CRM-система для УК и ТСЖ

Работа в ГИС ЖКХ по ГОСТу 2001

Сообщение
Автор
two_oceans
Ветеран
Сообщений: 546
Зарегистрирован: 30 сен 2016, 17:17
Благодарил (а): 439 раза
Поблагодарили: 415 раза

Работа в ГИС ЖКХ по ГОСТу 2001

#1 Сообщение two_oceans » 12 окт 2016, 07:25

Сообщение системы безопасности ГИС ЖКХ
Ваш браузер не поддерживает протокол HTTPS с шифрованием по ГОСТ Р 34.10-2001. Для обеспечения поддержки криптографических стандартов ГОСТ установите один из сертифицированных ФСБ России криптопровайдеров. Затем, добавьте сертификат УЦ ГУЦв список доверенных корневых центров сертификации в соответствии с эксплуатационной документацией на используемый криптопровайдер. После чего, при помощи поддерживаемого установленным криптопровайдером браузера, Вы сможете получить доступ к порталу ГИС ЖКХ по защищенному каналу связи.
Вы можете продолжить работу с ГИС ЖКХ, используя несертифицированные ФСБ России средства криптографической защиты информации.
Я согласен продолжить работу по незащищенным каналам связи

После согласия можно продолжать, но что-то мне это не нравится

Сообщение по несоответсвие шифрования ГОСТу кто-нибудь "победил"? Пока ставим галочку и работаем, НО.. На сайт налоговой по приему заявлений о изменении ЕГРЮЛ с того же компьютера заходит по ГОСТу, при этом спрашивает сертификат пользователя. В налоговую заходит с Интернет Эксплорера, с КриптоПро Фокса тоже доходит до запроса сертификата, с OpenSSL подключается и тоже просит сертификаты.
Не по теме
Дальше не проверял так как надо сертификат в криптофокс импортировать или в формат OpenSSL ключи и сертификат переводить - это отдельная песня, так как КриптоПро штатными средствами в совместимые форматы не сохраняет. Точнее сохраняет, но так "замечательно" что OpenSSL не может прочитать файл, в обратную сторону тоже самое. Другая российская компания сделала утилиту для экспорта ключа и сертификата, но с определенной версии КриптоПро утилита тоже не работает, так что остается метод почти хакерский - извлечение из закрытого контейнера.

Вернемся к ГИС. Пробовал с разных браузеров (и ИЕ как в инструкции и прочие), прописывал в доверенные узлы (gosuslugi.ru и cо * и c esia и c dom, и http и https), ставил сертификат ГУЦ (уже кстати установлен был), обновил Windows и ИЕ до последней версии (и патч к ней), включил по инструкции в ИЕ все ActiveX, TLS, доступ к данным за пределами домена, отключил блокирование всплывающих окон и кукисов. Пробовал входить по паролю, пробовал входить по ЭЦП - все тоже сообщение. Windows 7, КриптоПро 3.6 R3. Конкретно R3 в инструкции нет, на других компьютерах есть и R2 (на налоговую с R2 не заходит) и R4, результат тот же.

С OpenSSL еще интереснее - если указываю подключение по ГОСТ 2001 (без разницы по встроенной реализации или через КриптоПро), то dom.gosuslugi.ru отклоняет соединение (ошибка 40), даже не спрашивая сертификата. Поискал в интернете, в числе множества возможных причин - отсутствие сертификата запрашиваемого шифрования на сервере (!). В связи с этим у меня сомнение, что с ГИС ЖКХ по адресу dom.gosuslugi.ru в принципе возможно работать по ГОСТ 2001. Или соединение должно установиться на ЕСИА и плавно переехать на ГИС ЖКХ? Отловить адрес с которого перенаправляет на сообщение о несоответствии шифрования тоже не получилось, прям хоть подключайся по старому модему на 33600, чтобы увидеть...

В итоге, вопрос: если кто избавился от сообщения, то расскажите пожалуйста что ещё сделали? спрашивает ли сертификат пользователя? по какому адресу в итоге работает закрытая часть? какой сертификат сервера при шифровании по ГОСТ 2001?
Или всё-таки это "особое ограничение пробной версии" - сообщение повесили, ничего не работает и на этом пока все? Как в анекдоте "как программисты дом строили". (Теперь-то мне ясно, что это dom.gosuslugi.ru).

Леший
Ветеран
Сообщений: 3006
Зарегистрирован: 06 окт 2015, 07:03
Благодарил (а): 1305 раза
Поблагодарили: 1849 раза

Работа в ГИС ЖКХ по ГОСТу 2001

#2 Сообщение Леший » 12 окт 2016, 08:44

Понял, что победить это - дело принципа.Интересно,что на это скажет техподдержка? Если системой предоставлена возможность передачи данных без шифрования, то стоит ли ломать мозг над этим.Тем более,все эти криптопровайдеры и прочее не бесплатно. Если кто-то ломанет ГИС, то это проблема ГИСа,а не поставщиков информации.

Кот Дворовый
Активист
Сообщений: 212
Возраст: 28
Зарегистрирован: 14 июн 2015, 18:36
Откуда: Сибирь
Благодарил (а): 285 раза
Поблагодарили: 97 раза

Работа в ГИС ЖКХ по ГОСТу 2001

#3 Сообщение Кот Дворовый » 12 окт 2016, 09:31

Я захожу через Internet Explorer. Сайт dom.gosuslugi.ru добавлен в доверенные сайты, сертификаты удостоверяющего центра и Головного удостоверяющего центра добавлены в доверенные корневые центры. при входе выскакивает только запрос на разрешение действий. Все инструкции как это подключить есть в ПДФ. А в Яндексе все равно ругается на шифрование.
Вложения
Организация защиты передаваемой в ГИС ЖКХ информации.pdf
(456.73 KiB) Загружено 235 раз
2016-10-12 13-22-01 Предупреждение о безопасности.png
(10.15 KiB) Еще не загружено

two_oceans
Ветеран
Сообщений: 546
Зарегистрирован: 30 сен 2016, 17:17
Благодарил (а): 439 раза
Поблагодарили: 415 раза

Работа в ГИС ЖКХ по ГОСТу 2001

#4 Сообщение two_oceans » 12 окт 2016, 13:00

при входе выскакивает только запрос на разрешение действий. Все инструкции как это подключить есть в ПДФ.
Спасибо. По оформлению окна похоже, что у меня другая версия Windows. Собственно, именно по этой инструкции я и делал, плюс по инструкции для сайта налоговой, однако у меня запрос на разрешение действий не появляется. Разрешение появляется до входа на ЕСИА или после? Если ДО, то видимо просто у меня безопасность выставлена ниже (может быть именно настройка "Доступ к данным за пределами домена: Включить"). Главное, как я понял сообщения про ФСБ у Вас не показывается?
А в Яндексе все равно ругается на шифрование.
Да было что-то такое... Opera 12.17 обновил до 12.18 и настроил чтобы представлялась Яндекс.Браузером :D В ИнтернетЭксплорере после всех манипуляций с сертификатами и обновлений Windows доверяет Яндексу, какой именно сертификат это исправил навскидку не вспомню, ругается только на SilverLight.
Понял, что победить это - дело принципа.Интересно,что на это скажет техподдержка?
Да, принципа, обидно что у кого-то работает, а я чем хуже? :D Плюс чтоб меньше нажимать при входе. Плюс безопасность - об этом ниже. Техподдержка.. Это смотря чья техподдержка.. В нашей организации я и есть техподдержка и безопасность. В техподдержку ГИС ЖКХ я конечно напишу, но что-то подозреваю они пришлют ссылку на инструкцию. Планирую, если не выйдет, дозвонится до них темной субботней ночью, даром что ли про круглосуточную и без выходных работу спамят каждую неделю.
Тем более,все эти криптопровайдеры и прочее не бесплатно.
Согласен, если используете только ГИС, так оно и есть. Но иногда это наоборот экономит деньги и время - например, ряд документов в электронном виде в случае подписи ЭЦП (то же заявление на изменения в ЕГРЮЛ) не нужно заверять нотариально и отправлять обычной почтой.

Отправлено спустя 23 минуты 26 секунды:
Если системой предоставлена возможность передачи данных без шифрования, то стоит ли ломать мозг над этим.
Тут наверно нужно уточнить, про без шифрования никто не говорит - шифрование есть, просто не по российскому алгоритму и относительно хлипкое - 128 бит (замечу, что у текущих криптопровайдеров ГОСТ 256 и 512 бит в зависимости от режима). И к этому весьма рискованно относиться легкомысленно, наверно просто не представляете насколько хрупкое доверие в Интернете.
Вкратце.. Если ключ сервера подберут, то теоретически проблемы могут быть гораздо серьезнее, например, станет возможно подменить сайт. Маловероятно конечно, что подделают такую махину как ГИС, но наверно достаточно подделать вход и несколько часто используемых страниц. Сайты социальных сетей так подменяют сплошь и рядом, в том числе есть вирусы специально изменяющие файл hosts или данные ответа DNS. В этом случае только отсутствие сертификата помогает отличить подделку от каприза владельцев социальной сети, решивших в очередной поменять кнопки справа и кнопки слева.
В случае подмены ГИС/ЕСИА Вам может грозить, не только то что Вы собственными руками отправите пароль на Госуслуги совершенно посторонним людям и тем самым дадите им доступ ко всем персональным и служебным данным. Если из-за этого через Ваш аккаунт утекут персональные данные клиентов, думаете, что сможете свалить ответственность на ГИС? Если от Вашего имени удалят данные в ГИС которые Вы внесли, кому выпишут штраф? Или еще замечательнее с тем же результатом - внесете данные на совершенно левый сайт-подделку, там бодро отработают ваш шаблон в свою базу, покажут Вам что все окей, а в ГИС будет пустая страничка. Так как к ГИС в этом случае нет подключения от злоумышленников, то служба безопасности ГИС и ухом не поведет, а Вам будет очень сложно оправдаться. Да даже если и поведет и отзовет скомпрометированный сертификат, после установки корневых сертификатов УЦ, обновляете ли вы списки отзыва регулярно или оставляете это на усмотрение браузера?
В общем, некоторая степень паранойи в этом вопросе не помешает - или у Вас нет завистников, конкурентов, недоброжелателей? Фактически, наиболее безопасно передавать данные не через Интернет, а интегрировавшись по каналу VipNet. Но, наверно все согласятся, что это необоснованно дорого вообще и в особенности из-за системы в которую данные вносят чтобы не было штрафов, а не по реальной потребности. Настолько дорого и долго, что в сравнении КриптоПро и ЭЦП уже кажутся почти что бесплатными и мгновенно изготовлямыми. Поэтому, разумный компромисс - правильная настройка криптопровайдера, который уже купили (без ЭЦП руководителя организацию не зарегистрируешь -да, раньше органы госвласти могли регистрироваться через Минкомсвязь, сейчас эту форму заявки удалили - всё по ЭЦП). А чтобы меньше ломать голову - как раз есть форум для обмена опытом.

Аватар пользователя
chist
Новичок
Сообщений: 47
Возраст: 36
Зарегистрирован: 14 дек 2014, 13:32
Откуда: Новосибирск/Новокузнецк
Благодарил (а): 4 раза
Поблагодарили: 7 раза
Контактная информация:

Работа в ГИС ЖКХ по ГОСТу 2001

#5 Сообщение chist » 25 окт 2017, 12:02

WhatsApp Image 2017-10-25 at 14.36.00.jpeg


Инструкция по настройке браузера под этот гост не спасает, написал в сапорт, говорят ждите 6 дней.
2 года назад было однако легче 8(

two_oceans
Ветеран
Сообщений: 546
Зарегистрирован: 30 сен 2016, 17:17
Благодарил (а): 439 раза
Поблагодарили: 415 раза

Работа в ГИС ЖКХ по ГОСТу 2001

#6 Сообщение two_oceans » 26 окт 2017, 06:17

Аналогично. Для справки - какая у Вас версия КриптоПро? У нас с 3.7.7491 и 3.6.7777 выдает сообщение. Есть подозрение (уже высказывал в другой теме, но пусть и тут будет), что имеется в виду гост-2012 и нужна КриптоПро 4.0, так как скриншоты тех, у кого сообщения не появляется были с windows 8.1 и 10, на которые 3.6 не ставится, зато ставится криптопро 4.0, которая поддерживает гост-2012. Собственно сертификаты ФСБ на криптопро 3.6 истекают в первом квартале 2018 года (за исключением исполнений 3,5, которые явно не наш случай)

Аватар пользователя
chist
Новичок
Сообщений: 47
Возраст: 36
Зарегистрирован: 14 дек 2014, 13:32
Откуда: Новосибирск/Новокузнецк
Благодарил (а): 4 раза
Поблагодарили: 7 раза
Контактная информация:

Работа в ГИС ЖКХ по ГОСТу 2001

#7 Сообщение chist » 26 окт 2017, 10:10

У меня изначально 4 версия криптопро ибо на физлицо, а теперь и для ООО начал пользоваться в начале сентября, в настройках гост 34.10-2001 включён.
Сапорт ГИС ЖКХ убедился в версии IE, наличия сертификата ГУЦ. Сейчас просят добавить/удалить из доверенных их домены.
Пока что безрезультатно 8(

Аватар пользователя
chist
Новичок
Сообщений: 47
Возраст: 36
Зарегистрирован: 14 дек 2014, 13:32
Откуда: Новосибирск/Новокузнецк
Благодарил (а): 4 раза
Поблагодарили: 7 раза
Контактная информация:

Работа в ГИС ЖКХ по ГОСТу 2001

#8 Сообщение chist » 04 ноя 2017, 13:43

Выяснилось, в моём случае Kaspersy Antivirus Free блокировал нах шифрованный трафик. Это на форуме криптопро уже рекомендации были, ибо аваст фрии и каспер фрии блокировали ГОСТ TSL.

Но в регистрации на ГИС ЖКХ мне это не помогло, выползло окошко, мол надо быть администратором в гис жкх (а то я не знаю)))))

Сейчас сапортп роверяет мой ИНН во выписки из егрюл, В ЛК есиа, и выданные права от организации.

Sergey_P
Ветеран
Сообщений: 7026
Возраст: 36
Зарегистрирован: 11 ноя 2015, 16:53
Откуда: Костромская губерния
Благодарил (а): 607 раза
Поблагодарили: 3707 раза

Работа в ГИС ЖКХ по ГОСТу 2001

#9 Сообщение Sergey_P » 04 ноя 2017, 14:34

кстати случайно заметил, на едже 10-ки в ГИС заходит без всяких крипто и окошко не показывает.

Vitaly74
Новичок
Сообщений: 4
Зарегистрирован: 19 янв 2018, 09:19

Работа в ГИС ЖКХ по ГОСТу 2001

#10 Сообщение Vitaly74 » 18 июн 2018, 08:39

Sergey_P писал(а):кстати случайно заметил, на едже 10-ки в ГИС заходит без всяких крипто и окошко не показывает.

У меня показывает


Вернуться в «ГИС ЖКХ. Регистрация на портале. Права пользователей. ЭЦП.»

Кто сейчас на форуме

Количество пользователей, которые сейчас просматривают этот форум: нет зарегистрированных пользователей и 1 гость