы сделать по отдельному компу для каждой ГИС и к нему по расписанию пользователей пускать?

Если используется ГОСТ-шифрование в ЕГИССО, то для него в качестве обходного пути можете попробовать настроить КриптоПро Fox 45 (для него требуется флешка/етокен с контейнером закрытого ключа, и чтобы обязательно при этом сертификат пользователя был установлен в контейнер закрытого ключа).

Обратите внимание: по умолчанию браузеры КриптоПро Fox и Mozilla firefox будут использовать один и тот же профиль настроек; чтобы настроить их на использование разных профилей, то необходимо для каждого из них создать свой профиль и затем прописать в ярлыке параметры запуска: -no-remote -p <название профиля>.

Также могут подойти любые другие браузеры, в которых была доработана поддержка ГОСТ-шифрования. Можете также попробовать настроить таким же образом КриптоПро Fox для входа в личный кабинет ЕИС - только возможно, что и для этого браузера потребуется отключать TLS 1.1 и TLS 1.2.
Спасибо сказали: two_oceans

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

02 июль 2018 14:49 - 02 июль 2018 19:19 #7774 от Blaze
У клиента протестировал подпись документов в ЕИС через браузер Спутник. Подпись работает.

В предыдущем сообщении я проверял nmap 2018-06-20, там была поддержка только TLSv1.0, а сейчас:
nmap --script ssl-enum-ciphers -p 443 zakupki.gov.ru
Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-02 22:09 Local time zone must be set--see zic manual page
Nmap scan report for zakupki.gov.ru (31.173.38.227)
Host is up (0.016s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers: 
|   SSLv3: 
|     ciphers: 
|       TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
|     compressors: 
|       NULL
|     cipher preference: indeterminate
|     cipher preference error: Too few ciphers supported
|   TLSv1.0: 
|     ciphers: 
|       TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
|     compressors: 
|       NULL
|     cipher preference: indeterminate
|     cipher preference error: Too few ciphers supported
|   TLSv1.1: 
|     ciphers: 
|       TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
|     compressors: 
|       NULL
|     cipher preference: indeterminate
|     cipher preference error: Too few ciphers supported
|_  least strength: unknown

Nmap done: 1 IP address (1 host up) scanned in 0.63 seconds
Что-то они в версии ЕИС 8.2 поменяли. Интересно что будет в сертификате с ГОСТ Р 34.10-2012

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

03 июль 2018 05:08 - 03 июль 2018 06:25 #7778 от two_oceans

в то время как Google Chrome и Mozilla Firefox поддерживают протокол TLS 1.3

Да они вообще с цепи сорвались, походу с ГОСТ использовать будет возможно только сборки от других производителей, но не от них. Но это отдельная тема, не буду тут обсуждать.

Если используется ГОСТ-шифрование в ЕГИССО

Ага, ага я проверял на 31 версии КриптоПроФокс, там с ГАС "Управление" работаю - на егиссо говорит "Нет общих алгоритмов", на ЕИС заходило, но не подписывало из-за отсутствия версии Ланитовского компонента для Фоксов.

Да, 31-ая так и настроена с отдельным профилем, отдельным ярлыком и установлена в отдельную папку. И честно говоря ее работа меня устраивает в плане ГАС "Управления" и админки сайта организации. Админка древняя, 31 криптофокс каким-то чудом работает, в практически всех остальных браузерах (новее ИЕ 8 ), нет полосы прокрутки. 45 неизвестно сработает ли. А значит мне еще и 45 ставить в отдельную папку, отдельный профиль и т.д. Плагины на 45 вроде бы нужны другой версии, так что еще новый ряд плагинов. И самое главное будет жрать еще дофига памяти когда случится работать одновременно с несколькими ГИС. Проблему с памятью фаерфокс решили в районе 56-58 версии при переходе на другой движок, для которого сборки не видел еще. А еще если обновляться до 9944, то все криптофоксы надо переустанаввливать.
Другие (спутник и хромиум гост)не проверял, но, собственно, те же минусы - огромная потеря оперативки и переустановка после любого чиха с криптопровайдером.

Сейчас проверил вход в личный кабинет ЕИС, КриптоПро Fox 31-я с криптопро 4.0.9842 заходит в ЕИС (правда сертификат запрашивает чуть не на каждой странице и представление неудобное, еле нашел нужный) и даже запросили доступ к ключам. Неужели свершилось и ланитовский компонент не нужен для подписи?Да, подписал изменение регистрационных данных через КриптоПро ЭЦП Browser plug-in. Ура!! Если еще все функции ЕИС работают в КриптоФоксе, то всех пользователей ЕИС на него пересаживать буду.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

03 июль 2018 08:24 #7783 от ViktorGRBS

two_oceans пишет:

Blaze пишет: В свойствах Internet Explorer включите только протокол TLS 1.0
Все остальные протоколы отключите (снимите галочку со всех SSL и TLS новых версий)

Спасибо, но этот совет неприменим, так как ЕГИССО как раз требует TLS 1.2. Для одной только 1.0, для другой 1.2. Придем к тому, чтобы сделать по отдельному компу для каждой ГИС и к нему по расписанию пользователей пускать?

Читайте новости на главной странице. Написано: проблемы со входом, техническая поддержка занимается решением этого вопроса!

Тут быстрее узнаешь, когда туда вообще ни прямо ни в профиль не зайти. Очень замечательно, что техподдержка занимается, однако что уже начало что-то в службах крашится от "горячо любимой" ЕИС, настораживает. Потом порадуют рекомендацией на десятку и Эдж перейти?


Прошу прощения, слегка погорячился, рекомендуют настраивать АРМ согласно новой "Инструкции.." в которой рекомендуется включить только TLS 1.0, что идёт вразрез с настройками браузера (IE) для других ГИИС. хм

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

11 июль 2018 08:32 - 11 июль 2018 08:43 #7940 от two_oceans
У меня вопрос - только у меня не получилось настроить IE 10 по новой инструкции? Заходит на ЕИС, но плагин ни в какую грузить не хочет и ошибок о плагине тоже не появляется. Естественно ЕИС добавлена в доверенные узлы. В соседней вкладке тестовая страница криптопро и площадка Сбербанка на ура и плагин загружают и подписывают. По всем признакам или ЕИС тупит или ерунда с доверенными узлами. Обход конечно настроил через КриптоПро Fox, но интересно в чем беда.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]
В ходе поиска причин увидел сообщение на форуме Криптопро, что IE 10 и IE 11 выдают разное значение в свойстве navigator, плагин Криптопро обновили, но сайтам, использующим плагин, тоже надо учесть различие для правильной работы. ЕИС это отличие не учитывает или как? Или дистрибутив IE 10 у меня глючный?

С IE 11 уже на 7 компьютерах все работает просто с перепроверкой сертификатов и обновлением КриптоПро и плагина.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.