Yandex Browser

Используй Astra, ROSA или ALT Linux — во всех этих 3 дистрибутивах Chromium-ГОСТ и все нужные ключи стоят из коробки.

Я даже все это пробовал в windows корячить, один фиг. Причем у них есть какой то авто-настройщик (для винды) он там кажет все зеленым и все у меня ок.

Очень странно …

На всякий случай на Астре (хм где вспомнилось … иди на Астру) проверил.

Chromium Версия 91.0.4472.101 (Официальная сборка), Built on AstraLinuxCE , running on AstraLinuxCE 2.12.44 (64 бит)

https://imgur.com/buD8Dsh

Я вроде слышал, что этот сайт только через IE работает.

Там тоже (в 11 как минимум) тоже не работает. И когда с ними связываешься говорят нужно использовать Yandex Browser.

Ну попроси их сообщить точную версию Yandex.Browser и Windows, на которой они работают. Подозреваю, что это что-то древнее на древнем с самописным сертификатом, который лежит в архиве на облаке Mail.ru, ссылку на который тоже нужно у них узнавать.

Разве в самом хромиум-гост нету нужных ключей?

Если это то о чем я думаю, там вроде одного браузера не достаточно, недавно корячился на двух компах, в результате в одном случае пришлось по частям все ставить. Да, и вот этот спутник работает.

Глянул я этот спутник, мало того что он сделан на том же хромиуме так они даже для физ.лиц не дают фрии версию, нужно запрашивать ключ :(

Фига себе, у меня оно как-то «само». Установщик брал с одной из торговых площадок.

Фига себе, у меня оно как-то «само». Установщик брал с одной из торговых площадок.

Я там почитал, может я не понял что то но суть такая. Если Вы организация то ключ снимаешь у них в облаке и все эти браузеры этот ключ автоматом с инета хавают.

А может и не только ключ ;)

Потому что криптопровадера, насколько я помню, в браузерах нет. Нужен установленный КриптоПРО (или openssl с gost-engines в случае линукса), криптопровайдером которого пользуются браузеры.

Все кто в этой теме думаю в курсе про это. Причем там мало енжине там еще и плугин для каждого браузера нужно свой ставить-включать.

И проверки этой ботвы как ни странно проходят без проблем. А вот данный сайт ни гугу…

Chromium-ГОСТ

нужные ключи

Жесть…

Тут же так любят возмущатсья и бороться с анальными зондами от Гугла и Майкрософта. А тут хоба – и зонд уже внутри дистрибутива со всем нужным, без которого на сайт не зайти

Походу сабж основан на опере

Ты где такое вычитал?

они все на хромиуме основаны, а значит в них все одинаково отображается. Yandex Browser не нужен ибо он петух и стучит куда тебе надо (собирает твои метрики). тебе где-то в настройках DE доверенные сертификаты нужно добавлять

Ну это не совсем зонд, а просто никем непризнанное го… хранилище сертификатов. На случай, если единственные истинные ари… носители дерьмократических ценностей решат отозвать, выданные сертификаты… Интернет должен быть аполитичен и свободен говорили они… А в итоге свой роскомпозор запилили…

А что не так со своим хранилищем ключей? 100500 лет пользуют самоподписные серты и никого это не смущает, считайте здесь тоже самое только централизованное.

Так я так понял из темы, что они уже предустановленные в браузере и установить их в другой браузер вызывает некоторые трудности, в связи с чем приходиться пользоваться «специальный» браузером.

Хромиум-ГОСТ самый адекватный из трех. Как понимаю его мейнтейнит команда из разработчиков крипто-про или как минимум тесно с ними связаны.

Какая версия крипто про установлена и какие пакеты? Рекомендую на линь ставить 5.0.11455 – для нее подойдет лицензия от 4ки, которую можно получить бесплатно (судя по линку у тебя же лк заказчика?). В нем есть гуевая приложуха, через нее удобнее ставить серты (раскладывает сама в нужные хранилища).

Корневые сертификаты казначейства установлены? (вязть проще всего тут - http://crl.roskazna.ru/crl Если авторизуешься с ключом стороннего УЦ – еще плюсом цепочку сертов этого УЦ.

Личный серт установлен и связан с контейнером?

Лицензия вбита в крипту или стоит пробник?

upd. Вот еще есть страничка проверки машины: https://arm-fzs.roskazna.gov.ru/ должна показать косяки в настройке.

Я вроде слышал, что этот сайт только через IE работает.

Строго наоборот:

С 15 июня 2022 года разработчиками прекращается поддержка браузера Internet Explorer.

В связи с этим, для работы в единой информационной системе в сфере закупок (далее — ЕИС в сфере закупок) рекомендуем использовать браузеры, поддерживающие протоколы безопасности с использованием российских криптографических стандартов, которые обеспечивают доступ ко всем необходимым интернет-ресурсам, в том числе к ЕИС в сфере закупок.

https://zakupki.gov.ru/epz/main/public/news/news_preview.html?newsId=32218

https://github.com/deemru/Chromium-Gost/commit/efa8e0fdd004f162c8f8f537a137f124c814e0bf

а в нем точно приколы с подменой сертификатов не будут прокатывать?

тем более код написан заслуженным похапешником https://github.com/deemru/WavesKit/blob/master/src/WavesKit.php#L806

Не могу прокомментировать. Мое мнение выше – пользовательско-эникейское.

Яндекс очень нетороплив, особенно на машинках постарше. У спутника вроде код закрыт, плюс у обоих какие-то свои встроенные версии расширения для плагина крипты – пару раз спотыкался об это.

Когда в яндекс браузере самом последнем тычишь в дополнение то открывается дополения для Опера.

Поверите Вы или нет, все устанавливал все связывал и т.д. и т.п. Даже делал это на разных компьютерах с Windows 10, так там у них есть какая то автонастройка - каждый пункт проверят и пишет ОК. (Галка зеленая).

Те сточки выглядят так будто чувак отлавливает ошибку и тупо ее игнорирует. Сертификат неправильный, значит все ОК - это гост какой-то, продолжаем работу дальше. Те можно подделать любой сертификат и браузер его проглотит

И хромиум-gost тоже пробывал. Что интересно, читал очередную доку на хромиум-gost там писали что проверить нужно зайти на gost.cryptopro.ru как то так. Так мне написали что на их сайте сертификат просрочен, в апреле закончился. Мдаа уж.

Мне думается что они убрали ИЕ но не до конца . На одной из Виндовс было так, вроде все поставил, юзаю яндекс, проверка все зеленое. Запустил а оно хлоп, зайти через госулуги или по ключу, выбираю ключ. А оно говорит нужен плагин IE чего то там … я его поставил и получил опять ошибку шифрования.

Они ставяться через браузер в его приложениях. Я про это в курсе.

Давай все-таки посмотрим более предметно чего может не хватать.

Покажи

dpkg --list | grep cpro

Может не хватать какого-нибудь гуёвого пакета или пакета со считывателем для твоего контейнера. На чем кстати записан сам ключ? Рутокен?

Если правильно помню для Рутокена S нужны еще пакеты pcsc, ставятся пакетным менеджером твоего дистриба:

в deb-based системах это обычно:

библиотека libccid не ниже 1.4.2; пакеты libpcsclite1 и pcscd; pcsc-tools.

в rpm-based системах это обычно:

ccid не ниже 1.4.2; pcsc-lite; pcsc-tools.

в ALT Linux это обычно:

pcsc-lite-ccid; libpcsclite; pcsc-tools.

Демон pcscd соответственно тоже должен быть запущен.

Проверь лицензию.

/opt/cprocsp/sbin/amd64/cpconfig -license -view

Должно показать твой серийник и срок действия. Либо permanent если бессрочная.

На всякий случай покажи что в хранилищах сертов:

/opt/cprocsp/bin/amd64/certmgr -list -store uRoot

/opt/cprocsp/bin/amd64/certmgr -list -store uCA

Если корневые задублированы в разные хранилища могут быть глюки.

В Root должны быть только сертификаты Минцифры и Минкомсвязи – это серты, которыми подписаны сертификаты удостоверяющих центров.

CA – хранилище сертификатов удостоверяющих центров, этими сертами подписаны уже личные сертификаты, которые выдает УЦ. Тут минимум должны быть казначейские (если речь о закупках) + твоего УЦ, где получал сертификат (если ты заказчик то это тоже каз-во).

Если корневые задублированы в разные хранилища могут быть глюки

Хм. А это с чего ?

Вы мне скажите только одно лично сейчас у Вас этот сайт пашет ?

Если правильно понимаю принцип работы – механизм проверки на отзыв серта происходит в гостовом криптопровайдере, который стоит в системе.

Чисто из опыта – браузер ругается как положено если серверный сертификат просрочен. Вот про отзыв не припомню.

Работает, только что зашел в лк.

https://0x0.st/oMnP.png

Хм. А это с чего ?

Начинает строить цепочку сертов и уходит в рекурсию.

Хм. Спасибо, буду во вторник дальше рыть. Вот про смесь сертификатов не знал, думал по фигу это.

А у Вас яндекс браузер или кто ? Еще иногда пишут яндекс-браузер-для-ЕИС, тут я непонял чем они особо различаются.

У меня хромиум-гост.

Если со стороны крипты все корректно настроено то должно работать и в яндексе.

яндекс-браузер-для-ЕИС

Я бы такого посторонился.)

А вот данный сайт ни гугу…

Ну, тогда остаётся единственный вариант, что что-то в цепочке сертификатов пошло не так.

Все таки я запутался в сертификатах.

Дают только : https://imgur.com/Gorq8VU

Читал доку. Причем ни про какой uRoot слова вообще нет. Есть только про uCA и uMy причем как я понял последний это сертификат с Рутокена.

И да список чего то что стоит :

https://imgur.com/wk39inu

И вообще я не понимаю что они не сделают под это дело реп и ставилось все в одну команду :(

Еще бы узнать что :( Ни как не пойму, что в Яндексе Браузере последнем что в Хроме последнем, госуслуги работают через ключ, на сайте Крипто Про - плагин тестируются, все без проблем. А закупки облом, не понимаю.

Пройдитесь ещё раз по всем компонентам которые «закупкам» нужны, возможно что-то не установлено или недонастроено, откройте инструкцию и тупо прям по ней шаг за шагом, не думая устанавливал/настраивал я это или нет. По моему опыту, хоть и не очень большому количественно, но большому по времени (в разное время с разными площадками приходилось сталкиваться), самый лучший вариант, это вариант «блондинки», забываем что мы ИТ-ик и тупо действуем по инструкции, что-то не заработало, гуглим с указанием названия сайта где не работает и что не работает.

сказали что для доступа к … нужен только сабж

Врут, не слушай

есть еще какой то хромиум-гост

Мы его используем. Обычно его и рекомендуют «для доступа к …». Хотя у нас и через хром работало, но раз настоятельно рекомендуют мы не стали искать приключений. Откуда в последнее время столько про этот Яндекс браузер не могу понять, видать Яндекс проплатил кому-то.

хромиум-гост

Мы его используем. Обычно его и рекомендуют «для доступа к …». Хотя у нас и через хром работало, но раз настоятельно рекомендуют мы не стали искать приключений.

+1 По такому же пути пошел, просят его, значит будет он.

Как тут выше неоднократно уже сказали: https://cryptopro.ru/products/chromium-gost или сразу https://github.com/deemru/chromium-gost/releases/latest

И в онтопике, и в оффтопике советую его использовать для сайтов суверенного чебурнета.

Жалко что Вы думаете что это я не делал. Причем сразу это еще пробую паралельно на разных компьютерах с windows.

Кстати говоря, там в требованиях написан TLS 1.0. Насколько помню, его сейчас повадились отключать. Он у тебя в списке chiper-ов то есть вообще?

Из серии вот этих приколов

MinProtocol = TLSv1
CipherString = DEFAULT@SECLEVEL=1

Спасибо.

Но я бы лучше узнал (вверху спрашивал) какие сертификаты (по именам или ид) где должны лежать. У меня есть ощущение что какого то одного где то не хватает :( Ну или не тот лежит …

На их сайте при ручной установке выдают 5 сертификатов.

Ладно головной и минсвязи (как я понял минцифры только для госуслуг) а зачем куча от казначейсва ? Причем некоторые от головного а некоторые от минсвязи :(

Для закупок ГУЦ (головной) должен быть корневым (CA), а казачейские промежуточные. Хрен его знает, зачем там МинСвязь (для Госуслуг, наверное, да), но серты Казны должны быть точно.