Ошибка авторизации в ЕСИА [solved]

Добрый день!
Сегодня утром мы и еще многие пользователи столкнулись с проблемой авторизации в ЕСИА ака Госуслуги с помощью СКП федерального казначейства. "Электронная подпись недействительна. Попробуйте еще раз. Если ошибка сохранилась, пожалуйста, обратитесь в организацию, где было получено ваше средство электронной подписи. "
Заходим на www.gosuslugi.ru/pgu/eds загружаем файл .cer и наблюдаем картину маслом:


Ок, берем корректные сертификаты отсюда e-trust.gosuslugi.ru/MainCA и заменяем ручками. Ноль эффекта.
Местные казначеи сами в растерянности, в область не дозвониться.
Как думаете, уважаемые знатоки, это факап федерального масштаба, регионального или есть костыли и подорожник?

SibUrsus пишет: Добрый день!
Сегодня утром мы и еще многие пользователи столкнулись с проблемой авторизации в ЕСИА ака Госуслуги с помощью СКП федерального казначейства. "Электронная подпись недействительна. Попробуйте еще раз. Если ошибка сохранилась, пожалуйста, обратитесь в организацию, где было получено ваше средство электронной подписи. "
Заходим на www.gosuslugi.ru/pgu/eds загружаем файл .cer и наблюдаем картину маслом:

Ок, берем корректные сертификаты отсюда e-trust.gosuslugi.ru/MainCA и заменяем ручками. Ноль эффекта.
Местные казначеи сами в растерянности, в область не дозвониться.
Как думаете, уважаемые знатоки, это факап федерального масштаба, регионального или есть костыли и подорожник?

Проблема с корневым УЦ ФК. Т.е. все сертификаты выданные УЦ с использованием старого корневого сертификата(который нежданно аннулировали 22.07.2017) по факту являются не действительными. Этот вопрос, насколько я знаю,в данный момент решается.
Чуть ранее на замену ему вышла цепочка сертификатов. Головной мин.ком.связь + промежуточный ФК. Боюсь простой переустановкой корневых сертификатов не обойтись.
P.S. Привет из соседнего региона.

MotoArhangel пишет: который нежданно аннулировали 22.07.2017

Как говорит современная молодежь. "проорал"
Да, проё продолб серьезный, от одной мысли о лишнем соитии с АРМ ГК начинает бить мелкая дрожь.

P.S. Привет соседям-сибирякам!

MotoArhangel пишет: Проблема с корневым УЦ ФК. Т.е. все сертификаты выданные УЦ с использованием старого корневого сертификата (который нежданно аннулировали 22.07.2017) по факту являются не действительными.

О каком именно корневом серте УЦ ФК речь? На картинке, приведенной SibUrsus, не вижу ссылок на корневой серт старого УЦ ФК с датами действия с 28.06.2013 по 28.06.2018, под которым и создавались все казначейские серты пользователей, в т.ч. и для госуслуг. Вероятно для ЕСИА и ГУ дополнительно используются еще и другие корневые УЦ ФК. Тогда кому и главное ЗАЧЕМ взбрело в голову досрочно прихлопывать? (проблемы с ЭП возникли и в ЭБ судя по форуму).

Alex_04 пишет:

MotoArhangel пишет: Проблема с корневым УЦ ФК. Т.е. все сертификаты выданные УЦ с использованием старого корневого сертификата (который нежданно аннулировали 22.07.2017) по факту являются не действительными.

О каком именно корневом серте УЦ ФК речь? На картинке, приведенной SibUrsus, не вижу ссылок на корневой серт старого УЦ ФК с датами действия с 28.06.2013 по 28.06.2018, под которым и создавались все казначейские серты пользователей, в т.ч. и для госуслуг. Вероятно для ЕСИА и ГУ дополнительно используются еще и другие корневые УЦ ФК. Тогда кому и главное ЗАЧЕМ взбрело в голову досрочно прихлопывать? (проблемы с ЭП возникли и в ЭБ судя по форуму).

Этот сертификат и аннулирован 22.07.2017.
Новые корневые сертификаты: www.roskazna.ru/gis/udostoveryayushhij-c...ornevye-sertifikaty/

А кому и зачем, это уже вопрос к Москве.

Немного теории по возникающей ошибке как в ЕСИА так и ЭБ.
УЭП -Усовершенствованная электронная подпись. Обеспечивает юридическую значимость документооборота путем добавления к электронной подписи информации, необходимой для локальной проверки электронной подписи и валидности сертификата на момент подписи

Перед отправкой документа выполняется проверка подписей на доведение до УЭП, а также проверка на полноту набора подписей. Если подписи документа не удовлетворяют требованиям, то документ не будет отправлен (статус передачи при этом не изменяется). Пользователю выводится сообщение о том, что «Подпись не доведена до УЭП»

Основная структура реализации:
Передается XML-документ, подписанный ЭП, возвращается XML-документ с УЭП или сообщение об ошибке. Для организации данной идеи используется так называемый ПКВС(Криптографический веб-сервис доведения ЭП до УЭП )

Вот на этом то этапе и возникает проблема, т.к. старый сертификат проверить нет возможности по причине наличию у ФК головного УЦ в виде Минкомсвязи. Еще раз изменена цепочка сертификатов(Цепочка доверия ). Из вышеизложенного не сложно догадаться как решился вопрос с подписью в ЭБ.

Немного технических подробностей: сертификат УЦ ФК 2013 года (с идентификатором ключа = 9e 71 0e 0f da b4 01 28 5f 3f e2 cb 8f 65 15 97 02 47 8c ab) мне известен в 3 вариантах (e-trust.gosuslugi.ru/CA/View?ogrn=1047797019830) - самоподписанный (с 28.06.2013 по 28.06.2018); кросс-сертификат, выпущенный УЦ 1 ИС ГУЦ (с 04.07.2013 по 04.07.2014); кросс-сертификат, ввыпущенный УЦ 2 ИС ГУЦ (с 01.07.2014 по 22.07.2017). Самоподписанный проверку на госуслугах проходит, а вот кроссы нет. Выпущенный УЦ 1 давно закончился и заменен на выпущенный УЦ 2. По поводу последнего еще интереснее - список отзыва, соответствующий сертификату УЦ2 (Идентификатор ключа: C66BC102A292AA140A0A4A14FD191D0D57D0449C), пуст, но сертификат УЦ2 тоже закончился 22.07.2017, при этом в списке отзыва ГУЦ его нет. Проверил по архиву скачанному полгода назад, там тоже кросс УЦ ФК, выпущенный УЦ2 заканчивается 22.07.2017, так что ничего не подкорректировано.

Если локально установить самоподписанный вариант, то локальная цепочка доверия восстановится. Проблема в том, что ГАС/ГИС/ЕИС проверяют цепочку от ГУЦ в рамках единого пространства доверия, а нет от самоподписанного сертификата УЦ ФК. У меня установлен самоподписанный вариант, но ГАС "Управление" отклоняет сертификат. Однако ЕСИА принимает.

В целом, ситуацию можно оценить так: когда сертификат УЦ ФК перевыпускался на УЦ2, срок действия ограничили по сроку действия сертификата УЦ2, но об этом факте все как-то забыли. Сейчас получается ничего не аннулировали, просто штатно закончился срок действия УЦ2 и с ним кросс УЦ ФК. Соответственно, сертификат УЦФК 2013 года выпал из единого пространства доверия. Вопрос "кому и зачем" отпадает.

Обычно, в таком случае для УЦ выпускается либо еще один сертификат с тем же CN на тот же ключ либо в новый сертификат УЦ включают информацию об отпечатке прежнего сертификата - это позволяет всем клиентским сертификатам "влиться" в новую цепочку доверия и остаться действительными с новым сертификатом УЦ. В данном случае, сертификат от 04.07.2017 выпущен с другим CN (буквы "УЦ" убрали), другим ключом (идентификатор 16 55 91 a6 51 58 c4 89 2c 6b 51 5b d2 85 19 0a 01 44 48 22) и без информации об отпечатке прежнего сертификата.
Поэтому он не подхватит ранее выданные клиентские сертификаты в цепочку доверия и не сделает их действительными. Есть еще один сертификат УЦ ФК от июля 2016 года, но с ним такая же проблема: CN совпадает, но ключ другой и нет информации о предыдущем сертификате.
Итого имеем 4 варианта: или сделают перевыпуск на старый ключ или переделают новый с информацией о прежнем сертификате или уберут во всех ГИС кросс и вставят корневой (но это противоречит структуре единого пространства доверия - так мера временная) или придется менять все клиентские сертификаты.
P.S. Достаточно странно и то, что новый сертификат выпущен с гост-2001 и сроком на 10 лет, хотя гост-2001 должен прекратить действие с 2019 года.

Специалист ТОФК сказал, что ЭП, выпущенные после 17.07.2017 (назовем это черный понедельник) не подписывают в ЕИС!!! Кто-то пробовал?

Две организации с новыми сертификатами не могут подписать документы в ЕИС.

Вторая часть марлезонского балета.
На своем портале областные казначеи опубликовали инструкцию для смены сертификатов. На всякий случай, из хранилищ и корневых и промежуточных удалил почти всё что связано с ФК и установил свежие. Помогло. ЕСИАшный сервис перестал ругаться:

Зашел и на бас гов и на закупки.
Но радость моя была была недолгой.
Континент АП отказался соединятся (у нас заход по СУФДшному серту, с этого года), утверждает что отсутствует носитель. Но это не так! Токен на месте, тест контейнеров в Крипто Про прошел без ошибок, на всякий случай запускаю рутокеновскую тулзу. И тут...

Мдяа...


Захожу в свойства:


Ну как так то?!
Вот хранилище корневых:

(да вот тот меня смущает, пока не трогаю)

Вот промежуточных:


Ситуация сложилось анекдотическая, одно починили. другое сломали. Вот только почему-то не смешно.

SibUrsus пишет: Вторая часть марлезонского балета.
Вот хранилище корневых:

(да вот тот меня смущает, пока не трогаю)

Насчет нижнего серта в скрине действительно вопрос, но не думаю, что он как-то влияет, пока забыть (и забить). А вот на счет корневого серта УЦ ФК, который велено ставить в промежуточные ЦС: я все же решил на всякий случай (а случай бывает всякий...) и его тоже ставить в доверенные ЦС - хуже не будет. Попробуйте - а что, а вдруг?

Alex_04 пишет:

SibUrsus пишет: Вторая часть марлезонского балета.
Вот хранилище корневых:

(да вот тот меня смущает, пока не трогаю)

Насчет нижнего серта в скрине действительно вопрос, но не думаю, что он как-то влияет, пока забыть (и забить). А вот на счет корневого серта УЦ ФК, который велено ставить в промежуточные ЦС: я все же решил на всякий случай (а случай бывает всякий...) и его тоже ставить в доверенные ЦС - хуже не будет. Попробуйте - а что, а вдруг?

Это, похоже, корневой для Континента. Если не ошибаюсь, он ставится автоматически при первом подключении.
А если снова поставить этот "отозванный"?

Helen пишет: А если снова поставить этот "отозванный"?

+1, имхо - даже нужно, не должен он мешать, по трезвой логике если.

Попробуйте - а что, а вдруг?

Не выходит каменный цветок

А если снова поставить этот "отозванный"?

Простите, не понял, а какой из них? Я тут шашкой размахался и посносил всё, до чего дотянулся.

SibUrsus пишет:

А если снова поставить этот "отозванный"?

Простите, не понял, а какой из них? Я тут шашкой размахался и посносил всё, до чего дотянулся.

Корневой серт старого УЦ ФК: crl.roskazna.ru/crl/ - файл root-2013.crt (crl.roskazna.ru/crl/root-2013.crt)

В общем, стреляйте в меня из рогатки, но со всем уважением к вашему нелегкому труду, мы лучше будем и дальше в ГНИВЦ копейку заносить, с ними проблем кратно меньше!
Добавление старого серта помогло, но не в лоб. Директорскую подпись Континент все равно отвергал, местные предложили генерить новый, но там до 3 дней эта история может длится, а нам надо вчера.
Тогда и решил импортнуть ключ бухгалтера. Тут то вышеприведенные ссылки и пригодились. Коннект появился, облегченно выдыхаем, ждем дальнейших приключений.
Спасибо всем кто отозвался! С прошедшим праздником!