Transport layer security браузер который поддерживает
Перейти к содержимому

Transport layer security браузер который поддерживает

  • автор:

Как подружить «современный» TLS и «устаревшие» браузеры?

Тему подсказало обсуждение предыдущего поста, в котором прозвучал голос заботливого администратора веб-сервера: TLS 1.2 и AEAD – выбор здорового человека, но кто пожалеет пользователей «устаревших» браузеров? Давайте это обсудим – мнимую несовместимость «современного» TLS и «устаревших» браузеров.

Гипотеза звучит следующим образом: если на веб-сервере оставить поддержку только устойчивых версий протокола защиты транспортного уровня TLS (1.2 и 1.3) и шифронаборов (AEAD), пользователи «устаревших» браузеров зайти на сайт не смогут.

Совершим необязательный экскурс в историю… В 2005 году (т.е. 16 лет тому назад), американское Агентство национальной безопасности анонсировало корпус стандартов, руководств, рекомендаций и прочих поддерживающих документов по использованию криптографических алгоритмов – NSA Suite B Cryptography.

В 2009 году IETF опубликовал RFC5430 Suite B Profile for Transport Layer Security, где установил, какие протоколы и шифронаборы должны использоваться для HTTPS-соединения, чтобы соответствовать требованиям АНБ. Уже тогда для соответствия этим требованиям веб-сервер и веб-браузер должны были поддерживать TLS версии 1.2 и шифронаборы TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 и TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.

То есть, как минимум последние 11 лет разработчики знали, каким требованиям должна соответствовать их продукция, чтобы иметь возможность претендовать на американский госзаказ. Поэтому следующий факт вы, вероятно, воспримете без удивления: все реально используемые сегодня браузеры поддерживают упомянутый шифронабор в варианте с 128-битным шифроключом, а многие (но не все) – и с 256-битным.

На этом можно было бы закончить статью, порекомендовав всем администраторам веб-серверов оставить поддержку только TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 и не забивать себе голову мифами о несовместимости TLS 1.2 с «устаревшими» браузерами, если бы не нюанс: в TLS версии младше 1.3 алгоритм цифровой подписи в шифронаборе должен совпадать с алгоритмом в TLS-сертификате, а веб-серверов с сертификатом, подписанным по алгоритму ECDSA, в доменной зоне .RU менее 6%, оставшиеся используют для подписи RSA.

Кто виноват – вопрос отдельного исследования, нас же интересует что делать? Давайте для начала вспомним, что к устойчивым шифронаборам сегодня относятся не только рекомендуемая АНБ комбинация ECDHE+ECDSA+AES, но и другие:

Весь зверинец

TLS_DHE_RSA_WITH_AES_128_CCM;
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256;
TLS_DHE_RSA_WITH_AES_256_CCM;
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384;
TLS_DHE_RSA_WITH_CAMELLIA_128_GCM_SHA256;
TLS_DHE_RSA_WITH_CAMELLIA_256_GCM_SHA384;
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256;
TLS_ECDHE_ECDSA_WITH_AES_128_CCM;
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256;
TLS_ECDHE_ECDSA_WITH_AES_256_CCM;
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384;
TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_GCM_SHA256;
TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_GCM_SHA384;
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256;
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
TLS_ECDHE_RSA_WITH_CAMELLIA_128_GCM_SHA256;
TLS_ECDHE_RSA_WITH_CAMELLIA_256_GCM_SHA384;
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

Итого 19 устойчивых шифронаборов, однако не все из них подходят для использования в реальной жизни на публичном веб-сервере: алгоритм шифрования CAMELLIA, как и AES в режиме CCM, поддерживается чуть более, чем никем, с CHACHA20 и его верным спутником POLY1305 знакомы лишь относительно современные браузеры, а для использования шифронаборов на основе ECDSA, как уже было сказано, требуется соответствующий TLS-сертификат. Таким образом у нас остается лишь 4 «дополнительных» шифронабора:

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256;
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384.

Соблазнительно предположить, что если браузер поддерживает комбинацию ECDHE+ECDSA, то уж с ECDHE+RSA он точно справится, но это не всегда так – многие умеют только в DHE+RSA, и чтобы удовлетворить запросы всех старых браузеров, на сайте с RSA сертификатом необходимо поддерживать два шифронабора:

Это даст нам совместимость как минимум со следующими операционными системами и браузерами:

Android 4.4.2 + Android Browser (Chrome);
Windows XP + Chrome 49/Firefox 49/ Opera 12.18;
Windows 7 + Internet Explorer 11/Chrome 31/Firefox 31;
OS X + Firefox 29/Chrome 37;
iOS 9 + Safari 9;
Java 8b.

Про *nix системы не скажу – зависит от сборки, но очевидно, что проблемы как таковой не существует. Единственная проблема возникнет с Windows Phone 8.1 + IE 10, которые поддерживают только одну устойчивую комбинацию – ECDHE+ECDSA.

А что же делать пользователям Windows XP + IE 6 или какого-нибудь Android 2.3? – спросит заботливый админ. Продолжать сидеть без доступа к современному Интернету, – отвечу я, – поскольку даже поддержка веб-сервером протокола SSL 2.0 им ничем не поможет. Дело в том, что даже если накатить на Windows XP все выпущенные для него обновления (по май 2019 года) и обновить штатный браузер до версии 8, это принесет лишь поддержку TLS 1.2, но не устойчивых шифронаборов. Кроме того, Windows XP как не знал, так и не узнает, что такое Server Name Indication (SNI), HTML 5 Live HTML и CSS 3.

Готовы ради упертых «полутора землекопов» держать для сайта выделенный IP и не обновлять верстку? Тогда добавьте поддержку, например, TLS_RSA_WITH_AES_256_CBC_SHA256, но скорее следует предположить, что современный пользователь Windows XP уже давно пользуется альтернативным браузером, который поддерживает даже TLS 1.3. То же верно и для Android 2.3, установив на который Firefox 27, мы получим полноценную поддержку TLS 1.2 и AEAD шифронаборов, а не установив – просто не сможем пользоваться значительной частью современных сайтов даже по HTTP.

Все вышесказанное, разумеется, не является призывом к отказу от поддержки более стойких шифронаборов, которые будут востребованы современными браузерами, и которые следует предлагать для согласования в первую очередь.

Чтоб два раза не вставать, рассмотрим кратко и ситуацию с эллиптическими кривыми. NSA Suite B Cryptography признает только две из них – NIST P-384 и NIST P-256, поддержка которых на веб-сервере обеспечит доступ к сайту как современных, так и «устаревших» браузеров. Собственно, достаточно поддерживать только NIST P-384 для «старичков» и Curve25519 для современных браузеров; ну разве что еще NIST P-521 добавить, для некоторых «передовых старичков».

Подытожим: если мы хотим, чтобы сайт оставался доступен для «устаревших» браузеров, но при этом поддерживал только устойчивые версии протокола защиты транспортного уровня и шифронаборов, поступим следующим образом.

Для сайта с TLS-сертификатом, подписанным по алгоритму ECDSA, включим поддержку шифронабора TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256.

Для сайта с TLS-сертификатом, подписанным по алгоритму RSA, включим поддержку шифронаборов TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 и TLS_DHE_RSA_WITH_AES_128_GCM_SHA256.

Для обоих сайтов включим поддержку эллиптической кривой NIST P-384 или NIST P-256 и зададим порядок предпочтения шифронаборов и эллиптических кривых, согласно которым вышеуказанные наборы и кривые предлагаются браузерам для согласования после более устойчивых, например после TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 и Curve25519 соответственно.

Браузер для госзакупок: какой лучше использовать в работе?

После того как в 2022 году сайт ЕИС перестал корректно работать в браузере Internet Explorer, пользователям было предложено несколько альтернатив: Яндекс, Спутник и Chromium. Какой из браузеров лучше для госзакупок и как их настроить – разбирались в статье.

Яндекс.Браузер: почему именно он?

Сайт ЕИС заранее предупреждал пользователей, что с 15 июня 2022 работа системы будет затруднена в связи с отменой поддержки браузера «Internet Explorer». В качестве альтернативы Правительство предложило пользователям Портала закупок использовать программы, которые работают по защитным протоколам с использованием российских криптографических модулей Transport Layer Security (TLS v. 1.0/1.2, RFC 5246). Данные протоколы безопасности включены в работу браузеров Яндекс и Спутник. Со вторым периодически возникают проблемы при работе на сайте ЕИС.

Если у вас нет администраторского доступа, то обратитесь в системному администратору своей компании и покажите ему эту инструкцию.

Подготовка к установке браузера Яндекс

Для стабильной работы браузера Яндекс для госзакупок советуем удалить с компьютера ненужные сервисы, влияющие на работу браузеров вашего устройства. Например, «Менеджер браузеров», «Кнопка Яндекс на панели задач», «Элементы Яндекс для Internet Explorer».

Для этого выполните следующие действия:

  1. Нажмите «Пуск» в нижней левой части экрана ПК.
  2. Нажмите «Параметры», затем – «Приложения».
  3. Откроется список, выберите элемент, который нужно удалить с компьютера.
  4. Нажмите «Удалить» и подтвердите действие, если это запросит система.

По этому алгоритму удалите все ненужные сервисы Яндекса

Загружаем и устанавливаем Яндекс

Визуальная часть будет отличаться в зависимости от версии вашего ПО, но суть действий в следующем:

  1. Скачайте файл установки на ПК и дождитесь окончания загрузки.
  2. Запустите исполняемый файл Yandex.exe.
    По времени эта процедура займет всего несколько минут в зависимости от мощности вашего устройства и скорости интернета.

Для защиты и ограничения доступа к вашей конфиденциальной информации рекомендуем не ставить флажок для действия «Закрепить Алису в панели задач». В ином случае Алисе будет видна статистика вашего браузера, а также будет доступ к микрофону на вашем устройстве. Выбор веб-серфера будет происходить после вашего подтверждения.

Авторизация в ЛК пользователя

Установка дополнения браузера «КриптоПро ЭЦП»:

1. Откройте меню «Яндекса», нажав на иконку трех горизонтальных линий в верхнем правом углу экрана.
2. Выберите «Дополнения».
3. В дополнениях выберите «КриптоПро ЭЦП» и кликните «Установить».

4. Подтвердите «Добавить в «Яндекс Браузер».

5. В появившемся окне нажмите «Установить расширение».

Установка «КриптоПро ЭЦП Browser plug-in» в Windows:

1. С официального сайта КриптоПро скачайте программу установки «КриптоПро ЭЦП Browser plug-in». При установке система может показать сообщение «Невозможно установить безопасное соединение». Это зависит от оператора вашего интернета. В этом случае откройте вкладку «Подробности»:

На экране появится текст от технической службы, а внизу кнопка – «Сделать исключение для этого сайта». Нажмите на нее, чтобы пошла загрузка.

2. Кликните по файлу cadesplugin.exe.
3. Согласитесь с добавлением «КриптоПро ЭЦП Browser plug-in».

4. Подтвердите свое согласие внести изменения на вашем устройстве:

5. После добавления «КриптоПро ЭЦП Browser plug-in» закройте окно, нажав «Ок».

Установка дополнения «Расширение для плагина Госуслуг» входа в ЛК заказчика по 223-ФЗ:

  1. Добавьте расширение.
  2. Кликните «Установить.

3. В появившемся поле выберите «Установить расширение».

4. Закройте все вкладки после успешного выполнения действий и перезагрузите устройство.

Веб-программа Яндекс настроена и установлена, и вы можете в ней работать.

Кратко действия по настройке Яндекса для работы в ЛК на сайте Единой информационной системы будут следующими:

  1. Удалите ненужные сервисы браузера через меню «Пуск».
  2. Скачайте установочный файл браузера.
  3. Добавьте дополнения «КриптоПро ЭЦП».
  4. Скачайте и установите программу «КриптоПро ЭЦП Browser plug-in».
  5. Добавьте «Расширение для плагина Госуслуг».
  6. Перезагрузите компьютер.

Установка браузера Спутник

Спутник – это веб-программа с российскими криптографическими стандартами, который подойдет для госзакупок.

  1. Перейдите по ссылке и скачайте дистрибутив.
  2. В появившемся окне выберите строку «С поддержкой отечественной криптографии».

3. Внесите свои данные (ФИО, эл. почта, наименование организации).
4. Нажмите «Сохранить».

Как сохранить дистрибутив:

  1. Включите запуск файла от имени администратора, указав это действие в меню настройки.
  2. Подтвердите все действия системы для продолжения установки.

Установку Спутника можно начать без администраторского доступа. Об этом вас проинформирует система:

1. Подтвердите установку Спутника, кликнув по кнопке «Поехали».

2. На экране появится системное окно со статусом установки.
3. Если вы выполняли действия без администраторского доступа, то система запросит установку плагина «КриптоПро ЭЦП Browser plug-in».
4. Установите плагин на рабочее устройство.
5. В процессе установки будет добавлен плагин PPAPI «Adobe Flash Player» для корректного функционирования браузера.

После успешной установки система перекинет на приветственное окно о начале работы в Спутнике.

Браузер Chromium

Кроме браузеров, на которые мы сделали обзор выше, пользователям также для работы в ЕИС и участия в госзакупках предлагают пользоваться браузером Chromium. Он поддерживает российские криптографические стандарты ГОСТ.

Пока ничего не можем сказать о работе с этой программой, хотя на различных форумах для участников закупок многие отзывались о нем негативно: выдает ошибки при установке.

Скачать файл для установки веб-браузера Chromium-gost можно на официальном сайте КриптоПро. На сайте говорится, что разработчики продуктов КриптоПро не отвечают за стабильность работы данного браузера.
Chromium совместим с операционными системами Windows, Linux и Mac

Развиваю вместе с топовыми экспертами soft и hard skills специалистов в тендерном клубе
Телеграм-чат

В статье рассмотрели браузеры, которые участники госзакупок могут использовать в своей работе для доступа к сайту ЕИС и электронным торговым площадкам.

Подписывайтесь на Гостевой чат Тендерного клуба в Телеграм, где коллеги делятся своим опытом и решают рабочие вопросы. Также на канале проводятся еженедельные эфиры по теме госзакупок и анонсируется выход новых статей на сайте.

Как включить TLS 1.3 в Chrome, Safari и Firefox��⚕️

Закрытие уязвимостей

Автор cryptoparty На чтение 2 мин Опубликовано 28.09.2018

Процедура включения TLS 1.3 в ваших любимых браузерах

Используете ли вы TLS 1.3 c повышенной производительностью и безопасностью?

Типовая рабочая версия TLS 1.3 была выпущена в 2017 году и приятно видеть, что многие веб-сайты приняли это новшество.

Если вы являетесь владельцем веб-сайта, вы можете рассмотреть возможность его включения.

Ознакомьтесь с моей предыдущей статьей о том, Как включить TLS 1.3 в Nginx, Cloudflare

Но как насчет клиентских браузеров?

Chrome начиная с версии 63 и Firefox 61 начали поддерживать TLS 1.3, и если ваш браузер еще не поддерживает его, то вам не хватает функций производительности и конфиденциальности.

Включение TLS 1.3 в Chrome

  • Запустите Chrome
  • Введите в адресной строке следующее и нажмите Enter.
chrome://flags/#tls13-variant

Убедитесь, что он не отключен. Вы можете выбрать «Default» или «Ebnaled».

  • Перезапустите Chrome
Более новые версии Chrome
  • Введите “chrome://flags/” в адресной строке.
  • Введите “TLS” в поле поиска.
  • Установите TLS на значение «Default» или «Ebnaled».
  • Перезапустите браузер.

Включение TLS 1.3 в Firefox

  • Запустите Firefox
  • Введите about:config в адресной строке и нажмите Enter.
  • Начните вводить tls.version в поиске, и вы должны увидеть следующее:

  • Убедитесь, что значение security.tls.version.max равно 4
  • Если нет, дважды щелкните по нему, чтобы изменить значение 4.

Включение TLS 1.3 в Safari

  • Откройте терминал и станьте рутом
  • Введите следующую команду и нажмите Enter.
defaults write /Library/Preferences/com.apple.networkd tcp_connect_enable_tls13 1
  • Переустановите Safari

Тестирование браузера с TLS 1.3

Как вы можете гарантировать, что ваш браузер поддерживает последнюю версию TLS?

Есть несколько инструментов, которые вы можете использовать.

Просто нажмите следующую ссылку, чтобы проверить это.

Проверка безопасности браузера с помощью Cloudflare – вот как выглядит результат, когда браузер поддерживает его

How’s My SSL – проверьте совместимость протокола SSL / TLS, и известные уязвимости.

Я надеюсь, что эта краткая инструкция поможет вам включить последнюю версию TLS 1.3 в Chrome и Firefox.

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!

Добавить комментарий Отменить ответ
Станислав 20.04.2020 в 20:34

Хорошая статья. Вообще не знал о том, что таким образом можно улучшить безопасность браузера. Подключил у себя на Хроме. Еще использую Яндекс Браузер, но там TLS1.3 видимо стоит по умолчанию – во всяком случае проверка показала именно это.

Иосиф Висарионович Сталин 30.06.2020 в 13:42

насчет вот єтотй ссьілки… chrome://flags/#tls13-variant
полное вранье
ниче не работает, просто вьідает какой-то список где ни слова про TLS 1.3
и как его включить..
может из-за того что у меня виндовс виста…переустанавливал 3 раза и обнова тоже есть…
но вот сертификатьі какой-то там безопасности отстранили меня от интернета

cryptoparty автор 30.06.2020 в 14:13
андрей 30.06.2020 в 16:25
та где ж оно там есть. какой по счету пункт? сверху, снизу, сбоку .
я в упор там ниче не вижу….
cryptoparty автор 30.06.2020 в 17:09
Не поленился тебе скриншот сделать https://itsecforu.ru/wp-content/uploads/2020/06/11.png
андрей 30.06.2020 в 20:51

спасибо большое…
но оно у меня совсем не так вьіглядит,…..далеко не так
я зашел по ссьлке, которая напечатана в статье
всеравно спасибо, теперь хоть буду знать, как оно должно вьіглядеть

Деловой фронт 05.11.2022 в 15:11

нет боль_ше поддержки на новом хроме chrome://flags/#tls13-variant вот из за чего и не отображает.. Сегодня 2022 год статью удаляйте так как оно устарело и люди путаются..

cryptoparty автор 06.11.2022 в 05:24

Спасибо за совет, но как-нибудь сами решим, что удалять. Данную статью дополнили настройками на новые хромы

Поддержать нас

  • Аудит ИБ (49)
  • Вакансии (12)
  • Закрытие уязвимостей (110)
  • Книги (27)
  • Мануал (2 390)
  • Медиа (66)
  • Мероприятия (39)
  • Мошенники (23)
  • Обзоры (835)
  • Обход запретов (34)
  • Опросы (3)
  • Скрипты (122)
  • Статьи (366)
  • Философия (133)
  • Юмор (19)

Наш Telegram

Социальные сети
Поделиться

Anything in here will be replaced on browsers that support the canvas element

  • �� Как запускать программы на C и C++ в Kali Linux 12.01.2024

В нашей сегодняшней статье мы поговорим о том, как можно запускать программы на C и C++ в системе Kali Linux. Как запускать программы на C и C++ на Kali Linux Иногда мы сталкиваемся с программами на C и C++, а сейчас мы используем Kali Linux в качестве первичной установки, как же их запустить? Это очень […]

ShotDroid – это инструмент пентеста для android и windows, и в нем есть 3 инструмента, которые имеют свои соответствующие функции: Android Files, Android Keylogger и Take Face Webcam. Особенности Скрытие приложений в файлах android. Пользовательский каталог android. Android Keylogger Автоматический html шаблон в take face webcam. Пользовательский html или пользовательская папка html в инструменте take […]

Похоже, что вы столкнулись с проблемой Cross-Origin Resource Sharing (CORS) при использовании Apache. CORS – это функция безопасности, которая позволяет или ограничивает ресурсы на веб-странице, запрашиваемые с другого домена, не входящего в домен, с которого был предоставлен первый ресурс. �� Corsy – сканер неверной конфигурации CORS Проблема Если вы видите ошибку, связанную с “no allow credentials” […]

Веб-разработчики часто сталкиваются с сообщением об ошибке “‘Access-Control-Allow-Origin’ header contains multiple values” при настройке веб-сервера Apache. Эта ошибка может стать серьезным препятствием при попытке реализовать политики кросс-оригинального обмена ресурсами (CORS). Понимание и решение этой проблемы крайне важно для поддержания функциональности и безопасности веб-приложений. Понимание ошибки Ошибка указывает на то, что HTTP-ответ от сервера содержит более […]

Обзор В этом руководствее мы узнаем, как сохранить файл как sudo, не выходя из Vim. Сначала мы изучим проблему и поймем, почему сохранять файлы от имени sudo не так просто, как от обычного пользователя. Затем мы сосредоточимся на использовании tee внутри Vim для записи изменений от имени суперпользователя. Наконец, мы обсудим скрипт sudo.vim в качестве […]

Transport layer security браузер который поддерживает

Лидер российского рынка по распространению средств криптографической защиты информации, электронной подписи и развитию инфраструктуры открытых ключей на основе российских криптографических алгоритмов

  • О компании
    • Контакты
    • Схема проезда
    • Новости
    • Лицензии
    • Аккредитация
    • Реквизиты
    • Вакансии
    • КриптоПро CSP
      • Использование
      • КриптоПро CSP Lite
      • КриптоПро TLS c ГОСТ
      • КриптоПро Java CSP
      • КриптоПро Winlogon
      • Считыватели
      • История версий
      • Сравнение версий
      • Совместимость реализаций X.509 и CMS
      • Загрузка файлов
      • КриптоПро JTLS
      • КриптоПро Java CSP
      • Загрузка файлов
      • Описание
      • Платёжный HSM
      • Использование
      • Информационные материалы
      • Мобильные приложения
      • Тестовый СЭП
      • КриптоПро DSS Lite
      • КриптоПро CloudCSP
      • Загрузка файлов
      • VPN-сервер NGate
      • TLS-сервер NGate
      • Сервер портального доступа
      • IPsec VPN-шлюз NGate
      • Общая информация
      • Информационные материалы
      • Аппаратные платформы
      • Загрузка файлов
      • КриптоПро УЦ 1.5
      • КриптоПро УЦ 2.0
      • КриптоПро Службы УЦ
      • Задачи
      • Развёртывание
      • Консалтинг
      • Обучение
      • Техническая поддержка
      • КриптоПро Шлюз УЦ-СМЭВ
      • Использование
      • Совместимость реализаций IPsec
      • Загрузка файлов
      • Браузер Chromium-Gost
      • КриптоПро ЭЦП Browser plug-in
      • Приложение cryptcp
      • КриптоПро Office Signature
      • КриптоПро PDF
      • КриптоПро AirKey
      • Защищенная мобильность
      • КриптоПро Stunnel
      • stunnel-msspi
      • КриптоПро SPR 4.0
      • Secure Pack Rus (SPR 3.0)
      • КриптоПро Шлюз УЦ-СМЭВ
      • КриптоПро ЭЦП
      • КриптоАРМ ГОСТ
      • КриптоПро CRM
      • КриптоПро SSF
      • КриптоПро HLF
      • Электронные замки
      • Считыватели смарт-карт
      • USB-токены
      • Услуги УЦ
      • Сервис электронной подписи
      • Консалтинг
      • CRM решения для УЦ
      • Защита информации
      • Блокчейн (распределённый реестр)
      • Обучение
      • Список партнёров по регионам
      • Дистрибьюторы
      • Стать партнёром
      • Вход для партнёров
      • Решения партнёров
      • Портал технической поддержки
      • Центр загрузки
      • Тестовый УЦ
      • База знаний (FAQ)
      • Документация
      • Поиск
      • Проверка лицензии
        • Проверка возможности обновления
        • Юридические лица
          • Форма заказов
          • Оплата
          • Доставка
          • Форма заказов
          • Оплата
          • Доставка
          • Форма заказов
          • Доставка
          • Оплата
          • Условия возврата
          • Форма заказов
          • Доставка
          • Оплата
          • Условия возврата
          • Order form
          • Payment methods
          • Delivery
          • Как оформить заказ
          • Как скачать
          • Как установить
          • Как ввести лицензию

          Дополнительное ПО

          • Браузер Chromium-Gost
          • КриптоПро ЭЦП Browser plug-in
          • Приложение cryptcp
          • КриптоПро Office Signature
          • КриптоПро PDF
          • КриптоПро AirKey
          • Защищенная мобильность
          • КриптоПро Stunnel
          • stunnel-msspi
          • КриптоПро SPR 4.0
          • Secure Pack Rus (SPR 3.0)
          • КриптоПро Шлюз УЦ-СМЭВ
          • КриптоПро ЭЦП
            • Использование
            • КриптоПро ЭЦП SDK
            • Загрузка файлов

            Вход

            Купить

            Услуги УЦ

            Услуги СЭП

            Подписка

            Браузер Chromium-Gost

            Браузер Chromium-Gost — веб-браузер с открытым исходным кодом на основе Chromium с поддержкой криптографических алгоритмов ГОСТ (в соответствии с методическими рекомендациями ТК 26) при установке защищённых соединений через интерфейс msspi.

            Основной задачей проекта является техническая демонстрация возможности встраивания ГОСТ в браузер с открытым исходным кодом Chromium. Данное технологическое решение может помочь разработчикам адаптировать браузер при встраивании поддержки ГОСТ.

            Компания КриптоПро не является правообладателем браузера Chromium-Gost и не отвечает за его функционирование и поддержку на регулярной основе, продукт развивает и поддерживает сообщество разработчиков на безвозмездной и добровольной основе, среди которых важную роль составляют специалисты КриптоПро.

            Скачать

            Браузер Chromium-Gost доступен для операционных систем Windows, Linux и MacOS.

            Ссылки для скачивания актуальных сборок и основная ветка разработки:
            https://github.com/deemru/chromium-gost/releases/latest

            Требования к системе

            Для работы с алгоритмами ГОСТ требуется наличие в системе криптопровайдера, поддерживающего работу с российской криптографией.

            В качестве криптопровайдера мы рекомендуем использовать КриптоПро CSP. Для работы с защищёнными соединениями не требуется покупка лицензии КриптоПро CSP, кроме того КриптоПро CSP имеет ознакомительный период с работой всех функций программы, включая работу с долговременными ключами и подписями на их основе. Для скачивания КриптоПро CSP достаточно пройти простую процедуру регистрации на сайте.

            Проверка работоспособности

            Если соответствующий криптопровайдер установлен в системе, то проверить работоспособность браузера Chromium-Gost, можно перейдя по ссылке на сервис для разработчиков https://gost.cryptopro.ru

            Сертификат сайта должен выглядеть следующим образом, что подтверждает установку защищённого соединения по алгоритмам ГОСТ:

            Альтернативный вариант проверки — через панель разработчика:
            — Находясь в браузере, нажмите F12, откроется панель разработчика браузера
            — Перейдите на вкладку Security

            — Находясь на вкладке Security, обновите страницу (1 — на картинке ниже)
            — Перейдите на появившуюся закладку https://gost.cryptopro.ru/ (2 — на картинке ниже)
            — Проверьте данные соединения и сертификата (3 — на картинке ниже)

            Если у вас показывается другой сертификат (примеры ниже), то попробуйте переустановить криптопровайдер и перезапустить браузер Chromium-Gost.

            Или в альтернативном варианте проверки — если соединение не по ГОСТ:

            Если у вас по какой-то причине не установлены корневые сертификаты (перечёркнут https, как на картинке ниже), мы рекомендуем переустановить криптопровайдер, воспользовавшись универсальным установщиком КриптоПро CSP с автоматической установкой необходимых корневых сертификатов.

            Принцип работы

            Оригинальная реализация Chromium при установке защищённых соединений использует библиотеку BoringSSL, которая не поддерживает криптографические алгоритмы ГОСТ. Для обеспечения работы ГОСТ-алгоритмов используется интерфейс msspi, который может поддерживать соответствующие алгоритмы, используя установленный в систему криптопровайдер.

            При запуске браузера определяется наличие технической возможности работы криптографических алгоритмов ГОСТ через интерфейс msspi. В случае успеха при установке очередного защищённого соединения помимо оригинальных идентификаторов алгоритмов в пакете будут отправлены идентификаторы алгоритмов ГОСТ.

            Если сайт поддерживает работу по ГОСТ, он может отреагировать на наличие этих идентификаторов предложением работы на ГОСТ-алгоритмах. Тогда защищённое соединение в рамках BoringSSL установлено не будет, так как BoringSSL не поддерживает ГОСТ, но поступит сигнал о соответствующей ошибке.

            В случае возникновения подобного сигнала для данного сайта происходит переключение в режим работы интерфейса msspi. Если защищённое соединение успешно устанавливается через интерфейс msspi, сайт отмечается поддерживающим алгоритмы ГОСТ и все последующие с ним соединения будут использовать интерфейс msspi.

            Для пользователя данный алгоритм работы остаётся прозрачен, так как Chromium автоматически устанавливает повторное соединение через интерфейс msspi.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *