- Сообщений: 137
- Спасибо получено: 12
two_oceans пишет: Ага, при входе в ЕИС мелким шрифтом пишет про КриптоПро 4.0. У меня такая же на нескольких компьютерах с КриптоПро 3.6 R3 - 3.6.1, а на моем ноутбуке с КриптоПро 4.0 и Win 7... при заходе на ЕИС через IE вообще появляется ошибка от какой-то службы "Произошла критическая ошибка. Компьютер будет перезагружен через 1 минуту". (Поискал в интернете, процесс svchost в котором служб как грязи, попытка изменить параметры Крбероса тоже ничего не дала. В свете этой ошибки я наверно пока придержу тиражирование 4.0 в организации). Причем на ЕГИССО прекрасно заходит, в антивирусе проверка защищенных соединений и порта 443 отключена.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Спасибо, но этот совет неприменим, так как ЕГИССО как раз требует TLS 1.2. Для одной только 1.0, для другой 1.2. Придем к тому, чтобы сделать по отдельному компу для каждой ГИС и к нему по расписанию пользователей пускать?Blaze пишет: В свойствах Internet Explorer включите только протокол TLS 1.0
Все остальные протоколы отключите (снимите галочку со всех SSL и TLS новых версий)
Тут быстрее узнаешь, когда туда вообще ни прямо ни в профиль не зайти. Очень замечательно, что техподдержка занимается, однако что уже начало что-то в службах крашится от "горячо любимой" ЕИС, настораживает. Потом порадуют рекомендацией на десятку и Эдж перейти?Читайте новости на главной странице. Написано: проблемы со входом, техническая поддержка занимается решением этого вопроса!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
# nmap --script ssl-enum-ciphers -p 443 zakupki.gov.ru
Starting Nmap 7.70 ( https://nmap.org ) at 2018-06-20 17:48 Local time zone must be set--see zic manual page
Nmap scan report for zakupki.gov.ru (31.173.38.227)
Host is up (0.016s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_DH_RSA_WITH_AES_128_CBC_SHA - unknown
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: client
|_ least strength: unknown
Nmap done: 1 IP address (1 host up) scanned in 1.27 seconds
Компания Google анонсировала скорое прекращение поддержки протокола SSLv3 и алгоритма RC4, которые не отвечают современным требованиям безопасности и подвержены нескольким видам атак.
На первом этапе поддержка SSLv3 и RC4 будет отключена на фронтэнд-серверах, после чего отключение распространится на все продукты Google, включая Chrome (SSLv3 в Chrome уже отключён, в очереди на отключение RC4), Android, поисковые боты и SMTP-серверы. По статистике SSL Pulse из 200 тысяч крупнейших HTTPS-сайтов 42% уже отключили RC4 и 65% отключили SSLv3.
Кроме того, планируется повысить требования к параметрам установки соединения HTTPS, например, для работы с сайтами Google по защищённому каналу связи на стороне клиента станет обязательной поддержка TLS 1.2, наличие расширения SNI (Server Name Indication) и присутствие набора шифров TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Доверие будет ограничено корневыми сертификтами из списка pki.google.com/roots.pem, при обработке сертификатов обязательной будет поддержка DNS SAN (Subject Alternative Names). Для тестирования соответствия клиентского ПО новым требованиям Google подготовлена страница cert-test.sandbox.google.com/
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Если используется ГОСТ-шифрование в ЕГИССО, то для него в качестве обходного пути можете попробовать настроить КриптоПро Fox 45 (для него требуется флешка/етокен с контейнером закрытого ключа, и чтобы обязательно при этом сертификат пользователя был установлен в контейнер закрытого ключа).two_oceans пишет: Спасибо, но этот совет неприменим, так как ЕГИССО как раз требует TLS 1.2. Для одной только 1.0, для другой 1.2. Придем к тому, чтобы сделать по отдельному компу для каждой ГИС и к нему по расписанию пользователей пускать?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
nmap --script ssl-enum-ciphers -p 443 zakupki.gov.ru
Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-02 22:09 Local time zone must be set--see zic manual page
Nmap scan report for zakupki.gov.ru (31.173.38.227)
Host is up (0.016s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| SSLv3:
| ciphers:
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: indeterminate
| cipher preference error: Too few ciphers supported
| TLSv1.0:
| ciphers:
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: indeterminate
| cipher preference error: Too few ciphers supported
| TLSv1.1:
| ciphers:
| TLS_GOSTR341001_WITH_28147_CNT_IMIT-draft - unknown
| compressors:
| NULL
| cipher preference: indeterminate
| cipher preference error: Too few ciphers supported
|_ least strength: unknown
Nmap done: 1 IP address (1 host up) scanned in 0.63 seconds
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Да они вообще с цепи сорвались, походу с ГОСТ использовать будет возможно только сборки от других производителей, но не от них. Но это отдельная тема, не буду тут обсуждать.в то время как Google Chrome и Mozilla Firefox поддерживают протокол TLS 1.3
Ага, ага я проверял на 31 версии КриптоПроФокс, там с ГАС "Управление" работаю - на егиссо говорит "Нет общих алгоритмов", на ЕИС заходило, но не подписывало из-за отсутствия версии Ланитовского компонента для Фоксов.Если используется ГОСТ-шифрование в ЕГИССО
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
two_oceans пишет:
Спасибо, но этот совет неприменим, так как ЕГИССО как раз требует TLS 1.2. Для одной только 1.0, для другой 1.2. Придем к тому, чтобы сделать по отдельному компу для каждой ГИС и к нему по расписанию пользователей пускать?Blaze пишет: В свойствах Internet Explorer включите только протокол TLS 1.0
Все остальные протоколы отключите (снимите галочку со всех SSL и TLS новых версий)Тут быстрее узнаешь, когда туда вообще ни прямо ни в профиль не зайти. Очень замечательно, что техподдержка занимается, однако что уже начало что-то в службах крашится от "горячо любимой" ЕИС, настораживает. Потом порадуют рекомендацией на десятку и Эдж перейти?Читайте новости на главной странице. Написано: проблемы со входом, техническая поддержка занимается решением этого вопроса!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Рад Вашим успехам, особенно удивило про IE 8. Как бы сказать, если нужно исправить конкретную ошибку и не обращать внимания больше ни на что, то инструкции конечно нужно выполнять. Однако очень часто инструкции ГИС противоречат друг другу и тогда приходится выбирать чему же следовать. А то и вовсе сочинять свой вариант. Так, после обновления 9944 у меня работает и без снятия галочек и усиления контроля (зато были мелкие проблемы с пин-кодами - по умолчанию их не запоминало после обновления). Конкретная инструкция ЕИС убивает пунктом про сброс настроек (который расположен не в начале настройки, а почти в самом конце) и ссылкой на отдельную инструкцию по плагину (не могли все в одной свести?). Ага, настроили и сбрасываем, авось заработает. Рекомендация обновиться до 9944 тоже мягко говоря странная - дали ссылку на СКЗИ, но про учет СКЗИ умолчали, лицензия от ФК подходит и ладно. 90% пользователей сидевших на 3.6 и сделавших по инструкции самостоятельно сейчас с пробной лицензией (даже если лицензии на них уже получены в ФК) и побегут "к программистам" или в теротдел ФК в октябре.Alex_04 пишет: Имхо: именно "Усиленный контроль использования ключей" в КриптоПро-4.0.9842 и снятие галок "Использовать TLS 1.1 и 1.2" в IE всё же позволили обойтись без обновления крипты и победить ошибку, приводящую к перезагрузке компа.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
В том посте речь шла про ГИИС ЭБ - войти-то удалось, а подписание не было проверено...two_oceans пишет: особенно удивило про IE 8
Про невнятность использования и необходимости(-ли?) сброса настроек согласен, +1!Конкретная инструкция ЕИС убивает пунктом про сброс настроек (который расположен не в начале настройки, а почти в самом конце) и ссылкой на отдельную инструкцию по плагину (не могли все в одной свести?). Ага, настроили и сбрасываем, авось заработает.
- стр.35 последний абзац:Использование СКЗИ КриптоПро CSP 4.0.9842 без включения режима усиленного контроля использования ключей разрешается только в тестовых целях.
В текущей редакции Инструкции (от 05.07.2018 на сегодня) вырезали всё, что касалось установки, настройки и особенностей КриптоПро, сославшись, что:Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается.
Процесс установки КриптоПро CSP, а также необходимые настройки для работы (ввод серийного номера лицензии, требования к эксплуатации, настройка считывателей, установка сертификатов) приводятся в сопроводительной документации для данного ПО на официальном сайте производителя.
+1! В первом варианте Инструкции этому был посвящен целый пункт "1.2.10 Требования к эксплуатации ПО CryptoPro CSP" (стр.33-35) хотя-бы, а теперь и в ней ни слова на эту тему...two_oceans пишет: Рекомендация обновиться до 9944 тоже мягко говоря странная - дали ссылку на СКЗИ, но про учет СКЗИ умолчали, лицензия от ФК подходит и ладно.
Возможно Вы правы, и поэтому м.б. из Инструкции и убрали это требование? Я не проверил вход в ЕИС до установки этой настройки в крипте при уже отключенных TLS 1.1 и 1.2 в IE.Усиленный контроль ключей по идее нам ничего не дает и не мешает... Вот глюки в реализации TLS 1.1 или TLS 1.2 не стану исключать...
м.б. тогда стОит переустановить крипту без этих компонентов?В моем случае я подозреваю причина перезагрузки была еще и в компонентах 4.0.9842 - были выбраны дополнительно Криптопровайдер уровня ядра ОС и Revocation provider и потому что-то в службах крашилось.
т.е. работают БЕЗ криптоплагина ЭЦП? подписание удаётся через яву значит до сих пор?у них антивирус блокировал соединение и плагина не было, но там тоже 9842 и работает ЕИС в IE.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Раньше насколько помню были проблемы с IE 8. На ЕИС заходило, но что-то не отображалось, что-то блокировалось, что-то уезжало за пределы экрана... Кажется кнопка подписать как раз уезжала и ее было невозможно нажать. Поэтому пришлось всех переводить на Семерку.Alex_04 пишет: В том посте речь шла про ГИИС ЭБ - войти-то удалось, а подписание не было проверено...
Вот оно что, значит я не застал первую версию. Ну конечно разжевывание совсем всего это тоже нехорошо. У меня уже почти начинает глаз дергаться когда вижу в руководстве очередной ГИС шаги установки КриптоПро и установки корневых сертификатов на 80% от объема инструкции. Не спорю, они нужны, но их наверно можно было централизовано выложить на каком-то федеральном ресурсе МКС, а в руководствах давать ссылки на них и изложить моменты из-за которых именно эта ГИС не едет (где брать корневой сертификат и про лицензирование криптопро). Ведь в общей инструкции по установке КриптоПро никто не будет разжевывать порядок получения лицензии в ФК. Получается сложно найти золотую середину, которая бы устроила и "новичков"и "бывалых".Alex_04 пишет: Про "всё в одной": в самом первом варианте Инструкции по настройке рабочего места от 02.07.2018 (yadi.sk/d/DI7fM1XL3ZYMTH) так и было - там была разжёвана установка и настройка практически всего необходимого ПО и СКЗИ.
В формуляре и руководстве администратора самого КриптоПро тоже это есть, во всех сертифицированных версиях 4.0, с уточнением как контроль вообще отключить для тестовых целей. А еще скачивая с сайта мы тоже можем использовать КриптоПро только в тестовых целях, но про это тоже в новой версии руководства умолчали.Alex_04 пишет: И про "Усиленный контроль использования ключей" в КриптоПро-4.0.9842 было именно в первой редакции
Возможно, но мне удобнее на своем рабочем месте сразу поставить компоненты, так как после установки компонента КриптоПро обязательно просит перезагрузку, а перегружаться бывает совершенно не время.Alex_04 пишет: м.б. тогда стОит переустановить крипту без этих компонентов?
Наверно я неточно выразился, работает в смысле, что заходит в ЕИС при Крипте 9842 без ухода на перезагрузку. Наглядное подтверждение сказанного Вами, но настройки я не сверял по инструкции. Проверил версию КриптоПро 9842, браузера 11.0.35, лицензия постоянная, установлена с ноября прошлого года.Alex_04 пишет: т.е. работают БЕЗ криптоплагина ЭЦП? подписание удаётся через яву значит до сих пор?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Подробнее...