Нет поддержки российских криптоалгоритмов при использовании tls казначейство как исправить

Сообщение “Нет поддержки российских криптоалгоритмов при использовании TLS” (или подобное) при работе с сайтом или программным обеспечением Казначейства указывает на то, что ваш браузер или операционная система не настроены для использования криптографических алгоритмов, соответствующих российским стандартам (ГОСТ). Это необходимо для безопасной связи с ресурсами Казначейства.

Вот пошаговая инструкция по устранению этой проблемы, разделенная на две основные части: установка криптопровайдера (CSP) и настройка браузера.

I. Установка криптопровайдера (CSP):

Криптопровайдер (CSP) — это программное обеспечение, которое обеспечивает поддержку российских криптографических алгоритмов. Наиболее распространенные CSP для работы с Казначейством:

• КриптоПро CSP: Это наиболее популярный и рекомендуемый CSP для работы с Казначейством.
• ViPNet CSP: Также распространенный CSP, но может потребовать дополнительных настроек.

В данном руководстве будем ориентироваться на установку КриптоПро CSP, так как это наиболее распространенный вариант.

1. Получение лицензии КриптоПро CSP: Для использования КриптоПро CSP необходимо приобрести лицензию. Лицензии бывают разных типов (пользовательские, серверные и т.д.). Выберите лицензию, соответствующую вашим потребностям. Обратитесь к официальному дистрибьютору КриптоПро для приобретения лицензии: https://www.cryptopro.ru/buy
2. Загрузка дистрибутива КриптоПро CSP: После приобретения лицензии вы сможете загрузить дистрибутив КриптоПро CSP с сайта КриптоПро или с сайта дистрибьютора.
3. Установка КриптоПро CSP:

• Запустите установочный файл csp*.exe (или setup.exe).
• Примите условия лицензионного соглашения.
• Выберите тип установки (обычно “Рекомендуемый”).
• Важно: Во время установки КриптоПро CSP вам будет предложено установить сертификаты соответствия. Согласитесь на установку сертификатов.
• Дождитесь завершения установки и перезагрузите компьютер.

1. Установка лицензии КриптоПро CSP:

• После перезагрузки компьютера откройте “Панель управления” (Control Panel).
• Найдите и откройте “КриптоПро CSP”.
• Перейдите на вкладку “Общие”.
• Нажмите кнопку “Ввести серийный номер” (Enter Serial Number).
• Введите серийный номер, полученный при покупке лицензии, и нажмите “ОК”.
• Перезагрузите компьютер.

II. Настройка браузера для работы с российскими криптоалгоритмами:

После установки КриптоПро CSP необходимо настроить браузер для использования российских криптографических алгоритмов. Настройка выполняется для каждого браузера отдельно. Рекомендуется использовать Internet Explorer (IE), так как он лучше всего поддерживает российские криптоалгоритмы. Однако, можно настроить и другие браузеры, например, Google Chrome, Mozilla Firefox или Microsoft Edge.

A. Настройка Internet Explorer (IE):

1. Откройте Internet Explorer.
2. Перейдите в “Сервис” (Tools) -> “Свойства обозревателя” (Internet Options). Если меню “Сервис” не отображается, нажмите клавишу Alt.
3. Перейдите на вкладку “Содержание” (Content) и нажмите кнопку “Сертификаты” (Certificates).
4. На вкладке “Доверенные корневые центры сертификации” (Trusted Root Certification Authorities) убедитесь, что установлены сертификаты удостоверяющих центров, выдавших вам сертификат электронной подписи (ЭП). Если сертификаты отсутствуют, установите их. Сертификаты обычно предоставляются вместе с электронной подписью.
5. Перейдите на вкладку “Дополнительно” (Advanced).
6. В разделе “Безопасность” (Security) прокрутите список вниз и найдите разделы, связанные с TLS и SSL.
7. Убедитесь, что включены протоколы TLS 1.0, TLS 1.1, TLS 1.2 (рекомендуется включить все доступные версии TLS). Снимите флажки с SSL 2.0 и SSL 3.0 (эти протоколы небезопасны).
8. В том же разделе “Безопасность” найдите строку “Использовать SSL 3.0” и убедитесь, что она НЕ отмечена.
9. Прокрутите список еще ниже и найдите раздел “Криптография”.
10. Убедитесь, что отмечены флажками “TLS_RSA_WITH_GOST_…” (все алгоритмы ГОСТ). Если какие-то из этих алгоритмов отсутствуют, убедитесь, что вы установили сертификаты соответствия при установке КриптоПро CSP (см. шаг 3 в разделе I).
11. Нажмите “Применить” (Apply) и “ОК”.
12. Перезагрузите Internet Explorer.

B. Настройка Google Chrome (через настройки Windows):

Google Chrome использует системные настройки Windows, поэтому, если вы правильно настроили Internet Explorer, Chrome должен работать правильно.

1. Выполните все действия, описанные в разделе A (Настройка Internet Explorer).
2. Перезагрузите Google Chrome.

C. Настройка Mozilla Firefox:

Настройка Mozilla Firefox более сложная, так как требует ручного изменения параметров конфигурации.

1. Откройте Mozilla Firefox.
2. В адресной строке введите about:config и нажмите Enter. Появится предупреждение “Будьте осторожны, а то лишитесь гарантии!”. Примите риск и нажмите “Принять риск и продолжить” (Accept the Risk and Continue).
3. В поле поиска введите security.tls.version.min.
4. Дважды щелкните по строке security.tls.version.min и измените значение на 1. Это позволит использовать протокол TLS 1.0 (который необходим для некоторых сайтов Казначейства). Значение 1 соответствует TLS 1.0, 2 соответствует TLS 1.1, 3 соответствует TLS 1.2. Рекомендуется устанавливать минимальное значение 1 для обеспечения максимальной совместимости.
5. В поле поиска введите security.ssl3.ecdhe_rsa_aes_128_sha.
6. Установите значение true для параметров, связанных с ГОСТ-алгоритмами. Например, для протокола TLS 1.2, введите в поиске tls_rsa_with_gost_ и убедитесь, что все параметры со значением tls_rsa_with_gost_*.enable установлены в true. Если нет, то дважды щелкните на них, чтобы изменить значение на true.
7. Перезагрузите Mozilla Firefox.

D. Настройка Microsoft Edge (на Chromium):

Microsoft Edge (на Chromium) использует системные настройки Windows, но может потребоваться дополнительная настройка.

1. Выполните все действия, описанные в разделе A (Настройка Internet Explorer).
2. Запустите Microsoft Edge с параметром --ssl-version-min=tls1. Это можно сделать несколькими способами:

• Через командную строку:
• Откройте командную строку.
• Введите команду "%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" --ssl-version-min=tls1 и нажмите Enter. (Путь к msedge.exe может отличаться в зависимости от вашей установки Edge).
• Через создание ярлыка:
• Найдите ярлык Microsoft Edge на рабочем столе или в меню “Пуск”.
• Щелкните правой кнопкой мыши на ярлыке и выберите “Свойства” (Properties).
• В поле “Объект” (Target) добавьте --ssl-version-min=tls1 в конце строки (после кавычек). Например, должно получиться что-то вроде "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --ssl-version-min=tls1.
• Нажмите “Применить” (Apply) и “ОК”.
• Запускайте Edge через этот измененный ярлык.

1. Перезагрузите Microsoft Edge.

III. Дополнительные шаги и советы:

• Установите сертификаты УЦ Минфина России (если требуется): В некоторых случаях для работы с сайтами Казначейства требуется установить сертификаты Удостоверяющего центра Федерального казначейства (УЦ ФК). Эти сертификаты можно загрузить с сайта Казначейства.
• Используйте актуальные версии программного обеспечения: Убедитесь, что вы используете актуальные версии операционной системы, браузеров и КриптоПро CSP.
• Проверьте настройки антивирусного программного обеспечения и брандмауэра: Убедитесь, что антивирусное программное обеспечение и брандмауэр не блокируют соединение с сайтами Казначейства.
• Обратитесь в службу поддержки Казначейства: Если вы все сделали правильно, но проблема по-прежнему не решена, обратитесь в службу технической поддержки Казначейства. Они могут предоставить дополнительную информацию и помощь.
• Внимательно изучите документацию КриптоПро CSP: В документации КриптоПро CSP содержится подробная информация о настройке и использовании программы.

Важно!

• Перед внесением каких-либо изменений в системные настройки или настройки браузера рекомендуется создать точку восстановления системы.
• Будьте осторожны при изменении параметров конфигурации в about:config в Firefox. Неправильные изменения могут привести к нестабильной работе браузера.
• Если вы не уверены в своих действиях, обратитесь за помощью к специалисту.
• Учитывайте, что требования к программному обеспечению для работы с Казначейством могут меняться. Всегда сверяйтесь с актуальной информацией на сайте Казначейства.

Следуя этим инструкциям, вы должны быть в состоянии настроить свой компьютер для работы с российскими криптографическими алгоритмами и исправить ошибку при использовании TLS с сайтами Казначейства.