Браузеры¶
Отечественные браузеры и поддержка шифрования TLS по ГОСТ 34.10-2012¶
Выбираем и настраиваем отечественный браузер с поддержкой шифрования TLS по ГОСТ 34.10-2012 (далее просто «ГОСТ»):
Пояснения по пунктам:
- Чтобы работало шифрование TLS по ГОСТ 34.10-2012 и электронная подпись, необходимо установить КриптоПро CSP. Рекомендуется последняя сертифицированная версия 4.0.9963 или 5.0.
- Отечественные браузеры, входящие в реестр отечественного ПО, сделаны на основе Chromium (как и Google Chrome).
- Mozilla Firefox, Chromium, Google Chrome, Opera, Vivaldi, SeaMonkey не поддерживают TLS по ГОСТ.
-
[зеркало]
Выбирайте версию, соответствующую OS — 32-разрядную (386) или 64-разрядную.
- Для поддержки шифрования TLS по ГОСТ в Яндекс.Браузере нужно зайти в настройки и включить соответствующую опцию.
Есть проблема совместимости Яндекс.Браузера и TLS по ГОСТ, сайты могут работать некорректно.
-
(может пригодиться неофициальный способ настройки для многопользовательской среды) + необходимое расширение для Firefox
Подробнее о настройке браузеров для работы с электронной подписью и ЕСИА см. в отдельной обновляемой инструкции
- Установка браузеров в OS Linux в общих случаях может производиться из репозитория конкретного дистрибутива Linux (без скачивания с сайта бинарного пакета или архива с исходным кодом).
Поддержка Adobe Flash¶
Поддержка Flash выпилена из Windows и современных браузеров, так как технология объявлена устаревшей. Однако иногда Flash может понадобиться. В ряде случаев может помочь Ruffle, но удобнее воспользоваться портативным браузером.
1. Скачиваем портативный вариант браузера Pale Moon (проверялось на версии 29)
2. Распаковываем Pale Moon
3. Скачиваем NPSWF64 32.0.0.371 (файл в архиве имеет подпись Adobe)
4. Файл из архива копируем в подпапку /Lib/Mozilla/Plugins в папке Pale Moon
5. Запускаем браузер и проверяем работу нужных сайтов, требующих Adobe Flash
Какие браузеры поддерживают гост
Браузер Chromium-Gost — веб-браузер с открытым исходным кодом на основе Chromium с поддержкой криптографических алгоритмов ГОСТ (в соответствии с методическими рекомендациями ТК 26) при установке защищённых соединений через интерфейс msspi.
Основной задачей проекта является техническая демонстрация возможности встраивания ГОСТ в браузер с открытым исходным кодом Chromium. Данное технологическое решение может помочь разработчикам адаптировать браузер при встраивании поддержки ГОСТ.
Компания КриптоПро не является правообладателем браузера Chromium-Gost и не отвечает за его функционирование и поддержку на регулярной основе, продукт развивает и поддерживает сообщество разработчиков на безвозмездной и добровольной основе, среди которых важную роль составляют специалисты КриптоПро.
Скачать
Браузер Chromium-Gost доступен для операционных систем Windows, Linux и MacOS.
Ссылки для скачивания актуальных сборок и основная ветка разработки:
https://github.com/deemru/chromium-gost/releases/latest
Требования к системе
Для работы с алгоритмами ГОСТ требуется наличие в системе криптопровайдера, поддерживающего работу с российской криптографией.
В качестве криптопровайдера мы рекомендуем использовать КриптоПро CSP. Для работы с защищёнными соединениями не требуется покупка лицензии КриптоПро CSP, кроме того КриптоПро CSP имеет ознакомительный период с работой всех функций программы, включая работу с долговременными ключами и подписями на их основе. Для скачивания КриптоПро CSP достаточно пройти простую процедуру регистрации на сайте.
Проверка работоспособности
Если соответствующий криптопровайдер установлен в системе, то проверить работоспособность браузера Chromium-Gost, можно перейдя по ссылке на сервис для разработчиков https://gost.cryptopro.ru
Сертификат сайта должен выглядеть следующим образом, что подтверждает установку защищённого соединения по алгоритмам ГОСТ:
Альтернативный вариант проверки — через панель разработчика:
— Находясь в браузере, нажмите F12, откроется панель разработчика браузера
— Перейдите на вкладку Security
— Находясь на вкладке Security, обновите страницу (1 — на картинке ниже)
— Перейдите на появившуюся закладку https://gost.cryptopro.ru/ (2 — на картинке ниже)
— Проверьте данные соединения и сертификата (3 — на картинке ниже)
Если у вас показывается другой сертификат (примеры ниже), то попробуйте переустановить криптопровайдер и перезапустить браузер Chromium-Gost.
Или в альтернативном варианте проверки — если соединение не по ГОСТ:
Если у вас по какой-то причине не установлены корневые сертификаты (перечёркнут https, как на картинке ниже), мы рекомендуем переустановить криптопровайдер, воспользовавшись универсальным установщиком КриптоПро CSP с автоматической установкой необходимых корневых сертификатов.
Принцип работы
Оригинальная реализация Chromium при установке защищённых соединений использует библиотеку BoringSSL, которая не поддерживает криптографические алгоритмы ГОСТ. Для обеспечения работы ГОСТ-алгоритмов используется интерфейс msspi, который может поддерживать соответствующие алгоритмы, используя установленный в систему криптопровайдер.
При запуске браузера определяется наличие технической возможности работы криптографических алгоритмов ГОСТ через интерфейс msspi. В случае успеха при установке очередного защищённого соединения помимо оригинальных идентификаторов алгоритмов в пакете будут отправлены идентификаторы алгоритмов ГОСТ.
Если сайт поддерживает работу по ГОСТ, он может отреагировать на наличие этих идентификаторов предложением работы на ГОСТ-алгоритмах. Тогда защищённое соединение в рамках BoringSSL установлено не будет, так как BoringSSL не поддерживает ГОСТ, но поступит сигнал о соответствующей ошибке.
В случае возникновения подобного сигнала для данного сайта происходит переключение в режим работы интерфейса msspi. Если защищённое соединение успешно устанавливается через интерфейс msspi, сайт отмечается поддерживающим алгоритмы ГОСТ и все последующие с ним соединения будут использовать интерфейс msspi.
Для пользователя данный алгоритм работы остаётся прозрачен, так как Chromium автоматически устанавливает повторное соединение через интерфейс msspi.
Какой браузер лучше использовать для работы с ЭЦП?
Многие из нас предпочитают использовать Google Chrome, Safari, Opera или Microsoft Edge в качестве основного браузера для просмотра веб-страниц на своем компьютере. Однако получая ЭЦП, мы не задумываемся о том, что браузер, к которому мы привыкли может некорректно работать с сайтами, где планируется использовать полученный ключ ЭЦП. В этой статье мы расскажем, какие браузеры предпочтительнее использовать для работы с ЭЦП, на торговых площадках, портале госзакупок, для входа и подписания документов в личном кабинете ИП или юридического лица. Однако имейте ввиду, что для работы с ЭЦП установки одного браузера будет недостаточно. Потребуется как минимум скачать и установить КриптоПро. Если же вы всё равно сталкиваетесь с ошибками при работе с ЭЦП, можете обратиться к нашим специалистам. Мы поможем устранить возникшие ошибки и настроить ваше рабочее место.
Браузер Chromium-Gost
Само название браузера говорит нам о том, что он построен на базе движка Chromium. Внешне он никак не отличается от самого популярного браузера в мире — Google Chrome. Отличие только одно. В разработке браузера Chromium-Gost участвуют специалисты компании «КриптоПро», ведущего разработчика криптографического программного обеспечения. Именно браузер Chromium-Gost позволяет входить на многие российские сайты, которые используют нестандартное ГОСТ-шифрование. Установив этот браузер, вы забудете об ошибках «Этот сайт не может обеспечить безопасное соединение» ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Также будет устранены возможные ошибки при подписании документов в ЕИС и других электронных торговых площадках.
Но есть у этого браузера один неочевидный минус. Обновлять его потребуется вручную, каждый раз скачивая сборки новой версии браузера на GitHub. Как правило, обновления браузера Chromiuim-Gost соответствуют обновлениям стабильной версии Chromium, но периодически разработчики КриптоПро добавляют новые функции для ГОСТ-шифрования.
Яндекс Браузер
Этот браузер установлен у многих людей в нашей стране. Он, также как и браузер Chromium-Gost, позволяет заходить на сайты использующие ГОСТ-шифрование. Для его использования не требуется скачивать сборки на Github, обновляется он автоматически и без дополнительного вмешательства пользователя. Однако, как уже было нами не раз замечено, иногда в работе Яндекс Браузера случаются ошибки, которые приводят к невозможности подписания документов в ЕИС, а некоторые сайты открываются с ошибкой «Этот сайт не может обеспечить безопасное соединение» ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Но такие проблемы возникают не всегда. В большинстве случаев Яндекс Браузер работает корректно. Но если вы уже используете Яндекс Браузер и не удовлетворены им при работе с ЭЦП, рекомендуем скачать браузер Chromium-Gost. С высокой долей вероятности, установка нового браузера решит ранее появлявшиеся проблемы.
Используете другие браузеры для ЭЦП? Есть опыт использования Chromium-Gost или Яндекс Браузера?
Расскажите об этом в комментариях