zakupki.gov.ru

[reshta]

Здравствуйте, уважаемые гуру!
Снова отвалились закупки с той же ошибкой, как всегда "на сайте используется неподдерживаемый протокол"
При этом в прошлом месяце всё работало, все сертификаты и плагины стоят, крипто-про работает, вход на Госуслуги по ЭЦП работает, СБИС работает.
И никто ничего не трогал.
Переустанавливал криптопро, cades, gosuslugi , проверил ссылки на chromium и сертификаты (они не изменились).
Система Alt p10, Криптопро 5.0.11455, cromium-gost 125.0.6422.112
Помогите понять в чём дело?

[asy]

Снова отвалились закупки с той же ошибкой, как всегда "на сайте используется неподдерживаемый протокол"
...
Помогите понять в чём дело?

Начинать надо с оветов на вопросы "какой именно протокол" и "кто выдал ошибку". Судя по построению фразы, наверное, ошибку выдал браузер. КАкой протокол он посчитал неподдерживаемым - вопрос к нему.

[reshta]

вопросы "какой именно протокол" и "кто выдал ошибку"

Это был Хромиум - гост, протокол, вероятно один из TCL, какой именно, не знаю, но Хромиум-гост должен поддерживать все.
Весь интернет забит ответами на этот вопрос, однако все рекомендации я выполнил. Результат отрицательный.
Как понять, что именно не работает?

[tarasov-it1]

Дело в том, что Chromium-gost в альтовском репозитории сильно отстаёт от актуальной версии. Можно использовать Яндекс-браузер

[asy]

вопросы "какой именно протокол" и "кто выдал ошибку"

Это был Хромиум - гост, протокол, вероятно один из TCL,
...
Как понять, что именно не работает?

Надо как-то более подробно посмотреть, на что ругается Хромиум. Можно попробовать набрать в поисковике "Хромиум подробный журнал" и посмотреть, что напишут. Вдруг что-то можно включить, а потом подробно посмотреть, а не это "вероятно один из TCL".

[reshta]

Надо как-то более подробно посмотреть, на что ругается Хромиум. Можно попробовать набрать в поисковике "Хромиум подробный журнал" и посмотреть, что напишут. Вдруг что-то можно включить, а потом подробно посмотреть, а не это "вероятно один из TCL".

Как раз писал ответ, но Вы меня опередили. В этом направлении поработаю. TLS, конечно же

[kessys]

р10-р10.1 происходили замены сертификатов на российские, есть пакет в репе. Найдите видео обновления там точно сказано какой пакет.
ca-certificates

[NickM]

Снова отвалились закупки с той же ошибкой, как всегда "на сайте используется неподдерживаемый протокол"

Перейдите по адресу https://gost.cryptopro.ru/ , покажите с каким результатом откроется страница и покажите сертификат сайта.

Не исключено, что происходит подмена сертификата каким-либо сторонним ПО.

[reshta]

Перейдите по адресу https://gost.cryptopro.ru/ , покажите с каким результатом откроется страница и покажите сертификат сайта.

Не исключено, что происходит подмена сертификата каким-либо сторонним ПО.

Ответ от gost.criptopro.ru

Спойлер

gost.cryptopro.ru
ssl_protocol   TLSv1.2
ssl_cipher   ECDHE-RSA-AES256-GCM-SHA384
ssl_ciphers   0x8a8a:0x1301:0x1302:0x1303:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA
ssl_client_verify   NONE
ssl_server_name   gost.cryptopro.ru
http2   h2
php_random   03CC8E0C7F513799

сертификат сайта gost.criptopro.ru

Спойлер

Общее имя (CN)   *.cryptopro.ru
Организация (O)   Crypto-Pro LLC
Подразделение (OU)   <Не является частью сертификата>
Общее имя (CN)   GlobalSign RSA OV SSL CA 2018
Организация (O)   GlobalSign nv-sa
Подразделение (OU)   <Не является частью сертификата>
Дата выдачи   понедельник, 25 марта 2024 г. в 17:38:39
Срок действия   суббота, 26 апреля 2025 г. в 17:38:38
Сертификат   cd34c3f0c48decab85b17c1d4410bd819b5577930009bdd9dbb191d2a5415361
Открытый ключ   c1b72bae25aa6cb63b3a4237ae9737c52fc3404c4ee5cbd20b38620ee3b0a74f

При этом установлено соединение с использованием ssl_protocol   TLSv1.2, а на закупках раньше использовался 1.1 но это было несколько лет назад. Не знаю что с этим делать? Можно ли как-то определить что требуют закупки?

[reshta]

р10-р10.1 происходили замены сертификатов на российские, есть пакет в репе. Найдите видео обновления там точно сказано какой пакет.
ca-certificates

нашел два похожих пакета,

Спойлер

i   ca-certificates                                                                                                        - Common CA Certificates                                                                                                           
i   ca-certificates-digital.gov.ru                                                                                         - Russian Trusted Root CA   

обновил систему, переустановил оба пакета, перезагрузил. Не помогло

Спойлер

Этот сайт не может обеспечить безопасное соединениеНа сайте eruz.zakupki.gov.ru используется неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Неподдерживаемый протокол
Клиент и сервер поддерживают разные версии протокола SSL или набора шифров.

Отказ происходит в момент перехода на esia.gosuslugi.ru для авторизации в лк участника закупок. esia не открывается.
В нормальной ситуации после клика на вход в ЛК на zakupki.gov.ru, появляется предложение выбрать личный сертификат вот такое.
Скриншот нормального входа
https://disk.yandex.ru/i/fNEzLR9jxoPmyA
После этого происходит переход в esia, и там снова предлагается выбрать подпись, ввести пин и так далее.

[NickM]

Ответ от gost.cryptopro.ru

У Вас по какой-то причине не работает ГОСТ TLS в указанном браузере.

Попробуйте воспользоваться "Яндекс Браузер", повторно открыть ссылку и сравнить результат.

[reshta]

Попробуйте воспользоваться "Яндекс Браузер", повторно открыть ссылку и сравнить результат.

при попытке подключиться к gost.criptopro.ru из под Yandex браузера:

Спойлер

Невозможно установить безопасное соединение по ГОСТ
Злоумышленники могут пытаться похитить ваши данные с сайта gost.cryptopro.ru (например, пароли, сообщения или номера банковских карт). Подробнее

net::ERR_CERT_AUTHORITY_INVALID
Сервер не может подтвердить связь с доменом gost.cryptopro.ru. Его сертификат безопасности не принимается операционной системой вашего устройства. Возможно, проблема связана с настройками сервера или действиями злоумышленников, которые пытаются перехватить данные.

но при этом сертификат сайта такой:

Спойлер

Общее имя (ЦС)   Веб-сервер ООО "КРИПТО-ПРО"
Организация   ООО "КРИПТО-ПРО"
Подразделение   <Не является частью сертификата>
Общее имя (ЦС)   CryptoPro TLS CA
Организация   LLC "Crypto-Pro"
Подразделение   <Не является частью сертификата>
Дата выдачи   вторник, 26 марта 2024 г. в 16:47:39
Срок действия истекает   четверг, 26 июня 2025 г. в 16:47:39
Сертификат   238eee4cea1c8e661747a1decf38d52bbcfab52cc6daede664979ccf839d05af
Открытый ключ   000ee70749f8b194080eaf99215a82789bee065c6c29cce80784f1761bcea168

добавил "в исключения", вот ответ от сайта gost:

Спойлер

gost.cryptopro.ru
ssl_protocol   TLSv1.2
ssl_cipher   GOST2012-GOST8912-GOST8912 (TLS_GOSTR341112_256_WITH_28147_CNT_IMIT)
ssl_ciphers   GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89
ssl_client_verify   NONE
ssl_server_name   gost.cryptopro.ru
php_random   6A60405B6E41C65F

Вижу что соединение установлено с использованием ГОСТ шифрования, но что значит это?

Спойлер

Сервер не может подтвердить связь с доменом gost.cryptopro.ru. Его сертификат безопасности не принимается операционной системой вашего устройства. Возможно, проблема связана с настройками сервера ...

[Skull]

Похоже, зависит от провайдера. Дома у меня gost.cryptopro.ru выдаёт верный протокол, а на работе – нет.

[kessys]

Похоже, зависит от провайдера. Дома у меня gost.cryptopro.ru выдаёт верный протокол, а на работе – нет.

Уточните наличие cryptopro, так как из-за него двигается kwallet

[reshta]

Похоже, зависит от провайдера. Дома у меня gost.cryptopro.ru выдаёт верный протокол, а на работе – нет.

Так вроде сертификат сайта верный? Или неверный? Может он подменённый? Как убедиться? Дома РТК, на работе МТС, из дома хожу на работу по VPN. Проверил. Поведение одинаковое.
И ещё, один момент. Под win11 работает.