Континент TLS 1.2

Добрый день.
Подскажите, пожалуйста, есть ли у кого-либо опыт перехода с Континент TLS 1.0.902 на Континент TLS 1.2?

Проблема следующая: для работы в "Электронном бюджете" наше казначейство выдало клиентам (нам, в том числе) дистрибутив Континент TLS 1.2, а корректно настроить его не получается никак - вход в "Электронный бюджет" выполняется, интерфейс виден, а содержимого вкладок нет, и постоянно вылезает уведомление браузера о несоответствии сертификата сервера. Стоить только откатить TLS на версию 1.0.902 - всё прекрасно работает.
Пробовал на полностью чистой системе, установленной с нуля - ровно то же самое. В казначействе усиленно пытаются доказать, что мы что-то не так настроили, ссылаясь на то, что ни у кого, кроме нас, проблем не наблюдалось, посылают читать инструкцию по установке и настройке... Штука в том, что инструкция 2015 года и написана для TLS 1.0.902. У Континент TLS 1.2 совершенно другой интерфейс мастера установки и настройки, соответственно, половина настроек не описана (в частности, установка сертификата сервера). Что же касается других клиентов, у которых "проблем не наблюдалось", то я с ними созвонился - у них та же беда. Все откатились на версию Континент TLS 1.0.902 и не заморачиваются.
Собственно, вопрос - что делать? Может, кто-нибудь в курсе? Заранее спасибо.

DK451TFX пишет: есть ли у кого-либо опыт перехода с Континент TLS 1.0.902 на Континент TLS 1.2?

В моём казначействе пока не было дано разрешение на установку Континент TLS Клиент 1.2.1068.0 на компьютеры сотрудников казначейства из-за точно такой же проблемы с этой версией, которая наблюдается у Вас:

DK451TFX пишет: вход в "Электронный бюджет" выполняется, интерфейс виден, а содержимого вкладок нет.

Одним из наших сотрудников было только установлено, что если поменять в строке браузера https:// на http://, то вкладка всё-таки откроется. Эту проблему он зарегистрировал в нашей системе регистрации проблем и отправил её в Центральный аппарат (Москву). Если мне не изменяет память, то ему сообщили, что её будут исправлять в ближайшем будущем. Где-то два-три месяца уже прошло с того момента.

DK451TFX пишет: , и постоянно вылезает уведомление браузера о несоответствии сертификата сервера.

Если такое сообщение возникает в Internet Explorer, то, скорее всего, установлен старый сертификат "ContinentTLS proxy CA" в Доверенных корневых центрах сертификации в оснастке "Сертификаты", который остался от предыдущей старой версии Континент TLS Клиент. Необходимо его удалить, затем в настройках Континент TLS Клиента изменить имя сайта lk.budget.gov.ru на любое другое, сохранить настройки, попробовать войти, а затем вернуть имя сайта на прежнее lk.budget.gov.ru, сохранить настройки, а затем снова войти - новый сертификат ContinentTLS proxy CA должен будет установиться. (Точно не помню, надо ли при этом тажке останавливать - включать службу КонтинентTLSClient).

Если браузер Mozilla Firefox, то для входа необходимо установить в параметрах соединения firefox только SSL-прокси 127.0.0.1 порт 8080 (для остального прокси можно не устанавливать). После этого при входе в личный кабинет появляется возможность выбрать "Подтвердить исключение". Для того же, чтобы сообщение "Подтвердить исключение" больше не появлялось, то необходимо выполнить инструкцию по ссылке .

DK451TFX пишет: В казначействе усиленно пытаются доказать, что мы что-то не так настроили, ссылаясь на то, что ни у кого, кроме нас, проблем не наблюдалось, посылают читать инструкцию по установке и настройке...

Казначейство - оно большое, там работают много сотрудников, почти все из которых совсем никогда не настраивали программы для работы Электронного бюджета, поэтому они, не зная, как обстоят дела на самом деле (что инструкции для этой версии Континент ТЛС Клиента не существует), и повторяют заученные фразы, что Вы "что-то не так настроили" и "читайте инструкцию".

DK451TFX пишет: Собственно, вопрос - что делать? Может, кто-нибудь в курсе? Заранее спасибо.

Можете попытаться поиграть с бюрократией в её же бумажную игру: Изложить проблему в письменном виде таким образом, чтобы не получить отписку типа "обращайтесь к техподдержке Электронного бюджета" - то есть, задав вопросы, на которые может ответить казначейство (написал первое, что пришло на ум, но это не значит, что они верные):

1. До какого числа следует установить выданную версию Континент TLS 1.2?
2. Почему необходимо установить Континент TLS 1.2, когда всё прекрасно работает на версии 1.0.902.0 ?
3. Выданную версию не удаётся настроить. Инструкция по установке этой версии в выданном дистрибутиве отсутствует. Прошу прислать подробную инструкцию со скриншотами последовательности действий по правильной установке Континент TLS 1.2.
4. Существует ли в казначействе интернет-компьютер для клиентов, на котором всё настроено для работы в ЭБ, и куда клиенты могут прийти и, установив свой сертификат, проверить свою ЭЦП на предмет входа в ЭБ и подписания в ЭБе ?

Можете придумать любые свои вопросы, только помните: казначейство не занимается поддержкой сайта и сервера lk.budget.gov.ru, оно максимум выдаёт программы и ЭЦП для работы в ЭБ, а поэтому сможет ответить только на вопросы по настройке этих выданных программ, а никак не работе сайта.
Преимущество данного метода - что на Ваше письмо должны будут ответить письменно в течение месяца, и Ваше обращение, скорее всего, найдёт того, кто хоть что-то сможет ответить более внятное.

Можете также устно попытаться узнать ответы на Ваши вопросы (заранее необходимо продумать, какие), только надо сначала поспрашивать в казначействе, кто сможет ответить на них. Надо также иметь терпение, и приготовиться, что возможно Вас собеседники будут гонять по кругу.

Можете зарегистрировать проблему в техподдержке электронного бюджета. Вообще это первое, что можно и нужно сделать.

А вообще "Что делать?" - это риторический вопрос. Скорее всего, достаточно будет просто ожидать.

Вообще Ваша проблема не наблюдается у сотрудника, который работает в lk.budget.gov.ru/dcs (туда клиенты и почти все сотрудники не заходят и там не работают), а поэтому на основании этого предполагаю, что проблема разрешиться тогда, когда сайт доработают до этой версии КонтинентТЛС Клиент.

P.S.: Если хоть что-то выясните, пожалуйста, напишите об этом в этой теме. Сотрудникам казначейства и их клиентам будет также интересно узнать.

Добрый вечер. Спасибо за оперативный ответ.

Для понимания Вами ситуации отвечу по пунктам.

Если браузер Mozilla Firefox, то для входа необходимо установить в параметрах соединения firefox только SSL-прокси 127.0.0.1 порт 8080

Именно Firefox 52.8.0 ESR. Вход в "бюджет" проходит нормально, после чего браузер сообщает о неверном сертификате (независимо от добавленных исключений). Насчёт совета по ссылке - не знал, спасибо, завтра буду пробовать. )

До какого числа следует установить выданную версию Континент TLS 1.2?

Согласно письму из нашего УФК по Мурманской области, сертификат соответствия у Континент TLS 1.0 заканчивается 30.07.2018г., в связи с чем нам пришли письма о замене СКЗИ. Удивляет другое - при получении нового дистрибутива Континент TLS 1.2 и Jinn клиенты должны до 31 МАЯ предоставить в УФК акты об уничтожении предыдущих версий СКЗИ (Континент TLS 1.0 и Jinn старый - версию не скажу на память). То есть, мы должны физически уничтожить и CD\DVD, полученные ранее, и провести деинсталляцию этих СКЗИ на рабочих станциях. При этом, компонента CubeSign в новом дистрибутиве НЕТ - не знаю, может, теперь он и не нужен.

Почему необходимо установить Континент TLS 1.2, когда всё прекрасно работает на версии 1.0.902.0 ?

См. выше - Согласно письму из нашего УФК по Мурманской области, сертификат соответствия у Континент TLS 1.0 заканчивается 30.07.2018г.

Выданную версию не удаётся настроить. Инструкция по установке этой версии в выданном дистрибутиве отсутствует. Прошу прислать подробную инструкцию со скриншотами последовательности действий по правильной установке Континент TLS 1.2.

Обращался. Ответ - "Читайте инструкцию на сайте roskazna.ru". Все аргументы насчёт того, что версия 1.0 и 1.2 разительно различаются, разбиваются о монолитное "У всех всё работает, мы выдали уже 300 комплектов, никто, кроме вас, не обращался". Кстати, та же ситуация с Континент АП 3.7.5.474, который ПРИ ШТАТНОЙ УСТАНОВКЕ несовместим с КриптоПро 4.0.9284, выданной нашим УФК двумя месяцами ранее. Хотя совет хороший - напишу ещё раз, от 3 организаций с указанием исходящего номера и датой.

Существует ли в казначействе интернет-компьютер для клиентов, на котором всё настроено для работы в ЭБ, и куда клиенты могут прийти и, установив свой сертификат, проверить свою ЭЦП на предмет входа в ЭБ и подписания в ЭБе ?

Про УФК по Мурманской области не скажу, но в нашем ТОФК такого точно нет, так как попытки всё это настроить производились мной совместно со специалистами ТОФК, причём как на их оборудовании (в самом ТОФК), так и на моём (сначала виртуальная среда, затем свежая ОС на отдельном ПК).

Может возникнуть вопрос - а зачем я занялся этим сейчас, а не жду обновления инструкции, сертификата lk.budget.gov.ru , то есть не тяну до 30.07. ?
Отвечу - отпуск. Я один обслуживаю 4 организации, заместителя нет. Когда придёт пора, я не хочу безвылазно сидеть из отпуска на удалёнке и на телефоне, ибо это дорого.

Да в любом случае, зачем было нарушать старую админскую заповедь - "Работает - не трогай, а ещё лучше - забэкапь."? Зачем требовать от клиентов уничтожения дистрибутивов и деинсталляции ПО, когда до истечения сертификата соответствия 2 месяца? Вот этот вопрос у кого бы выяснить? И чем такие вещи регламентируются? Разъясните, пожалуйста.
Заранее спасибо.

DK451TFX пишет: Зачем требовать от клиентов уничтожения дистрибутивов и деинсталляции ПО, когда до истечения сертификата соответствия 2 месяца?

Если отбросить варианты, что кто-то хочет подстелить себе бумажку, то возможная причина может быть следующей:
Когда казначейство области получает новый дистрибутив СКЗИ, то начальство сверху ждёт наискорейшего распространения этого дистрибутива среди клиентов казначейства, тем более когда есть конкретный предельный срок. В УФК региона его не тестируют, а сразу как есть начинают раздавать клиентам. Во-первых, тестирование как процедура не предусмотрена, а во-вторых, когда получен приказ раздавать клиентам, то приказы принято исполнять. Изучение новой программы может осуществляться в частном порядке сотрудником при наличии у него желания и интереса, который имеет доступ к новому дистрибутиву и имеет право устанавливать программы; при этом на компьютеры сотрудников отделов УФК (то есть по сути тех, кто в ней и работает всё время) он не имеет право её устанавливать, пока не будет решения руководства. Поэтому при наличии каких-либо проблем в новой программе, первыми о них узнают клиенты казначейства.
Вывод из вышеизложенного: письмо об уничтожении дистрибутивов и деинсталляции СКЗИ до 31 мая 2018 года могло было быть направлено клиентам тогда, когда в УФК региона не знали о существовании проблемы с дистрибутивом Континент ТЛС Клиент 1.2.

В моём УФК клиентам такого письма не направляли.

По разговорам в моём УФК, другой более новой версии Континент ТЛС Клиент, свыше 1.2.1068.0 (которую выдают сейчас), выдавать клиентам больше не будут; разработчики сайта lk.budget.gov.ru должны доработать (или уже дорабатывают) сайт под Континент ТЛС Клиент 1.2.1068.0 до того, как закончится сертификат соответствия у Континент TLS 1.0.

«Континент TLS VPN Сервер» версия 1.0 сертификат действителен до 30.07.2018
«Континент TLS VPN Клиент» версия 1.2 сертификат действителен до 31.12.2018
Есть еще в природе несертифицированный «Континент TLS» 2.0 www.securitycode.ru/company/events/zashc...novye-vozmozhnosti//

Что Jinn-Client, что и Континент TLS не поддерживают Linux, и ни как не вписываются в концепцию импортозамещения ПО - одним словом полнейшая утопия.

Blaze пишет: Что Jinn-Client, что и Континент TLS не поддерживают Linux, и ни как не вписываются в концепцию импортозамещения ПО - одним словом полнейшая утопия.

или сохранение рабочих мест создателю сих ПО (лоббирование?)
Перефразируя можно так сказать: "Если ненужные проги продолжают плодиться, значит это кому-то всё-таки нужно?"

Blaze пишет: Есть еще в природе несертифицированный «Континент TLS» 2.0 www.securitycode.ru/company/events/zashc...novye-vozmozhnosti//

Что Jinn-Client, что и Континент TLS не поддерживают Linux, и ни как не вписываются в концепцию импортозамещения ПО - одним словом полнейшая утопия.

В вебинаре по ссылке докладчик рассказал, что они планируют выпустить Континент TLS под Linux. Кстати, очень познавательный вебинар.