New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Виснет интерфейс (при долгой проверке цепочки сертификатов) #71
Comments
Лучший вариант получить проблему на чистой системе и рассказать как её воспроизвести. Пока что, такие проблемы как правило связаны с установкой сторонних программ и дополнительных защит.
Да, подгрузка CRL возможно зависает.
Это странно, лучше исключить браузер и попробовать утилиту из состава КриптоПро CSP:
Проверить, что в обоих вариантах: А также обратить внимание на результат и время проверки цепочки сертификатов.
С релиза 100.0.4896.88 появился ключ
|
Попробовал на чистой ОС. Установлен только браузер, крипто про и плагин кадесм. Доступ до CRL по 80 порту есть прямой Казначейство России Доступ до https://fzs.roskazna.ru/ имеется прямой, но до https://gost.cryptopro.ru/ только через прокси. Если принудительно включить msspi то сайт выдат ошибку NET::ERR_CERT_UNABLE_TO_CHECK_REVOCATION. Такой вопрос, нужен ли прямой доступ до сервисов\сайтов криптопро для работы по ГОСТ TLS? Может в этом проблема, по трафику система делает обращения к ресурсам Криптопро. csptest -tlsc -v -server fzs.roskazna.ru - соответсвенно успех Скриншоты приложил. |
Сейчас ради проверки, открыли полный доступ в интернет. Все отркрылось быстро, https://gost.cryptopro.ru/ по госту без ошибок открылся. |
Ожидаемо. Как сказано выше:
Никаких дополнительных вызовов и дополнительного доступа требоваться не должно. -- Сейчас видно только одну проблему -- виснет интерфейс, с этим попробуем разобраться. То что при отсутствии доступа проверка происходит медленно, крайне странно, так как если доступа нет, то должна возвращаться быстрая ошибка. Видимо у вас в системе блокировка доступа работает по-другому, а именно она создаёт видимость доступа, без реального доступа, из-за чего возникает продолжительный таймаут на попытку актуализации списков отзыва. |
Отключили прокси в браузере и с прямым доступом до crl.roskazna.ru [95.167.245.118] и fzs.roskazna.ru [94.25.27.71]. В принципе минута на запуск терпимо, интересно это из-за сайта или в бразуере дело. |
Спасибо, но пока непонятно, попробуем воспроизвести, понять и починить. |
Спасибо! |
Нашли проблему, как вы и говорили был псевдодоступ до списков отзывов промежуточного сертификата, из-за которого все тормозило. Как доступ сделали нормально, все быстро открывается без проблем. |
Это очень хорошо, но вот эту проблему всё таки хотелось бы починить в рамках этого тикета:
|
Исправлено с этого релиза: https://github.com/deemru/Chromium-Gost/releases/tag/115.0.5790.114 |
Добрый день, сталкиваемся с проблемами при работе с https://fzs.roskazna.ru/ через браузер Chromium-Gost.
Терминальный Сервер Windows server 2012r2
КриптоПРО CSP 4.0.9944
КриптоПро ЭЦП Browser plug-in 2.0.14816
Chromium-gost 109.0.5414.139 (пробовали 114.0.5735.198 на winserver 2016 тоже самое)
Браузер установлен в систему с ключами --system-level --install
Суть проблемы - при запуске браузера, все работает корректно, но стоит перейти на сайт https://fzs.roskazna.ru/ и в логе windows появялется ошибка (Произошла неустранимая ошибка при создании учетных данных SSL client. Внутреннее состояние ошибки: 10011.), она кстати возникает и при запуске браузера.
В итоге страница не загружается и появляется ошибка:
Не удается получить доступ к сайту Веб-страница по адресу https://fzs.roskazna.ru/, возможно, временно недоступна или постоянно перемещена по новому адресу.
ERR_CONNECTION_ABORTED
Затем секунду-две ERR_FAILED и только потом сайт корректно загружается. Весь этот процесс занимает около 3-х минут. Во время "прогрузки" казны другие обычные сайты (яндекс и тд) тоже не загружаются, но как только казна загружается все снова начинает корректно работать.
После прогрузки казны, сертификат с шифрованием ГОСТ Р 34.11-2012/34.10-2012 256 бит
Есть подозрение что это связано с msspi или "простукиванием" протоколов.
Пробовали chromium-gost-49.0.2623.112-win32-gold, с ним все быстро загружается, но у пользователей сайт fzs.roskazna.ru не видит ЭЦП с сертификатом. На версиях 109.0.5414.139 и 114.0.5735.198 после трехминутного ожидания прогрузки все корректно работает, но ожидание работу сильно затрудняет.
Пробовали КриптоПро 5 и Windows Server 2016, проблема сохраняется.
При переходе на https://gost.cryptopro.ru/ Алгоритм подписи sha256RSA
Есть ли какое-то решение проблемы или в какую сторону копать? Можно ли включить принудительно протоколы ГОСТ, чтобы не было переключений на Boring SSL для определенных сайтов, т.е сайт отметить поддерживающим алгоритмы ГОСТ вручную? Или настройки КриптоПРО CSP нужно выставить корректные?
Сеть у нас с ограниченным доступом в интернет, может не хватает каких-то доступов для корректной работы механизмов?
The text was updated successfully, but these errors were encountered: