Новый Сертификат сервера Континент TLS 25.06.2018.

Решилcя вопрос установкой Континент TLS 1.2.1073

А где вы взяли версию Континент TLS 1.2.1073? Наши безопасники дали нам только версию Континент TLS 1.2.1068, которая кривая и еще хотят чтобы мы ее тиражировали клиентам.

DavydenkoMN пишет: версию Континент TLS 1.2.1068, которая кривая

От наших безопасников тоже слышал, что она такая, но именно поэтому пока не выдают - ждут получение версии попрямее.

С чего вы взяли что она кривая, на старых корневых она нормально работала, это скорей всего один из корневых сертификатов кривой, либо lk либо кросс ФК

Roha пишет: С чего вы взяли что она кривая, на старых корневых она нормально работала, это скорей всего один из корневых сертификатов кривой, либо lk либо кросс ФК

В переписке с поддержкой ЭБ нам было сказано, цитирую:
"Так же обращаем Ваше внимание, Ошибка "сертификат издателя не найден" свидетельствует о том, что на АРМ пользователя установлен TLS клиент версии 1.2.1068-1071. Это проблема указанных сборок клиента.Для устранения ошибки пользователю необходимо переустановить Континент TLS клиент на сборку 1.2.1073 (в которой указанная ошибка устранена), либо на сборку 1.0.920.0.Дистрибутивы необходимо запрашивать в ТОФК или в вышестоящих органах."

АХаха один в один мне ответили по суэ, вчера писал в инфосек цитирую
вопрос
"У нас имеется дистрибутив с документацией на Континент TLSVPN 1.2.1068.0, формуляр RU88338853.501430.01630.
Данную версию мы распространяем пользователям Электронного Бюджета, но с ней возникла проблема из-за обновления корневого сертификата lk.budget.gov.ru s\n 21 79 b7 38 a2 5c f6 bc bb f9 e9 1c 9d 32 51 36 f2 e5 f6 d6 и кросс сертификата ФК ‎s\n 36 ac d4 55 00 00 00 00 01 2f, неудается подгрузить кросс сертификат ФК, выходит ошибка (см. вложение). По совету Ваших разработчиков можно использовать версию Континент TLS VPN 1.2.1073.0 но формуляра на данную сборку у нас нет, контрольные суммы указанные в формуляре от 1.2.1068.0 несовпадают с 1.2.1073.0.
Могу ли я внести изменения в формуляр от 1.2.1068.0 с новыми контрольными сумами от 1.2.1073.0 и распространять его. Либо где нам взять формуляр на 1.2.1073.0?"

ответ
"Уважаемый клиент!
Внесение данных изменений в формуляр сделает его не действительным.
К сожалению на данный момент билд 1.2.608..0 является последней сертифицированной версией имеющей соответствующие формуляры.
Возможен следующий вариант - обновиться на несертифицированную 2.0, имеющую формуляр. Получение сертификата на данную версию планируется до конца года."

Да уж, "радостно" когда то, что работает - не сертифицировано, а то что не работает сертифицировано. На 1.0 откатываться тоже скоро сертификат истекает, 2.0 вообще еще не сертифицирована.
По идее, нужно распространять формуляр 1.2.1068 неизменный и диск с 1.2.1068, но приложить к нему уведомление об изменении от разработчика с новыми контрольными суммами 1.2.1073 и второй диск с 1.2.1073. Что вроде как сначала выдали сертифицированный 1.2.1068, потом уведомление разработчика об обновлении до 1.2.1073. От этого 1.2.1073 конечно не станет сертифицированной версией, но будет хотя бы документ, что не сами изменили файлы. Судя по ответу впечатление, что разработчик не берет на себя ответственность за 1.2.1073. Если уведомления не будет, то придется официально 1.2.1068 выдавать и регистрировать во всех журналах, а 1.2.1073 "подпольно" без регистрации.

two_oceans пишет: Да уж, "радостно" когда то, что работает - не сертифицировано, а то что не работает сертифицировано. На 1.0 откатываться тоже скоро сертификат истекает.

Какой такой сертификат истекает???

Gvinpin пишет: Какой такой сертификат истекает???

Сертификат соответствия ФСБ www.securitycode.ru/products/kontinent-tls-vpn/sertificates/

Странно. Пришёл, установил новый серт, в TLS и в хранилище, 5 минут, всё работает по-старому! Никаких проблем

ViktorGRBS пишет: установил новый серт, в TLS и в хранилище, всё работает по-старому!

Уточните, плиз - в какое хранилище? Никогда не устанавливал серверный серт TLS никуда ни через что - просто указывал его в настройках клиента Континента, и прекрасно 3 года так работало у всех пользователей.

Alex_04 пишет:

ViktorGRBS пишет: установил новый серт, в TLS и в хранилище, всё работает по-старому!

Уточните, плиз - в какое хранилище? Никогда не устанавливал серверный серт TLS никуда ни через что - просто указывал его в настройках клиента Континента, и прекрасно 3 года так работало у всех пользователей.

я импортирую в корневые\ локального компьютера

не помню, откуда возникла такая традиция. Но без КриптоПро TLS не работал, а КриптоПро обращается к этому хранилищу. Моя логика такова, но могу ошибаться.

ViktorGRBS пишет:

Alex_04 пишет:

ViktorGRBS пишет: установил новый серт, в TLS и в хранилище, всё работает по-старому!

Уточните, плиз - в какое хранилище? Никогда не устанавливал серверный серт TLS никуда ни через что - просто указывал его в настройках клиента Континента, и прекрасно 3 года так работало у всех пользователей.

не помню, откуда возникла такая традиция. Но без КриптоПро TLS не работал, а КриптоПро обращается к этому хранилищу. Моя логика такова, но могу ошибаться.

Для Континент TLS никогда КриптоПро не требовалось, просто через КриптоПро удобно работать с сертификатами.

ViktorGRBS пишет: я импортирую в корневые\ локального компьютера

??? В смысле Доверенные корневые центры сертификации\ локальный компьютер вы импортируете именно серверный сертификат Континент TLS? Он там не нужен, но, видимо, и не мешает. А корневые сертификаты разве не были установлены в хранилище "Локальный компьютер"?

ViktorGRBS пишет: я импортирую в корневые\ локального компьютера

Gvinpin абсолютно прав во всём: серверный серт континента ТЛС не требует установки в какие-либо хранилища, особенно в "локальный компьютер" - корневые. Откройте сам серт на вкладке "Путь сертификации" - он по сути пользовательский, но используемый на серве ТЛС. А вот те 2 серта, что выше по лестнице - обязательно д.б. установлены куда им положено: в "локальный компьютер" - доверенные корневые (первый) и промежуточные (второй). Так что традиция была изначально ошибочна.

Gvinpin пишет:

ViktorGRBS пишет:

Alex_04 пишет:

ViktorGRBS пишет: установил новый серт, в TLS и в хранилище, всё работает по-старому!

Уточните, плиз - в какое хранилище? Никогда не устанавливал серверный серт TLS никуда ни через что - просто указывал его в настройках клиента Континента, и прекрасно 3 года так работало у всех пользователей.

не помню, откуда возникла такая традиция. Но без КриптоПро TLS не работал, а КриптоПро обращается к этому хранилищу. Моя логика такова, но могу ошибаться.

Для Континент TLS никогда КриптоПро не требовалось, просто через КриптоПро удобно работать с сертификатами.

ViktorGRBS пишет: я импортирую в корневые\ локального компьютера

??? В смысле Доверенные корневые центры сертификации\ локальный компьютер вы импортируете именно серверный сертификат Континент TLS? Он там не нужен, но, видимо, и не мешает. А корневые сертификаты разве не были установлены в хранилище "Локальный компьютер"?

Вы хорошо пошутили: "Для TLS КриптоПро не требовалось", и я бы с вами согласился, если бы не изучил этот вопрос на практике, весной. Отвечу - нет, не работает!)
Выше написал, куда и что импортирую. У меня такая практика сложилась годами, сейчас лень вспоминать и экспериментировать. Но никаких проблем не испытываю с работой ЭБ