После обновления p10->p11 сломалась авторизация в chromium-gost на сайте ФНС nalog.ru по сертифиткату на рутокене. При заходе на сайт https://lkipgost2.nalog.ru/lk Выводится сообщение: Этот сайт не может обеспечить безопасное соединение На сайте lkipgost2.nalog.ru используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH В p10 до обновления все работало. По составу установленных пакетов до/после обновления ничего неожиданно-подозрительного не обнаружил.
Также в chromium-gost на сайте diadoc постоянно зависают страницы с кодом ошибки 11, опаньки и предложением их перезагрузить. Обе проблемы "лечачтся" установкой chromium-gost "от производителя" командой epm play --force chromium-gost
(In reply to Alexander from comment #0) > После обновления p10->p11 сломалась авторизация в chromium-gost на сайте ФНС > nalog.ru по сертифиткату на рутокене. > При заходе на сайт https://lkipgost2.nalog.ru/lk > Выводится сообщение: > Этот сайт не может обеспечить безопасное соединение > На сайте lkipgost2.nalog.ru используется неподдерживаемый протокол. > ERR_SSL_VERSION_OR_CIPHER_MISMATCH > > В p10 до обновления все работало. > По составу установленных пакетов до/после обновления ничего > неожиданно-подозрительного не обнаружил. У вас КриптоПРО установлен? Хромиум-гост тесно связан с КриптоПро и без него GOST SSL не будет работать, проверить можно здесь gost.cryptopro.ru должно быть GOST.
(In reply to Alexander from comment #1) > Также в chromium-gost на сайте diadoc постоянно зависают страницы с кодом > ошибки 11, опаньки и предложением их перезагрузить. > > Обе проблемы "лечачтся" установкой chromium-gost "от производителя" командой > epm play --force chromium-gost А это у них UNCONFIRMED, я вчера багу поставил https://bugzilla.altlinux.org/51384 Похоже те кто собирают пакет не тестируют его от слова совсем... Жалко что крипто про свой репозиторий не подняли. <offtopic>Телеграм кстати тоже пришлось от производителя ставить, т.к. поставляемый в репозитории альта глючное УГ.</offtpic>
(In reply to mrsclick from comment #2) > (In reply to Alexander from comment #0) > > После обновления p10->p11 сломалась авторизация в chromium-gost на сайте ФНС > > nalog.ru по сертифиткату на рутокене. > > При заходе на сайт https://lkipgost2.nalog.ru/lk > > Выводится сообщение: > > Этот сайт не может обеспечить безопасное соединение > > На сайте lkipgost2.nalog.ru используется неподдерживаемый протокол. > > ERR_SSL_VERSION_OR_CIPHER_MISMATCH > > > > В p10 до обновления все работало. > > По составу установленных пакетов до/после обновления ничего > > неожиданно-подозрительного не обнаружил. > > У вас КриптоПРО установлен? Хромиум-гост тесно связан с КриптоПро и без него > GOST SSL не будет работать, проверить можно здесь gost.cryptopro.ru должно > быть GOST. Обычно установка КриптоПро решает проблему потому что свежая версия устанавливает все необходимые для работы на Гос сайтах сертификаты, Russian Trusted, МИНЦИФРЫ и т.д. Т.е. возможно проблема была связана с тем что "протухли" серфтикаты, которые шли в версии из репозитория альт, а так как от производителя свежая версия, то она за собой притащила и свежие сертификаты.
Ситуацию исправила установка chromium-gost "с сайта производителя" через epm Криптопро установлен и все работало до перехода на p11
(Ответ для Alexander на комментарий #0) > После обновления p10->p11 сломалась авторизация в chromium-gost на сайте ФНС > В p10 до обновления все работало. Я пока на P10, браузер из репы, а не из epm. И ... не работает. Отметился по этому поводу в https://bugzilla.altlinux.org/51909 Там ситуация описана подробнее. (Ответ для mrsclick на комментарий #4) > Обычно установка КриптоПро решает проблему потому что свежая версия > устанавливает все необходимые для работы на Гос сайтах сертификаты, Russian > Trusted, МИНЦИФРЫ и т.д. Т.е. возможно проблема была связана с тем что > "протухли" серфтикаты, которые шли в версии из репозитория альт, а так как > от производителя свежая версия, то она за собой притащила и свежие > сертификаты. Да, бывает такое (именно так решал проблему с КриптоАРМ). Но не в этом случае. Обновление до свежайшей сертифицированной 5.0.13000 ничего не дает. При этом, именно эта версия КриптоПро установлена в самой налоговой и на ней они отрабатывали мой багрепорт. У них все хорошо при более новой версии chromium-gost 133.0.6943.98. (Ответ для mrsclick на комментарий #2) > проверить можно здесь gost.cryptopro.ru должно > быть GOST. О, проверил. Там нет не только алгоритмов ГОСТ, но и версия TLS устаревшая (от нее в налоговой давно отказались). Нужна TLSv1.3. Во избежание ... На странице https://cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html проверка КриптоПро, его плагина, сертификата ЭП и возможности создания ЭЦП проходят успешно.
(In reply to Анатолий Кирсанов from comment #6) > (Ответ для Alexander на комментарий #0) > > После обновления p10->p11 сломалась авторизация в chromium-gost на сайте ФНС > > В p10 до обновления все работало. > > Я пока на P10, браузер из репы, а не из epm. И ... не работает. > Отметился по этому поводу в https://bugzilla.altlinux.org/51909 Там ситуация > описана подробнее. > > (Ответ для mrsclick на комментарий #4) > > Обычно установка КриптоПро решает проблему потому что свежая версия > > устанавливает все необходимые для работы на Гос сайтах сертификаты, Russian > > Trusted, МИНЦИФРЫ и т.д. Т.е. возможно проблема была связана с тем что > > "протухли" серфтикаты, которые шли в версии из репозитория альт, а так как > > от производителя свежая версия, то она за собой притащила и свежие > > сертификаты. > > Да, бывает такое (именно так решал проблему с КриптоАРМ). Но не в этом > случае. Обновление до свежайшей сертифицированной 5.0.13000 ничего не дает. > При этом, именно эта версия КриптоПро установлена в самой налоговой и на ней > они отрабатывали мой багрепорт. У них все хорошо при более новой версии > chromium-gost 133.0.6943.98. > > (Ответ для mrsclick на комментарий #2) > > проверить можно здесь gost.cryptopro.ru должно > > быть GOST. > > О, проверил. Там нет не только алгоритмов ГОСТ, но и версия TLS устаревшая > (от нее в налоговой давно отказались). Нужна TLSv1.3. > > Во избежание ... На странице > https://cryptopro.ru/sites/default/files/products/cades/demopage/ > cades_bes_sample.html проверка КриптоПро, его плагина, сертификата ЭП и > возможности создания ЭЦП проходят успешно. Без поддержки тунелирования TLS по ГОСТ нет смысла почти все гос-сайты пытаться открывать, стало быть сначало нужно решить эту проблему, чтобы отображались сертификаты ГОСТ. Недавно расширение для плагина КриптоПРО выпилили из стора хромого, теперь нужно ставить свежий дистрибутив КриптоПРО и там при установке выбирать пункт установки расширения, также расширение можно поставить вручную скачав его из пресс-поста об удалении расшениения из стора. Также у мну на p10 на нескольких АРМ даже после этого ГОСТ не появились, пока не снес chromium-gost тот что из p10-репозитория, не удалил полностью узер-дата папку .config/chromium-gost и не поставил свежую версию с гитхаб. Только тогда ГОСТ тлс появились. Что интересно, дата - дир у пакета из репозитория завется chromium-gost, а у пакета с гитхаб просто chromium. Сейчас расширение крипто про удалили из chrome store,
(In reply to Анатолий Кирсанов from comment #6) > (Ответ для Alexander на комментарий #0) > > После обновления p10->p11 сломалась авторизация в chromium-gost на сайте ФНС > > В p10 до обновления все работало. > > Я пока на P10, браузер из репы, а не из epm. И ... не работает. > Отметился по этому поводу в https://bugzilla.altlinux.org/51909 Там ситуация > описана подробнее. > > (Ответ для mrsclick на комментарий #4) > > Обычно установка КриптоПро решает проблему потому что свежая версия > > устанавливает все необходимые для работы на Гос сайтах сертификаты, Russian > > Trusted, МИНЦИФРЫ и т.д. Т.е. возможно проблема была связана с тем что > > "протухли" серфтикаты, которые шли в версии из репозитория альт, а так как > > от производителя свежая версия, то она за собой притащила и свежие > > сертификаты. > > Да, бывает такое (именно так решал проблему с КриптоАРМ). Но не в этом > случае. Обновление до свежайшей сертифицированной 5.0.13000 ничего не дает. > При этом, именно эта версия КриптоПро установлена в самой налоговой и на ней > они отрабатывали мой багрепорт. У них все хорошо при более новой версии > chromium-gost 133.0.6943.98. > > (Ответ для mrsclick на комментарий #2) > > проверить можно здесь gost.cryptopro.ru должно > > быть GOST. > > О, проверил. Там нет не только алгоритмов ГОСТ, но и версия TLS устаревшая > (от нее в налоговой давно отказались). Нужна TLSv1.3. > > Во избежание ... На странице > https://cryptopro.ru/sites/default/files/products/cades/demopage/ > cades_bes_sample.html проверка КриптоПро, его плагина, сертификата ЭП и > возможности создания ЭЦП проходят успешно. Т.е. я имею в виду, несмотря на то, что у вас проверка расширения проходит и на странице проверки КЭП успешно подписывает, даже в других, независимых от ГОСТ тлс сайтах подпись может работать, это не готоврит о том что ГОСТ тлс заработал, так как это другая функциональность и без настройки КриптоПро плагина она не заработает. Вот в яндрекс-браузер ЕМНИП ГОСТ тлс встроены и без КриптоПро, но для меня лично лечге настроить тлс в хромиум госте, чем использовать яндекс-браузер. Также, я не помню, если при входе в налоговую или любой другой гос-сайт требуется вход через ЕСИА с использованием КЭП, то нужно устанавливать и настраивать плагин для Госуслуг, а эта ещё одна история, отдельная, там даже руками придётся править кривой конфиг этого плагина и копировать пару файликов, если нужно, дайте знать, я опишу действия, в принципе они на той же вики-справке от КриптоПро есть. Иначе Госуслуги будут долго и упорно утверждать что КЭП не найдены.
