Cryptopro ошибка ssl

vladdy.moses	#1 Оставлено : 23 августа 2016 г. 9:06:17(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 22.01.2016(UTC) Сообщений: 7 Сказал «Спасибо»: 1 раз	Доброго времени суток! После обновления Windows 10 до версии 1607 (сборка 14393.51) при попытке установить соединение по протоколу HTTPS при использовании ключа, зашифрованного по ГОСТ, выходит ошибка о невозможности создать защищённый канал SSL/TLS. В качестве примера привёл отрывок кода на C#: http://pastebin.com/0yZ8RapK На методе GetResponse() (20 строка примера) падает с WebException «Запрос был прерван: Не удалось создать защищенный канал SSL/TLS.» (http://prntscr.com/c97qdr) При этом окно ввода пароля от контейнера ключей не отображается (специально не нажимал галку «Сохранить пароль», чтобы видеть, когда идёт обращение к контейнеру). Воспроизводил пример и на других компьютерах. На системе Windows 10 ver. 1607 ошибка повторилась, а вот на системе Windows 10 ver. 1511 (сборка 10586.545) запрос прошёл успешно. Версии CSP и .NET одинаковые во всех случаях. Тем не менее, на версии системы 1607 при использовании браузера cryptopro fox 45.1.2 соединение устанавливается успешно. Установленное ПО: * CryptoPro CSP 4.0.9644 * CryptoPro .NET 1.0.5913.0 * CryptoPro .NET SDK 1.0.5913.0 Target Framework приложения, в котором пытался соединиться с сервером, 4.5.2. Смена на 4.5 не помогла. Может, существует обновление CryptoPro.NET, которое исправляет эту ошибку? При переходе на Windows 10 у людей уже была похожая проблема, и она решалась установкой новой версии CryptoPro .NET. Заранее спасибо! Отредактировано пользователем 26 августа 2016 г. 20:09:16(UTC)  | Причина: Не указана

Максим Коллегин	#2 Оставлено : 23 августа 2016 г. 11:56:18(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,332 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 682 раз в 601 постах	Попробуйте последнюю версию CSP 4.0 (R2)
Знания в базе знаний, поддержка в техподдержке
	WWW

vladdy.moses	#3 Оставлено : 23 августа 2016 г. 14:48:49(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 22.01.2016(UTC) Сообщений: 7 Сказал «Спасибо»: 1 раз	Цитата: Попробуйте последнюю версию CSP 4.0 (R2) К сожалению, проблема осталась. Вот, что делал: * Переустановил КриптоПро CSP. Перезагрузился. Ошибка осталась. * Потом удалил КриптоПро .Net, перезагрузился. Установил его ещё раз, перезагрузился. Ошибка осталась. Антивирус стоит встроенный в windows, защита в реальном времени отключена.

Максим Коллегин	#4 Оставлено : 23 августа 2016 г. 14:55:56(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,332 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 682 раз в 601 постах	А в IE работает? Попробуйте с сайтом https://cpca.cryptopro.ru
Знания в базе знаний, поддержка в техподдержке
	WWW

vladdy.moses	#5 Оставлено : 23 августа 2016 г. 15:34:25(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 22.01.2016(UTC) Сообщений: 7 Сказал «Спасибо»: 1 раз	С указанным сайтом всё работает и через IE, и через C#. Соединение к сайту из примера и к https://cpca.cryptopro.ru в CryptoPro Fox обозначается как «TLS_GOSTR341001_WITH_28147_CNT_IMIT, 256 bit keys, TLS 1.0».

Максим Коллегин	#6 Оставлено : 23 августа 2016 г. 16:17:15(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,332 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 682 раз в 601 постах	Попробуйте с исходным сайтом соединиться с помощью csptest -tlsc -v -v, и выложите лог. Сейчас есть нерешенные проблемы с версией 1607 — отпишусь, как будут результаты.
Знания в базе знаний, поддержка в техподдержке
	WWW

vladdy.moses	#7 Оставлено : 23 августа 2016 г. 17:44:54(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 22.01.2016(UTC) Сообщений: 7 Сказал «Спасибо»: 1 раз	Вывод команды csptest -tlsc -server 217.107.108.156 -port 10081 -file / -cert «E=…..» -v -v На компьютере коллеги с точно работающим криптопро вот так. То есть ошибка при проверки сертификатов, что нормально в данном случае. Для cpca.cryptopro.ru с моего компьютера вывод другой. Как я понял, ошибка там не критична в моём случае: Цитата: отпишусь, как будут результаты Спасибо, буду ждать!

Максим Коллегин	#8 Оставлено : 24 августа 2016 г. 17:01:55(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,332 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 682 раз в 601 постах	Вроде получилось обойти очередные доработки MSFT, скоро выложу в теме private билд CSP 4.0
Знания в базе знаний, поддержка в техподдержке
	WWW

vladdy.moses	#9 Оставлено : 26 августа 2016 г. 13:49:28(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 22.01.2016(UTC) Сообщений: 7 Сказал «Спасибо»: 1 раз	Автор: maxdm Вроде получилось обойти очередные доработки MSFT, скоро выложу в теме private билд CSP 4.0 Хорошо, буду ждать.

Максим Коллегин	#10 Оставлено : 26 августа 2016 г. 19:45:09(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,332 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 682 раз в 601 постах	4.0.9771
Знания в базе знаний, поддержка в техподдержке
	WWW
1 пользователь поблагодарил Максим Коллегин за этот пост.	vladdy.moses оставлено 26.08.2016(UTC)

Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Проблема:
При попытке добавления удостоверяющего центра КриптоПро в политику использования смарт-карт в Indeed CM появляется ошибка:

или

При этом в журнале приложений регистрируется событие:
КриптоПро TLS. Ошибка 0x8010006b при импорте открытого ключа: Нет доступа к карте. Введен неправильный PIN-код.

Решение 1:
Ошибка может быть связана с тем, что на сервере Indeed CM установлен КриптоПро CSP с уровнем безопасности КС1, и при копировании контейнера закрытого ключа со смарт-карты в хранилище машины был задан PIN-код на копию контейнера переносимого ключа. Для решения проблемы необходимо не задавать PIN-код при создании контейнера закрытого ключа (больше сведений на форуме КриптоПро).

Для этого пересоздайте контейнер с пустым PIN-кодом и затем повторите попытку добавить КриптоПро УЦ в политику использования смарт-карт Indeed CM либо при указании пароля выставите опцию «Запомнить PIN-код».

В случае использования КриптоПро CSP с уровнями безопасности КС2 и КС3 ошибка не проявляется, но в этом случае необходимо установить опцию «Запомнить PIN-код», в противном случае его придется вводить каждый раз при обращении сервера Indeed CM к КриптоПро УЦ.

Решение 2:
Проверьте права доступа пула приложений Indeed CM к закрытому ключу сертификата для работы с УЦ КриптоПро и задайте права на Полный доступ и Чтение, если их нет.
Для этого:

1. В оснастке Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM кликните правой кнопкой мыши на сертификате, выберите Все задачи (All tasks) – Управление закрытыми ключами… (Manage
   Private Keys…)
2. Нажмите Добавить (Add), укажите локальную группу IIS_IUSRS (если используется IIS 7.0) или локальную учетную запись IIS AppPool\IndeedCM (если используется IIS 7.5 и более поздние версии).
3. Выставите права Полный доступ (Full Control) и Чтение (Read).
4. Нажмите Применить (Apply).

Захожу я на https://lkulgost.nalog.ru/. И тут начинается квест. Все удалось победить, но не проходила последняя проверка:

«Проверка защищённого соединения с сервером Личного кабинета юридического лица.»

Пробовал все, что было описано на странице, и ничего не помогало…

Были надписи и такого вида, ошибок словил много:

На сайте lkul.nalog.ru используется неподдерживаемый протокол ERR_SSL_VERSION_OR_CIPHER_MISMATCH

«Этот сайт не может обеспечить безопасное соединение.
Ваш сертификат отклонен сайтом lkulgost.nalog.ru или не был выдан.
Обратитесь за помощью к системному администратору.
ERR_BAD_SSL_CLIENT_AUTH_CERT»

«Этот сайт не может обеспечить безопасное соединение Ваш сертификат отклонен сайтом или не был выдан. Обратитесь за помощью к системному администратору. ERR_BAD_SSL_CLIENT_AUTH_CER»

Окно выбора сертификата почему-то всплывает по два раза на разных пунктах.

Все советуют использовать Яндекс Браузер, мне не помогло. Помогла только установка на компьютере браузера Chromium GOST: https://www.cryptopro.ru/products/chromium-gost.

Через него сразу все завелось и удалось получить доступ в личный кабинет.

Естественно, ставим в браузер расширение КриптоПро CSP: https://cryptopro.ru/products/csp.

Важно!

Временно отключите антивирусную программу и проверьте, что у вас не включено https-сканирование, если используете Avast или ESET.

Задача — отключение опции SSL-сканирования («SSL scan»). Либо настройте исключения для площадок ФНС.

Внимание! Для всех у кого УЦ СКБ Контур и антивирус Касперского, он подменяет сертификат сайта своим сертификатом, что приводит к ошибке при работе с сайтами, которые используют сертификаты с ГОСТ алгоритмами электронной подписи, например, zakupki.gov.ru и bus.gov.ru.

Чтобы проверить это откройте в Internet Explorer страницу https://cryptopro.ru , нажмите на пиктограмму замка (в конце адресной строки), потом на ссылку «Просмотр сертификатов» в появившемся окне.

Если на вкладке Общие в строке Кем выдан стоит значение отличное от thawte SSL CA — G2 (вероятно, в Вашем случае там присутствует слово Kaspersky), то это значит, что антивирус подменяет сертификаты веб-сайтов своим сертификатом.

Необходимо отключить эту функцию антивируса (она обычно называется «Проверять защищенные соединения» или «https/ssl» фильтрация).

Для Антивируса Касперского:

Настройка — Дополнительные параметры — Сеть — Проверять защищенные соединения

Чтобы узнать более подробную информацию по отключению функции защищенных соединений для вашей версии антивируса вам нужно обращаться в техническую поддержку производителя антивируса.

Модераторы: Renat, Gala, alta_olg, expert, Lemur

При открытии web-страничек появляются ошибки без каких либо на то причин? Или браузер выдает сообщение, что нельзя установить безопасное соединение? Пытаетесь открыть zakupki.gov.ru и lkul.nalog.ru, а появляется ошибка «Клиент и сервер поддерживают разные версии протокола ssl или набора шифров»? Пора разобраться, чем это вызвано и как выйти из сложившейся ситуации.

Вышеуказанные проблемы проявляются при открытии HTTPS платформ и ресурсов, у которых есть опция входа с цифровой подписью. Прежде, чем приступить к устранению ошибок, нужно убедиться, что проблема связана не с вашим ПО и компьютером. Попробуйте открыть необходимый интернет-ресурс на другом устройстве или подключившись к другой интернет-сети. Посмотрите, как обстоят дела со входом через прочие браузеры.

Начинайте с очистки кэша и куки

Первое, что нужно сделать для решения проблемы с SSL — это почистить браузер от мусора, включая куки и кэш. В Хроме, Яндексе и Опере в меню очистки можно попасть через комбинацию «CTRL+H». В Мозилле скопируйте вот этот адрес: about:preferences#privacy и найдите пункт «Куки и данные сайтов». Делая очистку, следует указать в строке выбора временного промежутка «Все время». В меню очистки выберите все пункты и подтвердите действие.

Отключите лишние расширения

Доступ может блокироваться из-за различных установленных расширений и дополнений в рабочих браузерах. В первую очередь это касается плагинов, вмешивающихся в трафик и сетевые экраны, например ВПН, антивирусы, прокси. После открытия раздела с расширениями нужно удалить все подозрительные. Если нужный сайт по прежнему не открывается, попробуйте отключить все установленные расширения.

Попасть в меню управления плагинами достаточно просто. Можете просто скопировать этот путь в своем браузере:

• Chrome: chrome://extensions/
• Яндекс Браузер: browser://tune/
• Opera: opera://extensions
• Firefox: about:addons.

Файрвол и антивирус

Блокировать открытые ресурсы могут антивирусники и межсетевой экран. Попробуйте ненадолго их отключить, чтобы проверить, не они ли блокируют доступ к необходимому HTTPS сайту.

Последние версии антивирусных программ содержат в себе опцию проверки SST/TLS сертификатов. Опция эта работает в автоматическом режиме. Если антивирусник заметит, что интернет-платформа применяет самоподписанный или плохо защищенный сертификат (бесплатные SSL) — он может ограничить к ней доступ. Это также касается неактуальной версии SSL-протокола.

Для выхода из сложившейся ситуации необходимо открыть параметры антивирусной программы, найти раздел со сканированием и отключить режим проверки SSL сертификатов и HTTP/HTTPS трафика. Единого решения для всех антивирусников нет, так как каждый из них блокирует свои разделы. Так, например, в Dr.Web может не пускать на страницу опция «SpIDer Gate», а ESET NOD 32 — в фильтр веб-протоколов.

Часовой пояс

Даже такие незначительные детали, как часовой пояс или не отвечающая действительности дата, могут послужить причиной отказа в доступе к HTTPS площадке. Связана такая закономерность с выполнением сетевой аутентификации. Система осуществляет проверку даты создания и истечения сертификатов, из-за чего и появляются «несостыковки». Во избежание подобных сложностей в настройках лучше всегда правильно указывать часовой пояс.

Правильно узнать свой часовой пояс можно через сервис 2ip.ru, который укажет город регистрации вашего провайдера. Именно по этому городу выставляйте свой часовой пояс. В случае с правильным временем нужно установить автоматическое определение.

Сертификаты ОС

Одна из вероятных причин блокировки доступа к определенным платформам может заключаться в корневых сертификатах вашей операционки. Если вы долгий период не обновляли Windows, то на ПК с большой долей вероятности отсутствует «TrustedRootCA» — корневые сертификаты (доверенные). Этот нюанс решается простым и очевидным решением — обновлением операционной системы. Следует запустить установку актуальных апдейтов через Центр обновлений. Если же на ПК установлена Windows 7, то необходимо заняться обязательной инсталляцией SP1 (KB976932), а также обновлением KB2998527.

Поддержка протоколов

Чтобы дальше спокойно заходить на открытые ресурсы без каких либо сложностей, можно обратиться к чуть более сложному способу, чем указанные выше — следует включить поддержку TLS и SSL.

Устаревшие версии указанных протоколов отключены потому, что сейчас злоумышленники могут создавать слишком много угроз для перехвата данных в трафике HTTPS типа. Включение старых протоколов может поставить под угрозу безопасность пользователя во время использования Интернета. Используйте способ только в том случае, если предыдущие не помогли.

На сегодняшний день браузеры не используют ненадежные старые протоколы и уже давно перешли на актуальные. Чтобы активировать устаревшие протоколы SSL/TLS необходимо:

1. В «Панели управления» нужно найти «Свойства браузера»;
2. Выбираем раздел с дополнительными настройками;
3. Ставим галочки возле строчек TLS 1.0, TLS 1.1, TLS 1.2, SSL 3.0, 2.0;
4. Закрываем и открываем браузер.

Если и этот способ не помог, то можно попробовать такой вариант:

1. В папке system32 находим документ hosts и проверяем его на наличие статических записей;
2. Открываем настройки сетевого подключения, выбираем раздел с предпочитаемым DNS сервером и набираем адрес 8.8.8.8;
3. Снова заходим в панель управления в раздел «свойства браузера», выбираем уровень безопасности для Интернета средний или выше среднего. Обязательно нужно изменить этот параметр, если он обозначен как высокий, в противном случае ничего не получится.

Клиент и сервер поддерживают разные версии протокола SSL при входе в zakupki.gov.ru

Если аналогичные ошибки возникают при входе на сайт zakupki.gov.ru или прочие государственные порталы — следует проверить следующие моменты:

• Проверить совместимость IE 11 версии с 10. Входить в закупки нужно только через обновленный Internet Explorer
• Добавить площадку в перечень доверенных узлов;
• Настроить параметры безопасности;
• Настроить окна (всплывающие);
• Переопределить обработку куки в автоматическом режиме;
• Установить параметры обозревателя;
• Удалить временные файлы, истории просмотров и куки;
• Добавить «zakupki.gov.ru» для просмотра в режиме совместимости;
• Установить и настроить КриптоПро CSP;
• Установить и настроить «КриптоПро ЭЦП Browser plug-in»;
• Перерегистрировать сертификат, если он устарел.

Полную инструкцию с детальным описанием каждого пункта можно найти на сайте zakupki.gov.ru/epz, скачав «Инструкцию по настройке рабочего стола».

Заключение

Как показывает практика — на обновленных Windows такие ошибки на сайтах не выскакивают, а клиент и сервер поддерживают совместимые версии ssl-протоколов и наборы шифров соответствуют всем требованиям. В случае с закупками советуем обновить Internet Exprolel и провести настройку доступов, строго придерживаясь указанной в ссылке инструкции.

Многие пользователи при входе на некоторые HTTPS-сайты, требующие цифровую подпись, сталкиваются с различными ошибками или уведомлениями о невозможности установления безопасного соединения. Если при попытке зайти на ресурс система сообщает о том, что «Протокол не поддерживается Клиент и сервер используют разные версии протокола SSL или разные наборы шифров», для решения проблемы стоит воспользоваться одним из описанных ниже способов.

Очистка cash и cookie

Прежде всего нужно сделать очистку браузера, включая cookie-файлы и cash. В Google Chrome, Yandex Browser и Opera комбинация клавиш «CTRL» + «H» открывает меню очистки истории. В Mozilla Firefox нужно вставить в адресную строку about:preferences#privacy и выделить галочками пункты «Cookie и данные сайтов» и «Кэшированное веб-содержимое». Для полной очистки необходимо выбрать временной промежуток «Все время» и нажать на клавишу «Удалить».

Отключение лишних расширений

Конфликт протоколов может быть вызван различными расширениями и дополнениями, которые были установлены в используемый браузер. Первым делом нужно отключить плагины, вмешивающиеся в трафик (VPN, антивирусные утилиты, proxy), и межсетевые экраны (программно-аппаратные средства, предназначенные для информационной защиты от анализа трафика). Для этого потребуется открыть меню расширений и удалить лишние. Если проблема с открытием нужного сайта не решилась, стоит отключить все дополнения. Открыть раздел настройки плагинов можно, вставив в адресную строку следующую комбинацию:

Антивирус и файрвол

Антивирусные приложения, как и межсетевые экраны, могут стать причиной блокировки веб-сайтов. Поэтому в случае конфликта протоколов стоит временно отключить их. Большинство антивирусов позволяет проверять SST/TLS сертификаты. Если программа зафиксирует факт использования сайтом самоподписанных или обладающих плохой защитой сертификатов (бесплатных SSL), она автоматически заблокирует ресурс. То же самое может произойти с неактуальными версиями SSL-протоколов. Для решения проблемы нужно зайти в настройки антивируса, открыть раздел сканирования и выключить опцию автоматической проверки HTTPS/HTTP трафика и сертификатов SSL.

Для разных антивирусов решение будет отличаться, поскольку каждая программа может блокировать свои подразделы. К примеру, NOD32 фильтрует веб-протоколы, а Dr.Web не пропускает модуль проверки HTTP-трафика SpIDer Gate.

Настройка часового пояса

Некорректные настройки часового пояса или неправильно установленная дата могут стать причиной блокировки HTTPS-ресурса. Конфликт протоколов в данном случае связан с сетевой аутентификацией. ОС автоматически сверяет дату создания и истечения сертификатов, и при выявлении нестыковок доступ к определенному веб-сайту блокируется. Поэтому рекомендуется проверить настройки часового пояса и убедиться в том, что они установлены правильно.

Получить информацию о своем часовом поясе можно с помощью сервиса 2ip.ru. Сайт идентифицирует город, в котором зарегистрирован провайдер. Нужно выставить время, актуальное для своего населенного пункта, либо воспользоваться функцией автоматического определения.

Сертификаты операционной системы

Одна из самых распространенных причин конфликта протоколов связана с корневыми сертификатами операционной системы. Если ОС Windows долгое время не обновлялась, то скорей всего на компьютере будут отсутствовать доверенные (корневые) сертификаты Trusted Root. Исправить данный недочет можно посредством обновления ОС. Устанавливать актуальные апдейты необходимо с помощью «Центра обновлений». Если на компьютере установлена Windows 7, нужно обязательно загрузить Service Pack 1 (KB976932).

Поддержка протоколов

Для доступа к открытым веб-ресурсам без каких-либо затруднений можно воспользоваться усложненным способом (в отличие от описанных выше), который предполагает активацию поддержки SSL и TLS протоколов. Из-за того, что мошенники используют разные уловки и приемы для перехвата информации в HTTPS-трафике, указанные протоколы могут быть отключены. Активация устаревших версий SSL и TLS представляет собой серьезную угрозу для безопасности ОС во время пользования интернетом.

Прибегать к данному способу рекомендуется только в том случае, если перечисленные выше варианты не помогли устранить конфликт протоколов. Большинство популярных браузеров отказалось от ненадежных старых протоколов в пользу актуальных. Для активации устаревших TLS/SSL протоколов нужно проделать такие действия:

Если данный алгоритм не помог решить проблему, стоит воспользоваться следующим вариантом:

Остается в «Панели управлений» кликнуть по свойствам браузера и установить средний либо высокий уровень безопасности для интернет-соединения. Пропускать данный шаг нельзя, в противном случае устранить проблему с блокировкой сайтов не получится.

Если конфликт протоколов наблюдается при попытке зайти на один из государственных порталов, нужно сделать следующие действия:

В случае устаревшего сертификата нужно сделать его перерегистрацию.

Заключение

Если при попытке зайти на сайт возникает системное уведомление о том, что «Протокол не поддерживается Клиент и сервер используют разные версии протокола SSL или разные наборы шифров», нужно очистить cash и cookie, отключить лишние плагины, расширения и антивирусную защиту. Также необходимо правильно установить настройки часового пояса, обновить сертификаты операционной системы и активировать поддержку SSL и TLS протоколов.

Источник

Клиент и сервер поддерживают разные версии протокола SSL или набора шифров

При открытии web-страничек появляются ошибки без каких либо на то причин? Или браузер выдает сообщение, что нельзя установить безопасное соединение? Пытаетесь открыть zakupki.gov.ru и lkul.nalog.ru, а появляется ошибка “Клиент и сервер поддерживают разные версии протокола ssl или набора шифров”? Пора разобраться, чем это вызвано и как выйти из сложившейся ситуации.

Вышеуказанные проблемы проявляются при открытии HTTPS платформ и ресурсов, у которых есть опция входа с цифровой подписью. Прежде, чем приступить к устранению ошибок, нужно убедиться, что проблема связана не с вашим ПО и компьютером. Попробуйте открыть необходимый интернет-ресурс на другом устройстве или подключившись к другой интернет-сети. Посмотрите, как обстоят дела со входом через прочие браузеры.

Клиент и сервер поддерживают разные версии протокола SSL в Закупках

Начинайте с очистки кэша и куки

Первое, что нужно сделать для решения проблемы с SSL – это почистить браузер от мусора, включая куки и кэш. В Хроме, Яндексе и Опере в меню очистки можно попасть через комбинацию «CTRL+H». В Мозилле скопируйте вот этот адрес: about:preferences#privacy и найдите пункт «Куки и данные сайтов». Делая очистку, следует указать в строке выбора временного промежутка «Все время». В меню очистки выберите все пункты и подтвердите действие.

Очистка кэша и куки в Firefox

Отключите лишние расширения

Доступ может блокироваться из-за различных установленных расширений и дополнений в рабочих браузерах. В первую очередь это касается плагинов, вмешивающихся в трафик и сетевые экраны, например ВПН, антивирусы, прокси. После открытия раздела с расширениями нужно удалить все подозрительные. Если нужный сайт по прежнему не открывается, попробуйте отключить все установленные расширения.

Попасть в меню управления плагинами достаточно просто. Можете просто скопировать этот путь в своем браузере:

Файрвол и антивирус

Блокировать открытые ресурсы могут антивирусники и межсетевой экран. Попробуйте ненадолго их отключить, чтобы проверить, не они ли блокируют доступ к необходимому HTTPS сайту.

Последние версии антивирусных программ содержат в себе опцию проверки SST/TLS сертификатов. Опция эта работает в автоматическом режиме. Если антивирусник заметит, что интернет-платформа применяет самоподписанный или плохо защищенный сертификат (бесплатные SSL) – он может ограничить к ней доступ. Это также касается неактуальной версии SSL-протокола.

Для выхода из сложившейся ситуации необходимо открыть параметры антивирусной программы, найти раздел со сканированием и отключить режим проверки SSL сертификатов и HTTP/HTTPS трафика. Единого решения для всех антивирусников нет, так как каждый из них блокирует свои разделы. Так, например, в Dr.Web может не пускать на страницу опция «SpIDer Gate», а ESET NOD 32 – в фильтр веб-протоколов.

Настройка фильтрации веб-протоколов в ESET

Часовой пояс

Даже такие незначительные детали, как часовой пояс или не отвечающая действительности дата, могут послужить причиной отказа в доступе к HTTPS площадке. Связана такая закономерность с выполнением сетевой аутентификации. Система осуществляет проверку даты создания и истечения сертификатов, из-за чего и появляются “несостыковки”. Во избежание подобных сложностей в настройках лучше всегда правильно указывать часовой пояс.

Правильно узнать свой часовой пояс можно через сервис 2ip.ru, который укажет город регистрации вашего провайдера. Именно по этому городу выставляйте свой часовой пояс. В случае с правильным временем нужно установить автоматическое определение.

Сертификаты ОС

Одна из вероятных причин блокировки доступа к определенным платформам может заключаться в корневых сертификатах вашей операционки. Если вы долгий период не обновляли Windows, то на ПК с большой долей вероятности отсутствует «TrustedRootCA» – корневые сертификаты (доверенные). Этот нюанс решается простым и очевидным решением – обновлением операционной системы. Следует запустить установку актуальных апдейтов через Центр обновлений. Если же на ПК установлена Windows 7, то необходимо заняться обязательной инсталляцией SP1 (KB976932), а также обновлением KB2998527.

Поддержка протоколов

Чтобы дальше спокойно заходить на открытые ресурсы без каких либо сложностей, можно обратиться к чуть более сложному способу, чем указанные выше – следует включить поддержку TLS и SSL.

Устаревшие версии указанных протоколов отключены потому, что сейчас злоумышленники могут создавать слишком много угроз для перехвата данных в трафике HTTPS типа. Включение старых протоколов может поставить под угрозу безопасность пользователя во время использования Интернета. Используйте способ только в том случае, если предыдущие не помогли.

На сегодняшний день браузеры не используют ненадежные старые протоколы и уже давно перешли на актуальные. Чтобы активировать устаревшие протоколы SSL/TLS необходимо:

Активация TSL протоколов в браузере

Если и этот способ не помог, то можно попробовать такой вариант:

Повышение уровня безопасности для сайтов

Клиент и сервер поддерживают разные версии протокола SSL при входе в zakupki.gov.ru

Если аналогичные ошибки возникают при входе на сайт zakupki.gov.ru или прочие государственные порталы – следует проверить следующие моменты:

Полную инструкцию с детальным описанием каждого пункта можно найти на сайте zakupki.gov.ru/epz, скачав “Инструкцию по настройке рабочего стола”.

Заключение

Как показывает практика – на обновленных Windows такие ошибки на сайтах не выскакивают, а клиент и сервер поддерживают совместимые версии ssl-протоколов и наборы шифров соответствуют всем требованиям. В случае с закупками советуем обновить Internet Exprolel и провести настройку доступов, строго придерживаясь указанной в ссылке инструкции.

Источник

Ошибка «Этот сайт не может обеспечить безопасное соединение» в Chrome, Opera и Яндекс Браузер

У меня почему-то перестали открываться некоторые HTTPS сайты (не все!). При попытке открыть такой сайт в браузере появляется окно с ошибкой «Этот сайт не может обеспечить безопасное соединение». Сайты не отображаются как в Google Chrome, так и в Opera и в Яндекс Браузере. Без HTTPS некоторые сайты открываются, но не все, только те, у которых страницы доступны и по протоколу HTTPS и по протоколу HTTP.В Google Chrome ошибка при открытии HTTPS сайт выглядит так:

В Opera и Яндекс Браузер ошибка выглядит примерно также. Как мне открыть такие сайты?

Ответ

Как вы уже вероятно поняли, проблема связана с проблемами при SSL взаимодействии между вашим компьютеров и HTTPS сайтом. Причины такой ошибки могут быть довольно разные. В этой статье я попробовал собрать все методы исправления ошибки «Этот сайт не может обеспечить безопасное соединение» (This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR) в различных браузерах.

Сразу хочется отметить, что несмотря на то, что браузеры Google Chrome, Opera и Яндекс Браузер выпускаются разными компаниями, на самом деле все эти браузеры основаны на одном и том же движке — Chrome и проблема с ошибками открытия HTTPS сайтов в них решается одинаково.

В первую очередь нужно убедиться, что проблема не на стороне самого HTTPS сайта. Попробуйте открыть его с других устройств (телефон, планшет, домашний/рабочий компьютер и т.д.). Также проверьте, открывается ли в других браузерах, например, IE/Edge или Mozilla Firefox. В Firefox похожая ошибка обсуждалась в статье Ошибка при установлении защищённого соединения в Mozilla Firefox.

Очистите кэш и куки браузера, SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Чтобы очистить SSL кэш в Windows:

Отключите сторонние расширения в браузере

Проверьте настройки антивируса и файрвола

Если на вашем компьютере установлены антивирусная программа или межсетевой экран (часто он встроен в антивирус), возможно доступ к сайту блокируется именно ими. Чтобы понять, ограничивают ли доступ к сайту антивирусы или файрволы, попробуйте на время приостановить их работу.
Во многих современных антивирусах по-умолчанию присутствует модуль проверки SST/TLS сертификатов сайтов. Если антивирус обнаружит, что сайт использует недостаточно защищенный (или самоподписанный) сертификат или устаревшую версию протокола SSL (тот же SSL v3 или ниже), доступ к пользователя к такому сайту может быть ограничен. Попробуйте отключить сканирование HTTP/HTTPS трафика и SSL сертификатов. Как вы понимает, все зависит от того, какой антивирус и вас установлен. Например:

Проверьте настройки даты и времени

Неправильная дата и время (и часового пояса) на компьютере также может быть причиной ошибки при установке защищенного соединения с HTTPS сайтами. Ведь при выполнении аутентификации система проверяет срок создания и дату истечения сертификата сайта и вышестоящего центра сертификации.

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности, в случае с Windows 7 – обязательно установить SP1 (KB976932) и обновления часовых поясов (KB2998527).

Вы можете вручную обновить корневые сертификаты по статье: Как вручную обновить корневые сертификаты в Windows (так же рекомендуем проверить хранилище сертификатов на предмет недоверенных сертификатов, это позволит предотвратить перехват вашего HTTPs трафика и ряд других проблем).

Отключите поддержку протокола QUIC

Проверьте, не включена ли в Chrome поддержка протокола QUIC (Quick UDP Internet Connections). Протокол QUIC позволяет гораздо быстрее открыть соединение и согласовать все параметры TLS (HTTPs) при подключении к сайту. Однако в некоторых случая он может вызывать проблемы с SSL подключениями. Попробуйте отключить QUIC:

Включите поддержку протоколов TLS и SSL

И самый последний пункт – скорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Старые версии протоколов TLS и SSL отключены не по простой прихоти разработчиков, а в связи с наличием большого количества уязвимостей, которые позволяют злоумышленникам перехватить ваши данные в HTTPS трафике и даже видоизменить их. Бездумное включение старых протоколов существенно снижает вашу безопасность в Интернете, поэтому к этому способу нужно прибегать в последнюю очередь, если все другое точно не помогло.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется меньшая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения.

Чтобы включить старые версии протоколов SSL/TLS (еще раз отмечаю – это небезопасно):

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

Источник

Вход в личный кабинет

Автор

Сообщение

При попытке входа в личный кабинет выдает следующее:
Этот сайт не может обеспечить безопасное соединение.
На сайте private.bus.gov.ru используется неподдерживаемый протокол.
Протокол не поддерживается. Клиент и сервер используют разные версии протокола SSL или разные наборы шифров.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
КАК это победить?

Добрый день.
Убедитесь, что рабочее место пользователя настроено для работы с Закрытой частью в соответствии с разделом 3. ПОДГОТОВКА К РАБОТЕ документа «Руководство пользователя. Общее».

Руководства пользователей размещены и доступны для загрузки на Официальном сайте в разделе «Документы» – «Руководства пользователей»: http://bus.gov.ru/documents?section=2031

В случае, если проблема с отображением сообщения «Невозможно отобразить страницу» стала возникать на ранее настроенном рабочем месте, проблема может вызвана установкой обновлений безопасности от октября 2015 года для ОС Windows через Windows Update.
Также проблема может возникать при установке обновлений 2017 года для ОС Windows. В этом случае необходимо переустановить КриптоПРО.
Попробуйте выполнить следующие действия с правами администратора:
— выбрать в меню «Пуск» пункт «Выполнить».
— последовательно выполнить две команды:

regsvr32 /u cpcng
regsvr32 cpcng

Альтернативно, можно попробовать переустановить КриптоПро CSP.

Другие возможные причины возникновения ошибки «Невозможно отобразить страницу» в Internet Explorer при доступе в закрытую часть Официального сайта:

1) Не включено использование протоколов шифрования SSLTLS.

2) Закрыт TCP-порт 443, необходимый для передачи https-трафика с SSLTLS-шифрованием, либо закрыт доступ к узлу Официального сайта в сети Интернет.

Проверить открыт ли TCP-порт 443 на рабочем месте можно, перейдя по ссылке: https://gmail.com/

Для проверки доступности узла bus.gov.ru через 443 порт можно воспользоваться утилитой командной строки telnet для операционных систем Windows. Для этого необходимо:

— выбрать в меню «Пуск» пункт «Выполнить»;
— в окне «Запуск программы» ввести команду «cmd» и нажать «ОК»;
— в командной строке Windows ввести «telnet bus.gov.ru 443» и нажать Enter.

Если подключение через этот порт с узлом установить не удалось, отобразится сообщение о сбое подключения («Не удалось открыть порт подключения к этому узлу»), в противном случае откроется telnet-подключение (окно командной строки очистится, отобразится курсор ввода).

Действия необходимые для открытия доступа зависят от способа организации интернет-подключения и в этом случае необходимо обратиться к системному администратору организации.

3) Не установлен корневой сертификат Удостоверяющего центра Федерального казначейства или стороннего аккредитованного удостоверяющего центра.

Корневые сертификаты других УЦ должны быть доступны на сайте этого УЦ (сайте организации-владельца УЦ).

Установка корневых сертификатов производится следующим образом:

— Открыть сохраненный сертификат и нажать «Установить сертификат»;
— в появившемся окне мастера импорта сертификатов нажать кнопку «Далее»;
— в следующем окне необходимо выбрать пункт «Поместить сертификат в следующее хранилище» и нажать кнопку «Обзор» для выбора хранилища;
— выбрать хранилище «Доверенные корневые центры сертификации» и нажать кнопку «OK»;
— завершить установку сертификата, нажав кнопку «Готово».

4) Не установлено или некорректно установлено ПО СКЗИ КриптоПро CSP.

Выполнение односторонней аутентификации с помощью КриптоПро CSP можно проверить на ресурсах компании ООО «КРИПТО ПРО».

Для проверки односторонней аутентификации необходимо перейти по ссылке: https://cpca.cryptopro.ru/

Если отобразится сообщение «Internet Explorer не может отобразить эту страницу», установка ПО КриптоПро CSP, возможно, нарушена, либо его работу блокирует стороннее ПО:

— антивирусное программное обеспечение;
— вредоносное программное обеспечение, вирусы или последствия их работы;
— другие криптопровайдеры (ЛИССИ-CSP, VipNET CSP и подобные).

Если в результате перехода по ссылке https://cpca.cryptopro.ru/ отобразится страница IE c сообщением «Ошибка в сертификате безопасности этого веб-узла.» (необходимо нажать «Продолжить открытие этого веб-узла») или сразу страница УЦ ООО «КРИПТО-ПРО» («Добро пожаловать в Удостоверяющий центр ООО «КРИПТО-ПРО»»), то работа КриптоПро CSP выполняется корректно.

Установку КриптоПро CSP необходимо производить, используя последние сборки дистрибутива, необходимой версии КриптоПро CSP (актуальной версией является 4.0 и выше), предварительно отключив ПО антивирусной и проактивной защиты (т.к. их использование может приводить к некорректной установке КриптоПро CSP).

5) Истек срок лицензии КриптоПро CSP.

Срок использования демонстрационной версии КриптоПро CSP ограничен 90 днями с момента установки.

В случае, если пробный период истек, при попытке выполнения действий, использующих криптопровайдер КриптоПро CSP отображается сообщение об истечении срока действия лицензии.

Для версии 4.0 на этой вкладке необходимо нажать кнопку «Ввод лицензии». В результате откроется диалоговое окно мастера установки КриптоПро «Сведения о пользователе» с полем для ввода ключа лицензии.

6) Браузер Internet Explorer не принимает серверный сертификат узла bus.gov.ru.

7) Необходимо в настройках браузера, на вкладке «Дополнительно», в разделе «Безопасность» снять чек-бокс «Включить фильтр SmartScreen».

В случае повторного появления ошибки, необходимо обратиться в службу технической поддержки Официального сайта ГМУ приложив скриншоты выполнения рекомендаций и скриншоты ошибки с актуальной датой.

Источник

Многие пользователи eruz.zakupki.gov.ru стали сталкиваться с проблемами входа на страницу крупнейшего ресурса. Площадка блокируется и зайти на сайт физически не представляется возможным. В этой статье мы рассмотрим ответ на вопрос о том, что можно предпринять, когда на сайте eruz.zakupki.gov.ru отображается проблема «Используется неподдерживаемый протокол».

Что означает сообщение «На сайте используется неподдерживаемый протокол»

С указанной проблемой сталкиваются при использовании стандартных браузеров (Хром, Яндекс, Опера и др). После попытки перехода на экране отображается надпись ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Из-за этого блокируется площадка.

Основной причиной принято считать невозможность установления безопасного соединения. Согласно стандартам, соединение устанавливается при помощи сертификатов SSL. Они призваны обеспечить безопасность передаваемых данных. Google обязует каждого владельца сайта прописать стандартный протокол безопасности. И если с ним возникают проблемы, производится блокировка ресурса, а затем на экране ПК появляется надпись «На сайте используется неподдерживаемый протокол».

Чаще всего данная проблема появляется на сайтах:

• https://lk.zakupki.gov.ru/
• http://lkul.nalog.ru/
• http://lkipgost2.nalog.ru/
• http://ssl.budgetplan.minfin.ru/
• https://bus.gov.ru/

Что делать, если на сайте обнаружен неподдерживаемый протокол

А теперь давайте рассмотрим, каким образом можно решить указанную проблему. Существует несколько ключевых настроек, которые блокируют разного рода сайты и сервисы.

Опция TLS 1.3

В адресной строке браузера введите chrome://flags. В верхней части будет расположена строка поиска, наберите TLS 1.3.

Обратите внимание: менять настройки нужно только в том случае, если опция отключена (Disabled). Если же отображается значения Enabled или Default, пользователю нет надобности вносить какие-либо изменения.

Активация всех протоколов

Владелец ПК может собственноручно активировать все протоколы безопасности, даже если они устарели. Для этого:

1. Нажмите комбинацию Win+R.
2. В открывшемся окне введите inetcpl.cpl.
   
3. Перейдите во вкладку «Дополнительно», и задайте уровень безопасности соединения со всеми версиями SSL и TLS. Нажмите на клавишу «Применить».
   
4. После произведенных действий перезапустите браузер.

Очистка SSL

Для корректной очистки SSL потребуется вновь нажать на сочетание клавиш Win+R, и ввести inetcpl.cpl. Затем перейдите в раздел «Содержание». После этого выберите «Очистить SSL» и перезагрузите ваш браузер.

Сбросить DNS

Для того, чтобы очистить кэш сопоставителя DNS нужно запустить командную строку, нажмите комбинацию клавиш Win+R, затем наберите cmd, в консоли напишите ipconfig /flushdns и нажмите на Enter.

Незашифрованная версия

Пользователь может вручную отключить шифрование. Для этого в верхней строке нужно внести корректировки в адрес сайта. Устраните символ «S» с https.

Контроль доступных расширений

В отдельных случаях проблема с соединением может быть вызвана действиями пользователя. Сетевые расширения для браузера могут блокировать поступающие сигналы со стороны веб-навигаторов. Откройте настройки браузера, перейдите в «Расширения» и найдите сомнительные сетевые расширения.

Отключение QUIC протокола

Для отключения QUIC протокола потребуется произвести следующее:

1. В верхней строке браузера введите chrome://flags/.
2. В открывшемся меню найдите Experimental QUIC protocol.
3. Вам потребуется переключить статус на Disabled.
   
4. Внизу появится клавиша Relaunch. Нажмите на нее.

Вирусы

Иногда пользователь может стать жертвой злоумышленников. Чтобы выявить вредоносные файлы, активируйте установленный антивирус. После проведенной проверки перезагрузите устройство.

Очистка кэша и куки

Попробуйте очистить кэш и куки. Перейдите в «Настройки» установленного браузера, затем нужно перейти в раздел «Приватность и защита» и удалите историю поиска.

Отключите антивирус

В отдельных случаях установленный антивирус может блокировать доступ к сайту. Запустите антивирус (показано на примере 360 Total Security), на главной странице найдите пункт «Защита». Найдите кнопку «Отключить защиту».

Сброс настроек браузера

Если ничего не помогло, попробуйте сбросить настройки браузера. Для этого:

1. Запустите браузер и введите в верхней строке поиска chrome://settings/.
2. Найдите раздел «Дополнительно».
3. Тапните по кнопке «Сброс настроек и удаление вредоносного ПО».
4. Нажмите на клавишу «Восстановление настроек по умолчанию».
   

Заключение

Основная причина блокировки сайта eruz.zakupki.gov.ru — неправильно настроенные протоколы веб-сайта. Это случается из-за особенностей браузера при работе с SSL-сертификатами. В статье были описаны самые распространенные причины ошибок, проверьте корректность работы браузера согласно приведенным советам.