Перестало пускать в эл. бюджет + остальные гос.сайты по эцп

Доброго времени суток. Не знаю в какую ветку писать, напишу в эту.
Не думал, что после всех "приключений" с электронным бюджетом всё-таки попаду в безысходного положение.
Есть предприятие, где я когда-то настроил доступ к электронному бюджету, бюджетному планированию, гос. закупкам и т.д.
Всё прекрасно работало, периодически менялись сертификаты, переходили на ГОСТ2012, всё вполне успешно.
Последний раз всё работало примерно (такая у меня информация) на прошлой неделе. В итоге сегодня бьют в набат - не работает ни один из перечисленных сайтов.
Эл. бюджет в своём классическом стиле пишет "невозможно отобразить страницу". Бюджетное планирование и остальное из под IE11 пишет "Включите TLS 1.0, TLS 1.1 и TLS 1.2...". Естественно, никакие манипуляции не помогают. Chrome/chromium-gost/firefox
- "empty responce" (для lk2012.budget.gov.ru) или жалуются на несоответствие версий SSL а-ля "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" (для остальных сайтов).
Система Windows 7 x86 sp1, криптопро 4.0.9963, tls-клиент 2.0, jinn-client, все дела.
Все сертификаты (корневые, промежуточные, серверные) - вроде актуальные. Казначейские и 2018, и 2020 года. Цепочки в личных сертификатах - в порядке. Непрозрачное проксирование включал/выключал. Настройки прокси в бразерах, соответственно, тоже перепроверял.
Всю голову сломал. После неудачи с рабочими машинами - поставил для теста всё с нуля на свежую виртуалку (тоже Вин7) из "архива программ" по инструкции. Всё аналогично.
Очень извиняюсь за возможно глупую недоработку с моей стороны (смущает только то, что ещё недавно всё работало нормально). Что-то менялось в последние дни, что могло повлиять на работу?
Ключи, вроде, рабочие. Криптопро видит, в условный mos.ru по ним пускает.

Включите TLS 1.0, TLS 1.1 и TLS 1.2...

Все цепочки сертификатов построены без ошибок? Если пооткрывать их на просмотр, (в окошке где сведения о сертификате) ОС не ругается ли на какую-либо ошибку?

Да, всё цепочки беспроблемные (и корневые, и промежуточные сертификаты в них).
И для личных сертификатов, и для серверного сертификата элбюджета.
Меня смущает, что перестали появляться окна выбора сертификата вообще.

spiritwalker пишет: Меня смущает, что перестали появляться окна выбора сертификата вообще.

1. Ежели в настройках тлс клиента явно указан личный сертификат выбора серта не будет
2. Возможно окно выбора серта позади окна браузера и его не видно, по таймауту возникает именно такая ошибка, попробуйте свернуть окно браузера.
3. Попробуйте указать личный сертификат явно в настройках тлс клиента

spiritwalker пишет: ...перестали появляться окна выбора сертификата вообще.

Просмотрите хранилище сертификатов на предмет наличия сертификатов с ошибками (например: указан неправильный алгоритм). Если такие есть - удалите.

spiritwalker пишет: Chrome/chromium-gost/firefox
- "empty responce" (для lk2012.budget.gov.ru) или жалуются на несоответствие версий SSL а-ля "ERR_SSL_VERSION_OR_CIPHER_MISMATCH" (для остальных сайтов).

Попробуйте вход из chromium-gost по ссылке https -- для л/к ЭБ (ФК) тогда не будет лишней прокладки в виде ТЛСа, без него должны зайти нормально. Вот тока по lk2012 или просто lk -- ??? как повезет. Наши сегодня в ЭБ по https://lk2012...из chromium-gost работали успешно (тьфу 3 раза!).

Специально поставил весь сопутствующий софт на машину с Windows 10 x64... и работает. Через chromium-gost и https во всяком случае.
Остальные проблемные сайты нормально открываются через ie11.
Но вот такой момент - ровно с теми же настройками на виртуальной машине с Windows 7 x86 - не работает ни бюджет (через тот же хромиум-гост), ни то же минфиновское бюджетное планирование через ie11. Настройки идентичны, ну кроме самой версии ОС, её разрядности и virtualbox. Может есть какая-то тонкость при работе с ЭЦП через виртуалку? А то проблематично сейчас доезжать до рабочих машин (на которых стоят именно такие семерки и переставить их возможности нет) и узнать, что дело не в virtualbox. Кроме того, работало же всё неделю назад.
Ну и вдогонку вопрос касаемо гост и https: а есть ли какой-нибудь подвох при работе с эл.бюджетом? При подписи документов - по прежнему ли нужен jinn-client? Ну и будет ли он работать через https?

Всем огромное спасибо!

spiritwalker, попробуйте обновить корневые сертификаты Windows, скачиваемые операционной системой с сайта Microsoft, вручную. Для этого скачайте KB2728973 , откройте архиватором rvkroots.exe и разархивируйте оттуда только updroots.exe .

Далее скачайте файлы по следующим ссылкам и поместите их рядом в одну папку с updroots.exe:

www.download.windowsupdate.com/msdownloa...edr/en/authroots.sst
www.download.windowsupdate.com/msdownloa...tedr/en/updroots.sst
www.download.windowsupdate.com/msdownloa...rustedr/en/roots.sst
www.download.windowsupdate.com/msdownloa...tedr/en/delroots.sst
www.download.windowsupdate.com/msdownloa...n/disallowedcert.sst

Далее скачайте и разархивируйте в папку с updroots.exe также следующие файлы:
ctldl.windowsupdate.com/msdownload/updat...r/en/authrootstl.cab
ctldl.windowsupdate.com/msdownload/updat...isallowedcertstl.cab

Далее в командной строке, запущенной от имени администратора, перейдите в папку, где находится updroots.exe и выполните следующие команды:После перезагрузите компьютер и проверяйте.

Проделал все действия - по-прежнему не пускает с той же ошибкой.

spiritwalker пишет: Проделал все действия - по-прежнему не пускает с той же ошибкой.

Установите все необходимые обновления для Internet Explorer 11 и Windows 7 в следующей последовательности:

1. KB4474419
2. Перезагрузить компьютер
3. KB4490628
4. Перезагрузить компьютер
5. KB4539601
6. Перезагрузить компьютер
7. KB4562030
8. Перезагрузить компьютер
9. Выполнить настройки зоны "Надежные сайты" как для lk.zakupki.gov.ru, куда добавлены необходимые адреса сайтов, так как настройки слетят
10. Проверить вход

P.S. Все эти перезагрузки необходимы в соответствии с рекомендациями Microsoft для установки обновления KB4539601 к Internet Explorer 11.

spiritwalker пишет: ...virtualbox.

Конфликты КриптоПРO и виртуал бокс существуют, сам недавно исправлял реестр, но у меня на работоспособности виртуалбокса сказывалось, на хостовой машине (х64). Может под х86 тоже какие-то тонкости есть, попробуйте погуглить... На сайте криптоПРО где-то должны быть правки реестра.
И обновления, да, правильно советуют. Желательно всю W7 SP1 через интернет обновить.

В общем обновление (и указанное в теме, и полное до упора) семерки не помогло.
В силу срочности проблемы - в итоге пришлось давать свой компьютер с win10x64 для сдачи отчётности.
Виртуалка роли не сыграла: пробовал на том же виртуалбоксе ставить Win 10 32-битную - всё работает как часы. Конфликт виртуалбокса с криптопро - да, известная тема, но обходимая.

Короче, я теряюсь в догадках. Кроме мысли о том, что на всех "интересующих" сайтах резко поменялись версии механизмов шифрования, которые семёрка перестала поддерживать. Но это бы какой ор бы уже везде стоял... У Вас же на семерках работает?

Так или иначе, большое спасибо!

spiritwalker пишет: Но это бы какой ор бы уже везде стоял... У Вас же на семерках работает?
Так или иначе, большое спасибо!

Конечно, работает. Корневые сертификаты Windows только пришлось недавно установить вручную.

spiritwalker, из версий - осталось только удалить полностью антивирус (он может мешать ГОСТ-шифрованию), а также установить на Windows 7 Криптопро CSP 4.0.9944, предварительно удалив с помощью cspclean.exe установленную версию Криптопро CSP.

Здравствуйте. Я новичок. на сайт ssl.budgetplan.minfin.ru/bp/# смогла зайти подписать согласие на обработку данных, после этого повторно не могу зайти на сайт электронного бюджета и посмотреть свое соглашение.
Выдает Использование данного типа носителей запрещено настройками криптопровайдера или невозможно для данной операции.

sabina пишет: ...Использование данного типа носителей запрещено настройками криптопровайдера или невозможно для данной операции.

Добрый день! Попробуйте в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters] удалить значение EnabledCarrierTypes