С такой ошибкой к нам обратился клиент. Подключение идет с ПК Windows 7, на борту КриптоПро и Яндекс.Браузер. Последний — в списке рекомендуемых. Но что-то мешает.
Описание ошибки
«Этот сайт не может обеспечить безопасное соединение
На сайте lkul.nalog.ru используется неподдерживаемый протокол
ERR_SSL_VERSION_OR_CIPHER_MISMATCH»
Как правило, в таких случаях следует проверить стандартный, не всеми любимый Internet Explorer. Открыли, но также быстро закрыли — версия устарела (требуется 11.0.9600.xxxxx или выше). Вариант отпадает.
Конечно же, сделали попытку обновления IE, но получили еще больше предупреждений — мол, не хватает нескольких обязательных обновлений WIndows. Получается процесс затяжного и неустойчивого характера — отложили идею, поставив на полку до лучших времен.
Проверили ключ, сертификат и формирование подписи на тестовой странице — ошибок нет.
Интуитивно: не хватает какой-то настройки, когда браузер должен корректно спросить сертификат и отправить на сайт.
Chromium-GOST
Для тех, кто любит быстрые решения. Нас выручил специализированный Chromium-GOST, в который встроены алгоритмы шифрования ГОСТ.
На нем все запустилось, и мы сразу попали в личный кабинет ЮЛ.
Прочие рекомендации
1. Условия доступа
Еще раз ознакомьтесь с требованиями на странице выполнения условий доступа. Во время проверки сервис дает подсказки, на каком этапе есть ошибки. Позовите на помощь знакомого ИТ-специалиста.
2. Яндекс.Браузер
- обновите версию браузера до актуальной (Меню «Дополнительно — О браузере» или скачайте инсталлятор с официального сайта);
- в настройках активируйте опцию «Подключаться к сайтам, использующим шифрование по ГОСТ» (меню «Настройки — Системные — Сеть»);
- на вкладке «Настройки TLS» для КриптоПро CSP снимите галку «Не использовать устаревшие cipher suite-ы».
3. Версии протоколов
Для теста включите в настройках браузера поддержку старых версий протоколов SSL/TLS.
Например, для IE — TLS 1.0, TLS 1.1 и TLS 1.2, а также SSL 2.0 и 3.0.
Пуск — Выполнить — inetcpl.cpl — вкладка «Дополнительно»
4. Очистка кэша SSL
Если вы работаете с несколькими учетными записями (сертификатами), при каждой смене пользователя необходимо очистить SSL (Настройки — Свойства браузера — вкладка «Содержание» — Очистить SSL).
Пуск — Выполнить — inetcpl.cpl — вкладка «Содержание»
5. Прямая ссылка на ЛК
Минуйте страницу проверки (диагностики) — перейдите прямо в ЛК, заменив в адресной строке протокол http на https. Просто проверьте, получится ли войти:
6. Запуск браузера без расширений/другие браузеры
Отключите в настройках браузера дополнительные расширения, чтобы исключить их влияние на работу с порталом ФНС.
Протестируйте работу в другом браузере из списка поддерживаемых:
- Яндекс.Браузер версии 19.3 или выше;
- Спутник версии 4.1.2583.0 (Официальная сборка) или выше, gostssl (32 бит);
- Internet Explorer версии 11.0.9600.xxxxx или выше;
- Chromium-GOST.
7. Настройка антивируса/брандмауэра
Временно отключите антивирусную программу или проверьте, что у вас в не включено https-сканирование (встречается в Avast и ESET).
Задача — отключение опции SSL-сканирования («SSL scan»). Либо настройте исключения для площадок ФНС.
8. Проверка времени и даты
Проверьте установку времени, даты и часового пояса на вашем ПК. При необходимости измените их значения на корректные или включите автоматическую синхронизацию по расписанию.
9. Другие средства защиты
Одновременная и корректная работа с разными криптопровайдерами (VipNet CSP, Континент-АП, Агава и др.) на одном ПК не гарантируется. Если установлены прочие СКЗИ — удалите их или перейдите на другое рабочее место.
✅ В настройке подключения есть свои тонкости и набор средств. Поэтому, каждый случай надо рассматривать отдельно. Универсального решения нет, проверьте рекомендации — что-то должно помочь. Успехов вам!
_____________________________________
⚡ Подписывайтесь на канал или задавайте вопрос на сайте — постараемся помочь всеми техническими силами. Безопасной и производительной работы в Windows и 1С.