× Единая информационная система в сфере закупок
zakupki.gov.ru

Браузеры на ЕИС после перехода с Ланитовского компонента на плагин КриптоПро

16 июль 2018 10:02 - 16 июль 2018 10:02 #7982 от VoroninIvan
У кого на каком браузере в какой ОС получилось "завести" закрытую ЕИС?

FireFox 62 и Opera 54 на Win 7 SP1 - не получилось.
Следующий на пробу - КриптоFox.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

16 июль 2018 10:43 - 16 июль 2018 10:45 #7984 от Blaze

VoroninIvan пишет: FireFox 62 и Opera 54 на Win 7 SP1 - не получилось.

Что подразумевается под "не получилось" (не смогли зайти в личный кабинет ЕИС из-за ошибки: отсутствуют общие алгоритм(ы) шифрования или не смогли подписать документ...)?

Расширение КриптоПро ЭЦП Browser plug-in для конкретного вида браузера (Mozilla или Chromium) установили, согласно cpdn.cryptopro.ru/content/cades/plugin-i...llation-windows.html (необходимо для реализации возможности ЭЦП)?

Сам проверял у клиентов - в ЕИС работает вход и ЭЦП. Связка такая:
браузер Спутник с поддержкой отечественной криптографии + КриптоПро ЭЦП Browser plug-in последней версии

Chromium + ГОСТ github.com/deemru/chromium-gost/releases в личный кабинет ЕИС пускает, но ЭЦП не работает - нажимаешь подписать и ничего не происходит.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

16 июль 2018 11:06 - 16 июль 2018 11:13 #7985 от VoroninIvan
Зайти не получилось.

Установлено.

В Опере:
"Неподдерживаемый протокол
Клиент и сервер поддерживают разные версии протокола SSL или набора шифров."

В осле работает.

В Лисе позже перепроверю.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

16 июль 2018 15:26 - 16 июль 2018 15:41 #7992 от Wmffre

VoroninIvan пишет: Зайти не получилось.
Установлено.
В Опере:
"Неподдерживаемый протокол
Клиент и сервер поддерживают разные версии протокола SSL или набора шифров."
В осле работает.
В Лисе позже перепроверю.

Для входа в личный кабинет на сайте zakupki.gov.ru необходимо, чтобы браузер поддерживал отечественную ГОСТ-криптографию Internet Explorer, так как встроен в Windows, поддерживает её по умолчанию после установки КриптоПро CSP. Зарубежные браузеры (Opera, Google Chrome, Mozilla Firefox) без доработки не поддерживают отечественную криптографию, поэтому через них войти Вам не получится. Пробуйте Спутник, Яндекс.браузер, КриптоПро Fox (скорее всего, для этого браузера необходимо обязательно устанавливать сертификат в контейнер закрытого ключа флешке/etoken-е/rutoken-е), Chromium ГОСТ (попробуйте не самую последнюю версию, а возможно, что тоже надо устанавливать сертификат в контейнер закрытого ключа).

В Chromium ГОСТ, Спутник, Яндекс.браузер КриптоПро ЭЦП браузер плагин настраивается как для Google Chrome. В КриптоПро Fox КриптоПро ЭЦП браузер плагин настраивается как для Mozilla Firefox. Замечания по настройке КриптоПро ЭЦП браузер плагина написал здесь .

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

17 июль 2018 09:10 - 17 июль 2018 09:22 #8010 от two_oceans

скорее всего, для этого браузера необходимо обязательно устанавливать сертификат в контейнер закрытого ключа флешке/etoken-е/rutoken-е

У меня похоже все установленные в хранилище сертификаты на момент установки КриптоПро Fox, он подхватил автоматически через КриптоПро CSP. А вот что устанавливается позже не подхватил, там действительно пляски с бубнами на тему импорта сертификата. Таким образом, легкий рецепт: просто подключаем все контейнеры, устанавливаем все нужные сертификаты в Личное и переустанавливаем КриптоПро Фокс.

К слову, если КриптоПро Fox начинает выдавать, что нет общих шифров на сайта с ГОСТ (а это он стабильно выдает после переустановки/обновления КриптоПро CSP) - его нужно переустановить. В документации также указано - после переустановки CSР переустановить Фокс и плагин. КриптоПро Fox (31, 45) прекрасно работает на ЕИС с CSP 4.0.9842 и 9944 (не удивлюсь, если в нем и 3.6.1 работает), версию плагина проверял 2.0.2101 и 2.0.13192.

Для FireFox (выше 52, кажется) есть отдельная версия плагина в формате xpi (так как предыдущий формат плагина не поддерживается в новых версиях). Требование поддержки ГОСТ браузером теоретически можно погасить (расшифровать соединение и незашифрованное подать браузеру, не поддерживающему ГОСТ) через КриптоПро stunnel, но придется настраивать отдельный порт для каждого сертификата пользователя. Практически пока не дошли руки попробовать.

Как я уже писал - у меня не получилось настроить IE 10. IE 11 без проблем работает при условии версии КриптоПро 4.0.9944, а вот 9842 крашит некую службу и компьютер уходит на перезагрузку.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 июль 2018 05:16 - 19 июль 2018 05:18 #8029 от Alex_04
Описанное two_oceans по силам выполнить далеко не всем рядовым пользователям. К тому же КриптоПро Fox давно не сопровождается его разработчиками, и не факт, что он сможет корректно работать с будущими обновлениями ПО ГИС-ов/ГАС-ов, особенно после перехода на ГОСТ-2012. Почему-бы не опробовать в работе на них Спутник браузер с поддержкой отечественной криптографии ? Много положительных отзывов уже о нем, и обновляться будет в случае необходимости исправления выявленных ошибок. Пользую его для серфинге по сайтам - вполне так неплохой браузер, шустрее чем IE даже на слабоватом уже компе. Народ пишет, что с подписанием в нём нет проблем. Поэтому лучше в нём и работать, имхо, без лишних танцев с бубном над плагинами и расширениями и "походящими для них" версиями браузеров.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 июль 2018 06:49 - 19 июль 2018 08:14 #8031 от two_oceans

Alex_04 пишет: Почему-бы не опробовать в работе на них Спутник браузер с поддержкой отечественной криптографии ? Много положительных отзывов уже о нем, и обновляться будет в случае необходимости исправления выявленных ошибок. Пользую его для серфинге по сайтам - вполне так неплохой браузер, шустрее чем IE даже на слабоватом уже компе. Народ пишет, что с подписанием в нём нет проблем. Поэтому лучше в нём и работать, имхо, без лишних танцев с бубном над плагинами и расширениями и "походящими для них" версиями браузеров.

Честно скажу - не пробовал, однако вроде бы выше напоминали, что он по модели Хрома построен.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

Описанное two_oceans по силам выполнить далеко не всем рядовым пользователям.

Криптотуннель ГОСТ сложен, если Вы его строите на версии stunnel, которая с openssl или с Магпро криптопакет. Однако, если настраивать только расшифрование (клиент) и на версии stunnel от криптопро, то минимальная настройка ограничивается только правкой что и куда пересылать, какой сертификат брать (3 строки в файле конфигурации) и копированием конфигурации в правильную папку. Сертификат в формате DER уже выдается ФК, алгоритм гост указывать не нужно, он определяется по сертификату, связанный ключ автоматически подхватывается из хранилища "Личные" без всяких экспортов. Уcтановка - один раз запустить под администратором с ключом install. Серьезно, заявление на сертификат сделать или континент переустановить с зачисткой сложнее будет.
Другой вопрос, что при неаккуратной настройке (listen=0.0.0.0:порт либо просто listen=порт) ЕИС без запроса сертификата теоретически (мало ли, вдруг брандмауэр ограничит на практике) будет доступен на всех сетях, к которым подключен компьютер, причем с правами пользователя, чей сертификат указали в stunnel. Тоже не сложная задача исправить - указываем 127.0.0.1 вместо 0.0.0.0 перед номером порта и ЕИС доступен только локально. Но конечно надо полминутки подумать какой порт присвоить и какой адрес потом в браузере набирать.

К тому же КриптоПро Fox давно не сопровождается его разработчиками, и не факт, что он сможет корректно работать с будущими обновлениями ПО ГИС-ов/ГАС-ов, особенно после перехода на ГОСТ-2012.

Частично предубеждение, частично правда. Так как с 52 версии FireFox перестал поддерживать старый формат плагинов и просто нет смысла строить браузер с российским шифрованием на его основе, пока плагины используемые на отечественных сайтах не перешли на поддержку нового формата xpi. По моему впечатлению КриптоПро Fox берет кучу функций прямо из КриптоПро CSP (если переформулировать более корректно - использует в качестве соединения браузера и CSP модуль, поставляемый с CSP, а не с браузером), предполагаю обновление CSP просто добавит недостающие функции в модуль и браузер. Итого, обновлений КриптоПро Fox конечно не было давно, но может они и не нужны. Вместо этого КриптоПро увлеклись сборками ХромиумГост. Однако он тоже по модели Хрома, поэтому я его не пробовал.

Да и вообще пытаться предугадать капризы ГИС вообще и ЕИС в частности - малоэффективно. Сейчас и КриптоПро Fox и Спутник и IE 11 работают с ЕИС. Остановимся на этом факте. Переход на гост-2012 для браузеров не столь страшен, переход на TLS 1.2 (1.3 и выше) более рискован в плане совместимости.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 июль 2018 06:53 #8039 от Alex_04

two_oceans пишет: "Хромоподобные" браузеры пробовать вообще нет желания...
когда каждая ИС требует свой браузер и в один не свести из-за противоречия требований, потребление оперативки становится запредельным...

Вот почему я выше и написал - чтоб не юзать для каждой ИС "персональный" браузер:

Alex_04 пишет: Пользую его для серфинге по сайтам - неплохой браузер, шустрее чем IE даже на слабоватом уже компе.

АРМ: пень Celeron 2.4GHz/3Gb(ОЗУ), КриптоПро-4.0.9842, cadesplugin-2.0.13292. Из "Спутника" в ЕИС, ГМУ, СУФД, ЕСИА, ВРС, ФЗС, ГАСУ, ЕПГУ - тормоза минимальные, отвечаю (IE-11 гораздо задумчевее всё открывает).Так что "хромовый" не всегда = хромой, даже если родитель - РТК (при всей неоднозначности отношения к нему). :)
Только для работы в ЭБ настроил другой браузер - FF-38.5.1esr, т.к."Спутник" берет proxy из системы (из IE).
Подписание из всех этих ИС в "Спутнике" лично сам не проверял (работник ТОФК), потому и сослался на отзывы из инета, что подписывает. Если у Вас есть желание - опробуйте его в деле и поделитесь результатом. Возможно он как раз придется "ко двору" именно таким организациям, которым необходимо работать почти во всех выше перечисленных ГИС/ГАС и избавит от многобраузерности работы в них? Инфа, думаю, была-бы интересна многим. Попробуйте?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 июль 2018 08:12 - 20 июль 2018 08:16 #8040 от Alexer81
для эб можно скриптом настроить, чтобы через прокси только на ЭБ заходил.
function FindProxyForURL(url, host)
{
if (shExpMatch(url, "*.budget.gov.ru*")) {return "PROXY 127.0.0.1:8080";}
else return "DIRECT";
}
см. во вложении
Вложения:
Спасибо сказали: Alex_04, two_oceans, Wmffre, Blaze, dreamerjeka, Codename

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 июль 2018 10:48 - 20 июль 2018 10:52 #8047 от two_oceans
За скрипт с настройкой прокси низкий поклон. Тысячу раз натыкался на возможность автоконфига прокси, но про формат ничего не знал. Оооочень поможет, так как сильно надоело прокси в IE включать-отключать для разных ИС. В остальном у меня версия IE 11 достаточно шустрая (2 вкладки на старте). Хотя стабильность оставляет желать лучшего - плагин ЕСИА обычно первый раз крашится, на второй срабатывает.

Из "Спутника" в ЕИС, ГМУ, СУФД, ЕСИА, ВРС, ФЗС, ГАСУ, ЕПГУ - тормоза минимальные, отвечаю

Возможно он как раз придется "ко двору" именно таким организациям, которым необходимо работать почти во всех выше перечисленных ГИС/ГАС и избавит от многобраузерности работы в них? Инфа, думаю, была-бы интересна многим. Попробуйте?

Хорошо, попробую, раз так рекомендуете. С той оговоркой, что на моем рабочем месте ВРС не работает, так как нет сертификата сотрудника ТОФК, тест ближе к Вам наверно. По остальным: ГМУ и СУФД надо идти на другое рабочее место проверять, когда будет что там подписывать (есть наше подразделение, которое почти каждый день что-то возвращает и третий день подряд ко мне приходят с разными ошибками, если конечно Спутник установится на компьютер с XP из времен когда 80 Гб жесткого диска хватало). ЕСИА и ЕПГУ, ЕГИССО, ГИС ЖКХ формально насколько знаю ничего не подписывают ЭП в веб-интерфейсе, только входят по сертификату. Есть конечно подсистема центра обслуживания ЕСИА (АРМ ЕСИА), где каждый чих подтверждается подписью, но пока не подавали заявку на доступ к ней. В ситуационном центре МКС (где заявку подавать) тоже можно подписание проверить, но это чуть позже: в конце месяца там же по плану регистрация нашей ИС (от ИС пока только сертификат и название). ЕИС, ФЗС, ГАСУ - могу проверить подписание. Еще наверно в эксперименты со ССТУ включу и с региональными интерфейсами ГИС ГМП и СМЭВ проверю. С последним скорее всего будет облом - Smart-Route использует локальное хранилище данных браузера (sqlite база данных для каждого сайта, загружает туда список межведомственных запросов на случай обрыва связи), а это хранилище нормально работает только в старых версиях *Фоксов, в новых похоже выкинули за ненадобностью. Подумаю где бы еще протестировать. Систем где мы по идее должны работать, но еще даже не брались тоже немало.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

23 июль 2018 05:50 - 23 июль 2018 05:52 #8056 от Alex_04

Alexer81 пишет: для эб можно скриптом настроить, чтобы через прокси только на ЭБ заходил.

Как часто бывает - всё гениальное просто. :) Подтверждаю: "Спутник" зашел в л/к ЭБ, а вот IE11 - "Не удается отобразить эту страницу"(?). Ослик он и есть ослик, ну и софт с ним... Автору еще раз большое человеческое спасибо за ценный совет!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

23 июль 2018 08:54 - 23 июль 2018 08:56 #8059 от Alexer81
для IE надо сделать так:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
"EnableLegacyAutoProxyFeatures"=dword:00000001
переименовать файл скрипта в "proxy.js" и путь указать по другому типа:

file://d:/proxy.js

Вложения:
Спасибо сказали: Alex_04, two_oceans, Alex67, Blaze

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

23 июль 2018 12:06 - 23 июль 2018 12:08 #8061 от Alex_04

Alexer81 пишет: для IE надо сделать так:
...
переименовать файл скрипта в "proxy.js" и путь указать по другому типа:

file://d:/proxy.js

После таких манипуляций с именем скрипта и его путём "спутник" сможет зайти в л/к ЭБ?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

23 июль 2018 12:15 #8062 от Alexer81
chrome открывает, спутник не знаю

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

23 июль 2018 13:15 #8063 от Alex_04

Alexer81 пишет: chrome открывает, спутник не знаю

Урья, заработала прокся и в IE-11 и в "Спутнике". :woohoo: СПАСИБО большое, Alexer81, за чудесный скрипт и дельные советы по его применению! :)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.