Ошибки при входе в личный кабинет налогоплательщика nalog.ru

Добрый день. Зачастую при доступе и открытии личных кабинетов (ЛК) на сайте nalog.ru — индивидуального предпринимателя или юридического лица — пользователи сталкиваются с ошибками.

Наиболее распространенная ошибка:

«Этот сайт не может обеспечить безопасное соединение
На сайте <адрес> используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Неподдерживаемый протокол
Клиент и сервер поддерживают разные версии протокола SSL или набора шифров».

Ошибки при входе в личный кабинет налогоплательщика nalog.ru

Ранее на канале уже были опубликованы статьи по этой теме. Вот они:

1. На сайте lkul.nalog.ru используется неподдерживаемый протокол.
2. Ошибка «На сайте используется неподдерживаемый протокол». Код ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Ничто не стоит на месте, порталы ФНС развиваются — и часть рекомендаций из тех публикаций, возможно, уже устарела.

Цель статьи — объединить базовые проверки сервисов с решениями, которые оставлены читателями в комментариях. Моментов, которые сработали у них. Надеемся, что эта «смесь» в итоге поможет и вам найти свой выход.

С одним допущением — дальше по тексту рассматриваем на примере криптопровайдера КриптоПро CSP.

Хотя общий набор гораздо шире: КриптоПро CSP, Signal-COM CSP, VipNET CSP, ЛИССИ-CSP.

Вход с устройствами: Рутокен Lite, Рутокен S, Рутокен ЭЦП 2.0, ESMART Token, ESMART Token ГОСТ с ключами формата КриптоПро CSP, а также иные, соответствующие требованиям Федерального закона № 63-ФЗ.

I. Требования к программному обеспечению (ПО) рабочего места и настройке окружения

• ОС Windows 7 с пакетом обновления 1 (SP1) и выше, Mac OS X 10.13 или выше.
• Криптопровайдер с поддержкой алгоритмов шифрования ГОСТ 34.10-2001, ГОСТ 28147-89, ГОСТ Р 34.11-2012.
• Браузер с поддержкой шифрования защищенных соединений по ГОСТ 34.10-2001, ГОСТ 28147-89, ГОСТ Р 34.11-2012 (рекомендуемые браузеры Яндекс.Браузер, Спутник).
• Программный компонент для работы с электронной подписью с использованием Web-браузера (Крипто ПРО ЭЦП browser plug-in версии 2.0 и выше).
• Порты 80 и 443 должны быть открыты для отправки и приема данных из сети Интернет. Для Internet Explorer — необходимо добавить адреса http://*.nalog.ru и https://*.nalog.ru в зону надежных узлов.

1. Проверьте, что используется совместимый браузер

Откройте браузер и убедитесь, что его тип и версия соответствуют рекомендуемым. Например, через меню «Параметры — Справка/Дополнительно — О браузере»:

• Яндекс.Браузер версии 19.3 или выше;
• Спутник версии 4.1.2583.0 (Официальная сборка) или выше;
• gostssl (32 бит);
• Internet Explorer версии 11.0.9600.xxxxx или выше.

В интернет-обозревателе должна быть включена поддержка cookies.

Если ваш браузер устарел и не подходит по релизу, то выполните обновление. Либо установите другой браузер из списка рекомендуемых и проверьте возможность работы с порталами уже в нем.

На примере Яндекс.Браузера

Рекомендация для Яндекс.Браузера — проверьте, что в меню «Настройки — Системные» включена опция «Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP».

Включение опции «Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP» в Яндекс.Браузере

2. Проверьте версию КриптоПро CSP

Рекомендуем установить актуальную сертифицированную версию 5.0 с официального сайта. На момент написания статьи — 5.0 R2 (5.0.12000).

КриптоПро CSP — загрузка файлов

Почему именно 5.0, а не 4.0. Источник на форуме продукта «Chromium + ГОСТ»:

Модуль Network в Chromium с 90 версии был помещён в песочницу, то есть теперь к библиотекам уровня Network предъявляются повышенные требования.

Все версии CSP 5.0 удовлетворяют данным требованиям, CSP 4.0 к сожалению нет.

Поэтому всем пользователям CSP 4.0 для работы TLS в браузере Chromium-Gost версии 90 и выше рекомендуется просто перейти на 5.0, первая сертифицированная версия 5.0.11455 поддерживает приобретённые лицензии от CSP 4.0 в полном объёме.

Проверки:

• Убедитесь, что у КриптоПро CSP не истек срок действия и ваша ознакомительная/действующая лицензия активирована. Информация о лицензии показа на вкладке программы «КриптоПро CSP — Общие».

3. Проверка установки сертификатов

Рекомендации со страницы диагностики подключения с помощью программного криптопровайдера:

• Установлены сертификат Головного Удостоверяющего Центра и сертификат удостоверяющего центра Минкомсвязи в хранилище сертификатов «Доверенные корневые центры».
• Сертификат «Федеральной налоговой службы» установить в хранилище сертификатов «Промежуточные центры сертификации».
• В хранилище сертификатов «Личные» установлен КСКПЭП, выданный юридическому лицу аккредитованным удостоверяющим центром, и успешно создана электронная подпись с использованием КСКПЭП юридического лица.

4. Проверьте работоспособность плагина КриптоПро ЭЦП Browser plug-in

Дополнительное ПО — КриптоПро ЭЦП Browser plug-in

• Скачайте актуальную версию плагина с официальной страницы.
• Полностью завершите работу браузера(-ов) в системе.
• Выполните установку/обновление плагина.
• Проверьте работу установленного плагина по ссылке в третьем пункте «Проверить работу плагина». Будьте внимательны, дополнительно может потребоваться установка и активация расширения КриптоПро для вашего браузера! Для Яндекс.Браузера: установите расширение КриптоПро ЭЦП из магазина дополнений Opera (через меню «Настройки — Дополнения»), а не Google.
• Внесите адреса порталов ФНС в настройки доверенных сайтов:
  http://*.nalog.ru
  https://*.nalog.ru

Настройки КриптоПро ЭЦП Browser plug-in

На этом этапе на странице «Проверка создания электронной подписи CAdES-BES» выбор сертификата/ключа и формирование тестовой подписи в браузере должны выполняться успешно.

II. Рекомендации пользователей по обходу ошибок

1. Настройте антивирусное ПО

«Все перепробовал, помогла только настройка Касперского (настройки сети): добавил домены налоговой в доверенные адреса и снял галочку с "Блокировать соединения по протоколу SSL 2.0".

__________
Помогло отключение антивируса (касперский).

__________
Помог совет : Отключите проверку защищенных соединений https или поставьте адрес в доверенные узлы сетевого модуля. Проверьте, что у вас не включено https-сканирование (встречается в Avast и ESET). у меня как раз антивирус аваст»

__________
Брандмауэр на шифрование передаваемых пакетов не влияет, а вот антивирусник — запросто. Резюме — настраиваем его, если он платный, или сносим/отключаем — если бесплатный.

Найдите в вашем антивирусе соответствующие настройки и выберите допустимое решение:

• Отключите блокировку соединений по протоколу SSL 2.0.
• Отключите проверку защищенных соединений (https-сканирование).
• Добавьте домены налоговой в доверенные адреса.

На примере Kaspersky Total Security:

— настройка опций в «Настройка — Настройка сети — Не проверять защищенные соединения»;

— настройка исключений в «Настройка — Защита — Веб-Антивирус — Расширенная настройка — Доверенные веб-адреса» или добавить сайт в доверенные узлы «Настройка — Настройки сети — Доверенные адреса».

«Не проверять защищенные соединения»

2. Минуйте страницы диагностики и перейдите по прямым ссылкам

Win 11. IE в нем как таковой выпилен. Помогает режим совместимости с IE в настройках Edge (но он глючит бывает). Вчера установил Хром ГОСТ, не проходит проверку. Но при переходе по прямым ссылкам - входит и в ЮЛ и в ИП без проблем. Просто добавил их закладки.

Перейдите прямо в ЛК — просто проверьте, получится ли войти:

• для Личного кабинета ЮЛ — https://lkul.nalog.ru;
• для Личного кабинета ИП — https://lkipgost2.nalog.ru/lk.

Также попробуйте войти, изменив в адресной строке "https" на "http".

3. Установите дополнительные корневые сертификаты

У нас тоже перестал работать ЛК ФНС для ЮЛ, работали раньше через Internet Explorer (либо ошибки при подписании, либо вообще не запускается - на странице проверки (диагностики) не проходит последний этап.

Помогло следующее.

1. Перешли на ЯндексБраузер.

2. В ЯндексБраузере устанавливаем дополнение Crypto-Pro Cades Plugin (выбираем то, что из магазина дополнений Opera, а не Google; с дополнением от Google почему-то у меня не сдружилось).

3. Устанавливаем корневые сертификаты 2016, 2017, 2018, 2020 годов в хранилище «Промежуточные центры сертификации» с сайта.

Корневые сертификаты Удостоверяющего центра АО «ГНИВЦ» — здесь.

4. Наличие нескольких криптопровайдеров

Как правило, для подключения к сайтам госорганов требуется использовать Крипто Про CSP. Поэтому если стоит другой криптопровайдер — удаляем. Если стоит СКЗИ другого производителя, она как правило имеет свой криптопровайдер, на время работы с КриптоПро родной останавливаем, во избежание проблем.

Одновременная и корректная работа с разными криптопровайдерами на одном ПК не гарантируется. Если установлены прочие СКЗИ — удалите их или перейдите на другое рабочее место.

5. Включите только TLS

По поводу протокола SSL — такая ошибка возникает именно потому, что этот протокол включен, отключаем.

6. Для пользователей Mac OS

Удалось успешно пройти этот дурацкий последний пункт на сайте ФНС на Mac Os через Yandex Browser (Проверка защищённого соединения с сервером Личного кабинета юридического лица).

Помимо того, что отключить всю возможную защиту браузера в настройках. САМЫМ КЛЮЧЕВЫМ стало, что открытие браузера через команду в терминале (Finder-Программы-Утилиты-Терминал) и вставить туда эту команду:

/Applications/Yandex.app/Contents/MacOS/Yandex --no-sandbox

Далее зайти на сайт, повторно начать проверку, и всё заработает как надо!

✅ Если какая информация из этой «солянки» будет полезна — отлично. Расскажите о своем опыте и успешном соединении в комментариях для других читателей. Успехов вам!

_____________________________________

⚡ Подписывайтесь на канал или задавайте вопрос на сайте — постараемся помочь всеми техническими силами. Безопасной и производительной работы в Windows и 1С.