Эта статья для тех, кто первый раз обращается в Удостоверяющий центр Федерального казначейства для получения сертификата электронной подписи
(ЭП) через ФЗС.
- Комплект документов для оформления сертификата ЭП через ФЗС
- Требования к компьютеру
- Работа с интерфейсом в ФЗС
25 июнь 2019 06:15
– 25 июнь 2019 06:18
#12622
от
Gvinpin пишет:
Прикрыли лавочку
Уже не помогает (маловероятно, что в последние дни что-то изменилось).Мне помогло буквально вчера.
Накрайняк есть ещё вариант с копированием контейнера, тогда срок действия закрытого ключа становится равным сроку действия сертификата.
Тоже приходилось делать когда внезапно обнаружилось, что оно отличается аж на 15 дней
У-у танцы с бубном! Мои любимые!
При входе на сайт казначейства для продления – получения новой ЭП выдаёт классическое – ” Не удается отобразить эту страницу
Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к fzs.roskazna.ru
. Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта.
” Естественно все указанные галочки включены, в наличии IE11, cadesplugin апрельская версия, fzs.roskazna.ru
добавлен в доверенные в IE (Безопасность-надёжные сайты) и через Пуск – КриптоПро- Настройки ЭЦП Browser Plug-in.
Подскажите, пожалуйста,
может нужно было устанавливать стоя на голове
, что за вариант с копированием контейнера? Куда его скопировать чтобы дата сравнялась с датой сертификата? Спасибо.
Перечислим основные решения:
- Проверяем установлены следующие программы: криптопро 4
(если установлена, то обновляем до 4.0.9969
), криптопро эцп баузер плагин 2
, не закончился ли демо-период криптопро? - В каком браузере заходите на ФЗС? Используйте IE 9 версии и выше. Edge не работает.
- Устанавливаем корневой сертификат головного удостоверяющего центра. Подробнее тут
. - Устанавливаем корневой сертификат удостоверяющего центра казначейства. Подробнее тут
. - Устанавливаем личный сертификат в КриптоПро. Подробнее тут
. - В свойствах браузера Internet Explorer — вкладка «Безопасность» — иконка «Надежные сайты» — кнопка «Сайты» — необходимо добавить 2 адреса: https://fzs.roskazna.ru и https://lk-fzs.roskazna.ru
- Возможно мешает антивирусник. Отключаем его. Не совсем, а временно.
- Если главная страница открывается, а зайти в личный кабинет с помощью подписи, которая вот-вот закончится не получается, то проверяем срок действия закрытого ключа. Дело в том, что некоторые версии криптопро 4 ограничивают использование электронной подписи сроком действия закрытого ключа. На самом деле пока действует сертификат Криптопро можно победить.
1 вариант.
Переводим время на компьютере назад. На сколько надо перевести время назад узнаем в Криптопро — вкладка «Сервис» — кнопка «Протестировать» — выбираем ваш контейнер — в открывшемся окне ищем строчку «Срок действия закрытого ключа». Допустим вы получили дату 6 мая, на компьютере устанавливайте 5 мая и пробуйте войти в ФЗС. После генерации не забываем вернуть настоящее время. Перевод времени помогает побороть только ФЗС. Для других порталов используйте 2-ой вариант.
2 вариант.
Экспорт сертификата и закрытого ключа в PXF и установка из PFX — подробнее тут
. - Иногда Windows 10 не удается победить и лучше сделать запрос на другой ОС, желательно Windows 7.
- И наконец самое последнее — если все перепробовали, а ФЗС не удается победить, то Регламент УЦ Казначейства позволяет подать запрос с помощью АРМ генерации ключей (версия 1.0.0.46 поддерживает ГОСТ 2012)
. Ниже приведена выдержка из Регламента, подтверждающая что вы имеете право воспользоваться АРМ генерации ключей.
Не удается оботразить эту страницу
Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к https://roskazna.ru
. Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта.
Так как в сети ни решения ни описания проблемы просто физически нет, а с профильного форума мой пост без объяснения причин снесли модераторы, дублирую здесь, что бы помочь всем бедолагам получающим данное сообщение.
В большинстве случаев проблема в старой версии Windows. В Windows ниже 10-ки в IE этот сайт не работает и вряд ли уже когда-нибудь заработает. Единственное решение – обновление на 10ку и выше.
Причина в том, что поддерживаемые данным сайтом 2 несчастных набора шифров TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
и TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
появились только в 10-ке. Firefox и Chrome в отличии от Internet Explorer не пользуются встроенными в Windows наборами шифров, а используют свои всегда свежие – поэтому в них этот сайт открывается.
И это при том, что для нормальной работы всего софта официально рекомендуется версия не ниже 7-ки.
Благодаря высочайшей информативности страниц с ошибками Internet Explorer 11, простому смертному, незнакомому с секретными наречиями Парселтанга и прочей черной магией, самостоятельно узнать об этом не суждено никогда. Лично мне удалось докопаться до этого только сравнивая перехваченные WireShark сетевые пакеты IE и Chrome, сканируя сервер через nmap. А потом гугля причину отсутствия потеряшек. И это после того, как я несколько дней безуспешно бился с реестром и оснасткой групповых политик, которую еще надо было исхитриться установить на ту кастрированную винду с которой ко мне пришел бедолага.
Собственно наглядно, результат работы nmap – набор шифров курильщика:
И для сравнения – набор шифров почти здорового человека:
Как-то так. Берегите себя – сканируйте порты, перехватывайте пакеты и оставьте в покое реестр, групповые политики и свойства обозревателя
https://fzs.roskazna.ru/ ФЗС Росказна — онлайн сервис для получения сертификатов электронной подписи в Удостоверяющем центре Казначейства для СУФД, Электронного бюджета, zakupki.gov.ru ЕИС в сфере закупок, ГМУ.
Для доступа требуется:
- В браузере должна быть включена поддержка JavaScript.
- Браузер: Internet Explorer версии 9 и выше или Яндекс. Браузер версии 18.9.1.954 и выше
или Chromium-gost версии 83.0.4103.61 и выше
; - В браузере должна быть включена поддержка cookies;
- КриптоПРО версии 4.0. Скачать можно тут;
- КриптоПро ЭЦП Browser plug-in версии 2.0. Скачать можно тут;
- Поддержка российских криптоалгоритмов при использовании TLS.
Портал/официальный сайт доступен по адресу https://fzs.roskazna.ru/
(в браузере EDGE не работает!).
Личный кабинет (при наличии действующего сертификата) доступен по адресу https://lk-fzs.roskazna.ru/
Вход в личный кабинет ФЗС осуществляется по сертификату электронной подписи, поэтому должны быть установлены:
Вот перечень основных решений
.
Главным плюсом Портала заявителя ФЗС Росказна является отсутствие необходимости визита в Казначейство при плановом перевыпуске сертификата, при условии:
- у соискателя есть действующий сертификат;
- у руководителя организации соискателя есть действующий сертификат;
- паспортные данные не изменились с момента последнего визита в УЦ Казначейства.
Предварительная проверка документов перед созданием запроса
Перед созданием запроса на издание сертификата во избежание отказов в результате автоматических проверок через СМЭВ рекомендуем:
- проверить паспортные данные на сайте МВД http://сервисы.гувм.мвд.рф/info-service.htm?sid=2000
- проверить ИНН на сайте ФНС https://service.nalog.ru/static/personal-data.html?svc=inn&from=%2Finn.do
- руководителю юридического лица, индивидуальному предпринимателю, главе крестьянского фермерского хозяйства дополнительно рекомендуется на сайте ФНС России (www.nalog.ru) в сервисе «Личный кабинет налогоплательщика юридического лица» проверить правильность данных об ИНН, ОГРН, наименовании организации, сведений о руководителе (ФИО, должность) + на сайте ФНС России (www.nalog.ru) с помощью сервиса «Предоставление сведений из ЕГРЮЛ/ЕГРИП в электронном виде» проверить сведения о юридическом лице/индивидуальном предпринимателе.
При выявлении расхождений в информационной базе МВД России необходимо обратиться в орган МВД по месту регистрации (нахождения).
При выявлении расхождений в информационной базе ФНС необходимо обратиться в ФНС для уточнения информации в любой налоговый орган либо через Интернет-сервис ФНС России «Обратиться в ФНСРоссии» (сайт ФНС России/Все сервисы/раздел «Обратная связь») либо через Интернет-сервис ФНС России «Личный кабинет» (при наличии) в разделе «Жизненные ситуации» – «Изменение персональных данных».
Возможности Портала заявителя ФЗС Росказна https://fzs.roskazna.ru/
*NEW* Настройка ЭБ от пользователя FarWinter
QuickEB – Порядок быстрой настройки Электронного бюджета
Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ
QuickCG – Порядок быстрой настройки Chromium GOST
Типовые ошибки при работе в Chromium GOST
КриптоПро CSP считает недействительными сертификаты по ГОСТ 2012
Использование Chromium GOST позволяет избавиться от использования продуктов “Код безопасности” 😉
( использовать х32 версию браузера для ОС любой разрядности )
Chromium GOST не хочет использовать смешанный контент, когда на страницах https открывается http контент
Нужно в параметры запуска chrome.exe добавить ключ
и добавить lk.budget.gov.ru в список разрешённых доменов где можно использовать смешанный контент
в свойствах ярлыка “ЭБ CG.lnk”
добавить в конец через пробел ключ
Chromium GOST и DrWEB не открываются сайты
Помогает запуск с ключом – -no-sandbox. (для х64 версии)
Но лучше использовать х32 версию браузера
У кого Jinn не видит контейнер читаем подробности
При использовании сертификатов по ГОСТ Р 34.10-2012 в подсистемах ГИИС «Электронный бюджет», оператором которых является Федеральное казначейство, необходимо:
1. Для аутентификации пользователей на автоматизированном рабочем месте установить СКЗИ «Континент TLS-клиент». Версия 2» и провести настройку в соответствии с инструкцией, размещенной на официальном сайте Федерального казначейства в разделе ГИС – Электронный бюджет – Подключение к системе.
2. В качестве адреса TLS сервера ГИИС ЭБ и доступа в личный кабинет указывать адрес . lk.budget.gov.ru (*)
(*) С 01.08.2020 lk2012 больше не доступен
Про Jinn Sign Extension Provider
Убедительная просьба админам разместить информацию о том, что Jinn Sign Extension Provider может не до конца установится, если использовать предложенную папку по умолчанию (папка в профиле пользователя)
Я час бился с проблемой, оказывается надо было изменить папку на C:\Program Files\Security Code\ (если х64, то папку C:\Program Files(х86)\Security Code\)
Я пока не понял причину, возможно из-за того что в имени пользователя используется кириллица
P. S. спасибо статье sbis.ru/help/auction/workplace/jinn_pl
, так бы еще мучался неизвестно сколько
слишком сложно написано
Просьба написать попроще, например что в пути установки не должно быть кириллицы, например имя пользователя написано по-русски (аля Юзер, Пользователь, Админ и прочее) и используется путь установки предложенный установщиком (в папку профиля пользователя)
Параметры командной строки для тихой установки Jinn Sign Extension Provider
сразу для всех пользователей Windows
(путь можете указать свой, лишь бы он был доступен для всех пользователей):
msiexec /i JinnSignExtensionSetup.msi /qn INSTALLLOCATION="%ALLUSERSPROFILE%\Security Code" ALLUSERS=1
ПРИМЕЧАНИЕ: Командную строку нужно запускать по правой кнопки мыши с выбором “Запуск от имени администратора”
Jinn не видит контейнер
Размер имеет значение (с)
Британские учёные установили
При подписании в ЭБ косяк выявили, если название организации в сертификате ГОСТ 2012 превышает 127 символов, то jinn просто не видит контейнер с таким сертификатом
. Решение – конвертация контейнера. Утилита конвертации контейнеров КриптоПро в PKCS#15 в приложении. Инструкция по использованию в архиве. Для работы на рабочем месте должен быть установлен КриптоПро CSP.
Инструкция по созданию носителя от пользователя 7449
УТИЛИТА КОНВЕРТАЦИИ КОНТЕЙНЕРА
ИНСТРУКЦИЯ ПО СОЗДАНИЮ НОСИТЕЛЯ
ОТВЕТ ТЕХПОДДЕРЖКИ УФК
Чтобы Jinn Client отобразил и утвердил сертификат по ГОСТ-2012 нужно иметь ключ на носителе в контейнере PKCS#15. Все выпускаемые ключи сейчас, создаются в контейнере PKCS#12. Крипто-ПРО 4.0 (R3 и R4) при этом не видят PKCS#15, и чтобы Крипто-ПРО обратилось к ключу (например для Континент TLS) нужно иметь контейнер PKCS#12. Вариант выхода из ситуации: записать на один носитель ключ в двух форматах (две копии) PKCS#12 и PKCS#15. Таким образом, Крипто-ПРО зайдет в ЭБ через Континент TLS и потом Jinn Client утвердит формуляр, при этом работают токены и флешки. Для конвертации контейнера PKCS#12 в PKCS#15 есть специальная утилита, для получения обращаться в ТОФК.
1. В компьютере вставлен съемный носитель с сертификатом PKCS#12.
2. Запускаем утилиту конвертации.
3. Если нужный сертификат не отображается, проверить подключение съемного носителя и нажать кнопку «Обновить список».
4. Выбираем нужный сертификат и нажимаем «Конвертировать».
5. Далее выбираем, где сохранить криптоконтейнер, можно на этом же съемном носителе (файлы не заменяются) или на любом другом, и указываем пароль оригинального контейнера, нажимаем «Сохранить».
6. В окне Крипто-ПРО повторно указываем пароль ранее и «ОК».
7. Конвертирование завершено успешно, на съемном носителе будет сертификат и ключ в контейнере PKCS#15.
При отсутствии сертификата в jinn плагине при подписании требуется обратиться в отдел ОРСИБИ вашего ТОФК для получения конвертера и инструкции по конвертации контейнера подписи из формата PKCS#12 в PKCS#15.
++++++
(Примечание: Ссылка на утилиту выше.)
Очень плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP
Вернул обратно на своём тестовом стенде КАП 3.7.651 с крипто-провайдером от КБ (куда ж теперь без него?)
На этапе подписи заявки в ЭБ при “поиске носителя” получаем: “Прекращена работа программы визуализации и подписи Jinn-Client”
До этого всё подписывало в ЭБ (Win 10.15063×64)
update: Ложка мёда в бочку дёгтя: проверяли на win7x32 sp1 такой проблемы нет.
Плохая новость для установивших Континент АП 3.7.7.651 с криптопровайдером КБ CSP
Для правильной установки Континент TLS-клиент». Версия 2 придётся удалять КАП. Вычищать следы пребывание КБ CSP утилитой от кода безопасности тынц
с параметрами -to из командной строки от администратора. Так же должен стоять криптопро. Тогда ТЛС клиент не будет пытаться установить или обновить свой криптопровайдер. Потом континент ап можно ставить обратно с его криптопровайдером, все работает. Не забываем удалить
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
из реестра.
СКЗИ «Континент TLS-клиент». Версия 2 “Доступ к конфигурационному файлу запрещен”
Если кто задумает “хочу установить все заново”
(взято с форума росказны)
Варианты установки программных продуктов
Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* Jinn-Client;
* TLS-клиент.
Выполните действия в следующем порядке:
Состав программных продуктов:
* КриптоПро CSP или Валидата CSP;
* TLS-клиент.
Выполните действия в следующем порядке:
1. Установите сторонний криптопровайдер (КриптоПро CSP или Валидата CSP).
2. Установите TLS-клиент. В состав данного продукта входит криптопровайдер “Код Безопасности CSP” версии 4.0, который не будет установлен. В такой ситуации используется сторонний криптопровайдер.
Состав программных продуктов:
* Jinn-Client;
* TLS-клиент.
Выполните действия в следующем порядке:
Отсутствуют сторонние криптопровайдеры (КриптоПро CSP или Валидата CSP) и Jinn-Client.
В данном случае установите TLS-клиент. Он содержит криптопровайдер “Код Безопасности CSP” версия 4.0, который установится автоматически.
Исправление ошибок установки
При нарушении порядка установки выполните действия в следующем порядке:
1. Удалите все программные продукты, входящие в вариант установки.
2. После каждого удаления программного продукта выполните перезагрузку, если она требуется.
3. Установите программные продукты заново в соответствии с описанными вариантами установки.
Для подписания в Электронном бюджете в Mozilla Firefox с помощью Jinn-client 1.0.3050.0
, рекомендуется использовать версию от 52.9.0esr и выше
, необходимо установленное в браузере расширение Jinn Sign Extension
, а также установленный в Windows Jinn Sign Extension Provider
версии 1.0.0.5
. Во избежание появления в firefox
ошибки при подписании:
Не удалось обработать
необходимо в firefox выполнить следующее:
- В адресной строке firefox ввести about:config
- Установить параметры accessibility.delay_plugins = true
; accessibility.delay_plugin_time = 90000 - В браузере включить
плагин Jinn-client (если версия firefox поддерживает плагин – например, как версия 52.9.0esr)
и одновременно включить расширение Jinn-client
.
Если такая ошибка появилась, то помимо указанных выше настроек необходимо при закрытом firefox удалить, а затем заново установить Jinn sign extension provider
версии 1.0.0.5
. ( Перезагружать компьютер при этом необязательно, куки и кэш желательно удалить).
Так как для браузеров Mozilla Firefox
и Google Chrome
, в отличие от Internet Explorer 11
, при подписании в Электронном бюджете используются ещё расширение Jinn-client
и Jinn Sign Extension Provider
, то при возникновении ошибок при подписании лучше всего после этого проверять подписание в настроенном для работы в Электронном бюджете Internet Explorer 11.
При открытии web-страничек появляются ошибки без каких либо на то причин? Или браузер выдает сообщение, что нельзя установить безопасное соединение? Пытаетесь открыть zakupki.gov.ru и lkul.nalog.ru, а появляется ошибка «Клиент и сервер поддерживают разные версии протокола ssl или набора шифров»? Пора разобраться, чем это вызвано и как выйти из сложившейся ситуации.
Вышеуказанные проблемы проявляются при открытии HTTPS платформ и ресурсов, у которых есть опция входа с цифровой подписью. Прежде, чем приступить к устранению ошибок, нужно убедиться, что проблема связана не с вашим ПО и компьютером. Попробуйте открыть необходимый интернет-ресурс на другом устройстве или подключившись к другой интернет-сети. Посмотрите, как обстоят дела со входом через прочие браузеры.
Клиент и сервер поддерживают разные версии протокола SSL в Закупках
Начинайте с очистки кэша и куки
Очистка кэша и куки в Firefox
Отключите лишние расширения
Доступ может блокироваться из-за различных установленных расширений и дополнений в рабочих браузерах. В первую очередь это касается плагинов, вмешивающихся в трафик и сетевые экраны, например ВПН, антивирусы, прокси. После открытия раздела с расширениями нужно удалить все подозрительные. Если нужный сайт по прежнему не открывается, попробуйте отключить все установленные расширения.
Попасть в меню управления плагинами достаточно просто. Можете просто скопировать этот путь в своем браузере:
- Chrome: chrome://extensions/
- Яндекс Браузер: browser://tune/
- Opera: opera://extensions
- Firefox: about:addons.
Файрвол и антивирус
Блокировать открытые ресурсы могут антивирусники и межсетевой экран. Попробуйте ненадолго их отключить, чтобы проверить, не они ли блокируют доступ к необходимому HTTPS сайту.
Последние версии антивирусных программ содержат в себе опцию проверки SST/TLS сертификатов. Опция эта работает в автоматическом режиме. Если антивирусник заметит, что интернет-платформа применяет самоподписанный или плохо защищенный сертификат (бесплатные SSL) — он может ограничить к ней доступ. Это также касается неактуальной версии SSL-протокола.
Для выхода из сложившейся ситуации необходимо открыть параметры антивирусной программы, найти раздел со сканированием и отключить режим проверки SSL сертификатов и HTTP/HTTPS трафика. Единого решения для всех антивирусников нет, так как каждый из них блокирует свои разделы. Так, например, в Dr. Web может не пускать на страницу опция «SpIDer Gate», а ESET NOD 32 — в фильтр веб-протоколов.
Настройка фильтрации веб-протоколов в ESET
Часовой пояс
Даже такие незначительные детали, как часовой пояс или не отвечающая действительности дата, могут послужить причиной отказа в доступе к HTTPS площадке. Связана такая закономерность с выполнением сетевой аутентификации. Система осуществляет проверку даты создания и истечения сертификатов, из-за чего и появляются «несостыковки». Во избежание подобных сложностей в настройках лучше всегда правильно указывать часовой пояс.
Правильно узнать свой часовой пояс можно через сервис 2ip.ru, который укажет город регистрации вашего провайдера. Именно по этому городу выставляйте свой часовой пояс. В случае с правильным временем нужно установить автоматическое определение.
Сертификаты ОС
Одна из вероятных причин блокировки доступа к определенным платформам может заключаться в корневых сертификатах вашей операционки. Если вы долгий период не обновляли Windows, то на ПК с большой долей вероятности отсутствует «TrustedRootCA» — корневые сертификаты (доверенные). Этот нюанс решается простым и очевидным решением — обновлением операционной системы. Следует запустить установку актуальных апдейтов через Центр обновлений. Если же на ПК установлена Windows 7, то необходимо заняться обязательной инсталляцией SP1 (KB976932), а также обновлением KB2998527.
Поддержка протоколов
Чтобы дальше спокойно заходить на открытые ресурсы без каких либо сложностей, можно обратиться к чуть более сложному способу, чем указанные выше — следует включить поддержку TLS и SSL.
Устаревшие версии указанных протоколов отключены потому, что сейчас злоумышленники могут создавать слишком много угроз для перехвата данных в трафике HTTPS типа. Включение старых протоколов может поставить под угрозу безопасность пользователя во время использования Интернета. Используйте способ только в том случае, если предыдущие не помогли.
На сегодняшний день браузеры не используют ненадежные старые протоколы и уже давно перешли на актуальные. Чтобы активировать устаревшие протоколы SSL/TLS необходимо:
- В «Панели управления» нужно найти «Свойства браузера»;
- Выбираем раздел с дополнительными настройками;
- Ставим галочки возле строчек TLS 1.0, TLS 1.1, TLS 1.2, SSL 3.0, 2.0;
- Закрываем и открываем браузер.
Активация TSL протоколов в браузере
Если и этот способ не помог, то можно попробовать такой вариант:
- В папке system32 находим документ hosts и проверяем его на наличие статических записей;
- Открываем настройки сетевого подключения, выбираем раздел с предпочитаемым DNS сервером и набираем адрес 8.8.8.8;
- Снова заходим в панель управления в раздел «свойства браузера», выбираем уровень безопасности для Интернета средний или выше среднего. Обязательно нужно изменить этот параметр, если он обозначен как высокий, в противном случае ничего не получится.
Повышение уровня безопасности для сайтов
Клиент и сервер поддерживают разные версии протокола SSL при входе в zakupki.gov.ru
Если аналогичные ошибки возникают при входе на сайт zakupki.gov.ru или прочие государственные порталы — следует проверить следующие моменты:
- Проверить совместимость IE 11 версии с 10. Входить в закупки нужно только через обновленный Internet Explorer
- Добавить площадку в перечень доверенных узлов;
- Настроить параметры безопасности;
- Настроить окна (всплывающие);
- Переопределить обработку куки в автоматическом режиме;
- Установить параметры обозревателя;
- Удалить временные файлы, истории просмотров и куки;
- Добавить «zakupki.gov.ru» для просмотра в режиме совместимости;
- Установить и настроить КриптоПро CSP;
- Установить и настроить «КриптоПро ЭЦП Browser plug-in»;
- Перерегистрировать сертификат, если он устарел.
Полную инструкцию с детальным описанием каждого пункта можно найти на сайте zakupki.gov.ru/epz, скачав «Инструкцию по настройке рабочего стола».
Заключение
Как показывает практика — на обновленных Windows такие ошибки на сайтах не выскакивают, а клиент и сервер поддерживают совместимые версии ssl-протоколов и наборы шифров соответствуют всем требованиям. В случае с закупками советуем обновить Internet Exprolel и провести настройку доступов, строго придерживаясь указанной в ссылке инструкции.
Что делать, если сайт использует неподдерживаемый протокол?
Уведомление, что на конкретном сайте используется неподдерживаемый протокол ,
указывает на возникшую проблему, но не дает информации по поводу путей для диагностики и ее быстрого устранения. Устранить неисправность нужно самостоятельно, используя приведенный в статье алгоритм действий. Главное понимать, что страница, на которую вы собираетесь перейти, действительно не содержит для вас и ваших данных никакой потенциальной опасности.
Особенности ошибки
В браузерах Chrome, Opera, Яндекс. Браузер и Mozilla данная ошибка может писаться с неким отличием, но это не меняет суть проблемы. Дополнительной информацией может служить:
- Текст ошибки – этот сайт не может обеспечить безопасное соединение.
- Код ошибки – ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
- Подробности – клиент и сервер работают с разным набором шрифтов и их SSL-протоколы отличаются.
При этом неисправность может распространятся на страницы с безопасным протоколом соединения https, так и на обычные http страницы. Еще важно понимать, на чьей стороне ошибка.
Если не открывается:
- Один новый или малопосещаемый сайт – вероятно, проблема на стороне сайта и соединение не устанавливается из-за слетевшего SSL-сертификата.
- Один сайт с внушительной аудиторией – проблема может быть как на стороне сайта (которая устраняется довольно быстро), так и на вашей стороне.
- Множество страниц по различным доменным именам выдают эту ошибку – скорей всего, проблема на вашей стороне или стороне провайдера.
Во втором, и особенно в третьем случае, нужно понимать, что на уровне браузера, операционной системы или протоколов сети случился сбой. Чтобы выявить и устранить проблему, придерживайтесь дальнейшей инструкции.
Причины
Есть распространенные причины появления ошибки «Неподдерживаемый протокол»:
- Неправильная или незавершенная загрузка страницы с последующим сохранением ее в кэше.
- Сбились настройки SSL-сертификатов в браузере после использования расширений и различных скриптов.
- Активировалось или было ранее активно вредоносное программное обеспечение на компьютере.
- Сбой используемых DNS и предоставление ими неверной информации о доменном имени.
О маловероятных причинах будет указано ниже, если инструкция устранения неисправности не принесла должных результатов.
Устранение неисправности
Что делать, если сайт использует неподдерживаемый протокол:
- Находясь на странице с такой информацией, нажмите Ctrl + 5 . Комбинация обновляет страницу с полным удалением кэша и загрузкой всех ее элементов заново. Или же можете очистить кэш и куки вашего браузера.
- Перезапустите браузер. Закройте его, проверьте, чтобы в системном трее (области уведомлений) и в диспетчере задач не было никакой активности от него.
- Вместе с браузером можете перезагрузить маршрутизатор. Это действие может помочь, если провайдер предоставляет динамические IP-адреса (что скорее всего).
- Проверьте работу этой же страницы в другом браузере, скопировав ссылку в адресную строку. Если вы работали в Яндекс. Браузере (или другом браузере на движке Chromium), проверьте работоспособность страницы в Mozilla Firefox.
- При выявлении проблемы в новом браузере, перейдите к следующему пункту. При нормальном взаимодействии с сайтом/сайтами в Firefox, верните настройки используемого ранее браузера по умолчанию, отключите все расширения или переустановите браузер.
- Проверьте операционную систему на вирусы. Для этого подойдут бесплатные десктопные DrWeb CureIt! и Malwarebytes. Сканируйте несколькими антивирусами вашу систему и удалите найденные зловреды.
- Очистите папку с временными файлами системы. Нажмите + R и выполните команду %TEMP%.
Это поможет освободить немного памяти и удалить временные файлы, что с помощью каких-либо процессов активности делали подмену DNS.
- После сканируйте систему с помощью программы CCleaner или ее аналога, на предмет мусора, временных файлов и ошибок реестра. Очищайте, исправляйте и проверяйте работу страниц в браузере.
- Если используете более тяжелые антивирусы, с пусканием корней в операционную систему, отключите на время их защиту и проверьте загрузку страниц. Если этот способ помог, вероятно, что сайт или протоколы, что он использует, обозначены антивирусом как «небезопасные».
- Маловероятно в последних версиях Windows 10, но все же проверьте, правильно ли выставлены дата, время и часовой пояс. Из-за некорректной информации может считываться верная дата окончания SSL-сертификата и сравниваться с неверной датой в операционной системе.
Если комплекс процедур не помог устранить проблему, и она час от часу пробивается с различных браузеров на разных сайтах и страницах, есть последний вариант – сброс протоколов SSL на компьютере. Последняя же, крайняя мера, – откат или полноценная переустановка операционной системы.
Сброс SSL-Сертификатов
Прежде, чем переходить на радикальные меры, залезьте в настройки SSL-сертификатов:
- Нажмите + R и выполните команду control.
- Найдите и откройте «Свойства браузера».
- Перейдите в раздел «Дополнительно» и нажмите «Восстановить дополнительные параметры». Если страницы не заработают, жмите «Сброс…».
- Подтвердите команду.
- Далее перейдите в раздел «Содержание» и нажмите «Очистить SSL».
- После очистки кэша перезагрузите компьютер.
- Проверяйте поддержку SSL-сертификатов, вновь загрузив нужную страницу.
Заключение
После всех проделанных манипуляций нужные страницы должны заработать. В противном случае можно сделать логический вывод, что операционную систему сильно потрепали вирусы, и она нуждается в восстановлении (переустановке). Или проблема остается на стороне провайдера, или же сайта (если только он один не работал).
ERR SSL VERSION OR CIPHER MISMATCH в браузере — как исправить?
Среди наиболее распространенных ошибок в браузере Google Chrome, Microsoft Edge, Opera, Яндекс Браузер при открытии сайтов или определенных разделов в них — сообщение «Этот сайт не может обеспечить безопасное соединение. На сайте используется неподдерживаемый протокол» с кодом ошибки ERR_SSL_VERSION_OR_CIPHER_MISMATCH, а в подробностях — «Клиент и сервер поддерживают разные версии протокола SSL и набора шифров».
В этой инструкции подробно о том, как исправить ошибку ERR_SSL_VERSION_OR_CIPHER_MISMATCH для различных ситуаций и браузеров: как для «обычных» сайтов, так и для различных государственных сайтов, где проблема может иметь иной характер.
Решение проблемы «Неподдерживаемый протокол» ERR_SSL_VERSION_OR_CIPHER_MISMATCH
В общем случае ошибка возникает при установке зашифрованного соединения с сайтом на этапе TLS Handshake. Если на сайте используется протокол шифрования или длина ключа, не поддерживаемые вашим браузером, результат — ошибка ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
В случае, если ошибка появляется при доступе к обычному сайту в Интернете: не являющемуся сайтом госструктуры, банка, сервиса закупок, вы можете использовать следующие методы для исправления проблемы (способы описаны для Windows 10, Windows 11 и предыдущих версий):
- Нажмите клавиши Win+R
на клавиатуре (Win — клавиша с эмблемой Windows), введите inetcpl.cpl
и нажмите Enter. На вкладке «Дополнительно» включите TLS 1.0, 1.1, 1.2 и 1.3, если они не активны. Также попробуйте включить SSL 3.0. - Для браузера Google Chrome: откройте страницу chrome://flags
(введите этот адрес в адресную строку и нажмите Enter), выполните поиск (поле вверху страницы) по слову TLS и отключите параметр «Enforce deprecation of legacy TLS versions» (установите в Disabled), выполните то же самое для параметра «Experimental QUIC protocol». После этого нажмите по появившейся кнопке перезапуска браузера. - Очистите SSL: также как на первом шаге откройте окно свойств Интернета (Win+R — inetcpl.cpl) и нажмите «Очистить SSL» на вкладке «Содержание».
- Если на компьютере используется VPN или прокси, отключите их. Причем для системных параметров прокси отключите опцию «Автоматическое определение параметров» — в том же окне, что и на предыдущем шаге перейдите на вкладку «Подключения», нажмите «Настройка сети» и снимите отметку, если она установлена.
- Функции защиты сети в сторонних антивирусах тоже могут оказаться причиной проблемы — попробуйте временно отключить их при наличии.
- Попробуйте очистить кэш и куки браузера. В Google Chrome это можно сделать, нажав клавиши Ctrl+Shift+Delete
и подтвердив удаление данных. Либо в разделе «Конфиденциальность и безопасность в настройках браузера. - Использование старой операционной системы (например, Windows XP) без возможности новых версий браузеров и без встроенной поддержки новых протоколов шифрования может приводить к указанной ошибке. Можно попробовать получить доступ к сайту по протоколу http, для этого в адресе сайта вручную измените https:// на http://
Если описываемые методы не помогли, то в теории причиной проблемы может оказаться очень старая версия браузера (особенно если вы используете portable-версию), или проблемы с самим сайтом, в частности с используемым им SSL-сертификатом и шифрованием. Но в этом случае могут помочь способы, описанные в следующем разделе для сайтов с шифрованием по ГОСТ.
Ошибка ERR SSL VERSION OR CIPHER MISMATCH для государственных сайтов с шифрованием по ГОСТ
Среди сайтов, при доступе к которым браузер может выдавать указанную ошибку — различные сайты госструктур, иногда — банков, в рекомендациях по доступу к которым обычно указан браузер Internet Explorer (кстати, его использование действительно может решить проблему, но это не всегда возможно). Если вы также столкнулись с ошибкой при открытии такого сайта, возможные варианты действий:
- Использовать Яндекс. Браузер (он поддерживает шифрование по российским ГОСТам) или Chromium Gost — https://www.cryptopro.ru/products/chromium-gost
- Внимательно изучить информацию на проблемном сайте: в частности, в справке может быть указано на необходимость установке сертификатов на компьютере с инструкцией о том, как именно это выполнить.
Видео инструкция
Если в вашей ситуации работоспособным оказался какой-то иной способ, буду благодарен комментарию с его описанием: возможно, он сможет помочь кому-то из читателей.
Требования к компьютеру
Для работы с ФЗС требуется:
- установить КриптоПро 4.0
(инструкция по установке тут
); - установить КриптоПро ЭЦП Browser plug-in
(инструкция по установке тут
); - интернет-браузер Internet Explorer 9 и выше.
Только потом пробуем зайти на портал ФЗС по адресу https://fzs.roskazna.ru/
(через Internet Explorer 9 и выше!).
Комплект документов для оформления сертификата ЭП через ФЗС
До начала работы с ФЗС желательно заранее подготовить и отсканировать (не более 1 МБ каждый файл, допустимые форматы jpg, bmp, tif, pdf, rar, zip и др.) следующий комплект документов:
- Согласие на обработку персональных данных от Заявителя (будущего владельца сертификата ЭП). Скачать шаблон Согласия
; - Документ Организации-заявителя, подтверждающий полномочия Заявителя. Это может быть Приказ или Доверенность. Скачать шаблон Доверенности
; - Еще одна доверенность нужна, если вместо Заявителя документы в казначейство предоставляет Уполномоченное лицо. Доверенность подтверждает право действовать от имени Заявителя. Скачать шаблон Доверенности
; - Копия паспорта заверенная собственноручно.
Работа с интерфейсом в ФЗС
При открытии ФЗС видим такую страницу, на ней необходимо нажать кнопу «СФОРМИРОВАТЬ КОМПЛЕКТ ДОКУМЕНТОВ».
В следующем окне необходимо выбрать Субъект РФ, где будете подавать документы, выбрать галку «Сведения подаются Уполномоченным лицом» (если за владельца сертификата относить пакет документов в казначейство будет другой человек), указать ОГРН и ИНН вашей организации и нажать кнопку «ДАЛЕЕ».
Cведения для включения в запрос на сертификат
Необходимо выбрать тип сертификата (cертификат физического лица, сертификат юридического лица, сертификат юридического лица без ФИО). В нашем случае это сертификат физического лица. Далее в блоке «Сведения для включения в запрос на сертификат» нажимаем кнопку «ВНЕСТИ СВЕДЕНИЯ».
В открывшемся окне необходимо выбрать полномочия будущего сертификата ЭП.
Для работы в СУФД АСФК необходимо активировать все галочки, кроме тестирования.
Для работы в ГМУ (сайт bus.gov.ru) отмечаем галочки «Работа с ГМУ. Базовый OID» и «Работа с ГМУ. Э П администратора организации» и/или «Работа с ГМУ. Э П уполномоченного специалиста».
Для работы в ЕИС (zakupki.gov.ru), Электронном бюджете Казначейства, Электронном бюджете Минфина, ГАС «Управление» достаточно роли «Аутентификация клиента» (активна по умолчанию).
После выбора полномочий необходимо указать данные владельца сертификата:
- Фамилия;
- Имя;
- Отчество (необязательно);
- ИНН (проверяйте соответствие ИНН паспортным данным на сайте налоговой
. В случае несоответствия в первую очередь обращайтесь в налоговую для уточнения ИНН и только потом подавайте запрос на издание сертификата); - СНИЛС;
- E-mail (на указанную почту придет извещение о готовности сертификата);
- Регион (уже заполнен);
- Населенный пункт;
- Формализованная должность (Это поле появляется при указании полномочий работы в СУФД АСФК. Это не просто должность заявителя. Формализованная должность зависит от права 1-ой или 2-ой подписи в карточке образцов подписей, предоставляемой организацией казначейству. Если у заявителя право 1-ой подписи — выбираем «Руководитель», право 2-ой подписи — «Главный бухгалтер».);
- Учетный номер организации ГМУ (ищем Реестровый номер в перечне ГМУ
); - Класс средств ЭП (необходимо выбрать значение соответствующее установленной версии «КриптоПро» CSP, для большинства это КС1, иногда КС2);
- Криптопровайдер (CSP) (стоит по умолчанию «Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider»).
После заполнения всех полей нажимаем кнопку «СОХРАНИТЬ И СФОРМИРОВАТЬ ЗАПРОС НА СЕРТИФИКАТ».
Далее подтверждаем доступ в интернет — нажимаем «Да».
Возникает окно КриптоПро, предлагающее вставить и выбрать носитель для закрытого ключа. Вставляем Рутокен или флешку в USB-порт и выбираем его в окне (Aktiv Co. ruToker 0 или диск D). В Вашем случае буква диска может быть другой. Нажимаем «ОК».
Активно двигаем мышкой и/или нажимаем на клавиатуру пока КриптоПро генерирует новый ключ.
Вводим пароль для создаваемого контейнера. Введенный пароль запоминаем, а лучше записываем — никто не поможет восстановить пароль, если он будет утерян. Нажимаем «ОК».
Первый этап пройден, закрытый ключ создан на носителе, сохранен черновик запроса, Вам известен номер запроса. По ссылке запрос будет доступен 1 месяц. Этого времени вполне достаточно, чтобы успеть оформить необходимые документы.
Скопируйте и сохраните номер запроса и ссылку на запрос, чтобы не потерять проделанную работу.
Документы для получения сертификата
Следующий этап — внесение паспортных сведений и загрузка сканов документов. Для этого необходимо в блоке «Документы для получения сертификата:» нажать кнопку «ВНЕСТИ СВЕДЕНИЯ».
В открывшемся окне необходимо ввести паспортные данные владельца сертификата и загрузить сканы документов:
- Согласие на обработку персональных данных;
- Документ Организации-заявителя, подтверждающий полномочия Заявителя (в нашем случае это доверенность, возможен приказ);
- Доверенность или иной документ, подтверждающий право действовать от имени Заявителя (доверенность на уполномоченное лицо).
Заявление на сертификат
Возвращаемся на главную страницу формирования запроса на сертификат, где надо нажать кнопку «СФОРМИРОВАТЬ ЗАЯВЛЕНИЕ».
В заявлении необходимо заполнить наименование документа, подтверждающего полномочия получателя сертификата (Доверенность или Приказ), дату и номер документа.
Заполняем обязательные поля (выделенный красным) и нажимаем кнопку «СОХРАНИТЬ И СФОРМИРОВАТЬ ПЕЧАТНУЮ ФОРМУ».
Нажимаем кнопку «ПЕЧАТЬ» и печатаем в 2-х экземплярах. Полученное заявление подписываем, ставим печать, сканируем и загружаем в ФЗС (нажать кнопку «ОБЗОР») и подаем запрос в казначейство (кнопка «ПОДАТЬ ЗАПРОС»).
остается отнести все документы нарочно в казначейство (доверенности или приказ+доверенность, согласие на обработку персональных данных, копию паспорта и заявление). Запрос на флешке в казначейство теперь не надо нести — хоть какое-то облегчение.
На наш взгляд, с введением ФЗС проще обычному клиенту при первом обращении в УЦ казначейства не стало. А Вы как думаете?