#51909 – chromium-gost не использует алгоритмы шифрования по стандарту ГОСТ при подключении к сайтам c использованием КриптоПРО CSP.

Bug 51909 - chromium-gost не использует алгоритмы шифрования по стандарту ГОСТ при подключении к сайтам c использованием КриптоПРО CSP.

Summary: chromium-gost не использует алгоритмы шифрования по стандарту ГОСТ при подклю...

Status:	NEW

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	chromium-gost (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	kotopesutility@altlinux.org
QA Contact:	qa-sisyphus

URL:
Keywords:

Duplicates (1):	53222 (view as bug list)
Depends on:
Blocks:

Reported:	2024-10-31 19:51 MSK by Savelev Pavel
Modified:	2025-03-19 16:56 MSK (History)
CC List:	7 users (show)

See Also:	50855

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Savelev Pavel 2024-10-31 19:51:04 MSK

Версия пакета с ошибкой: chromium-gost-125.0.6422.112-alt1
Версия установленного в системе КриптоПРО CSP 5.0 R3.

Шаги для воспроизведения:

1. Установить chromium-gost из репозитория: # apt-get install chromium-gost
2. Установить и настроить КриптоПРО CSP 5.0 для работы с браузером chromium-gost. Создать, подписать и установить пользовательские сертификаты.
3. Перейти по адресу: https://gost.cryptopro.ru

Ожидаемый результат:
ssl_cipher: GOST2012-GOST8912-GOST8912 (TLS_GOSTR341112_256_WITH_28147_CNT_IMIT)
ssl_ciphers: 0xeaea:0x1303:0x1301:0x1302:0xc100:0xc101:0xc102:GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA

Реальный результат:
ssl_cipher: ECDHE-RSA-AES256-GCM-SHA384
ssl_ciphers: 0xcaca:0x1303:0x1301:0x1302:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SH

Ошибка воспроизводится в Sisyphus, P11 и P10.

Ошибка не воспроизводится в chromium-gost-stable-130.0.6723.92-epm1, установленный при помощи eepm.

Из-за данной ошибки, например, не работает подключение к сайту ЛК ИП ФНС, см. https://bugzilla.altlinux.org/50855

Comment 1 Белая Алёна 2025-03-04 11:11:20 MSK

*** Bug 53222 has been marked as a duplicate of this bug. ***

Comment 2 Fr. Br. George 2025-03-04 11:49:32 MSK

(Ответ для Savelev Pavel на комментарий #0)
> 2. Установить и настроить КриптоПРО CSP 5.0 для работы с браузером
> chromium-gost. Создать, подписать и установить пользовательские сертификаты.
Не помешала бы чёткая инструкция, как это сделать. Пока что меня посылают куда-то что-то покупать и регистрироваться, на этом процедура, естественно, заканчивается.

Comment 3 Анатолий Кирсанов 2025-03-07 03:27:31 MSK

(Ответ для Savelev Pavel на комментарий #0)
> Версия пакета с ошибкой: chromium-gost-125.0.6422.112-alt1
> Версия установленного в системе КриптоПРО CSP 5.0 R3.
> 
> 3. Перейти по адресу: https://gost.cryptopro.ru
> 
> Ожидаемый результат:

Тоже столкнулся с этой проблемой, но не копнул настолько глубоко.

Добавлю, что ожидаемый результат здесь не только перечисленные алгоритмы, но и TLSv1.3, а не TLSv1.2. Потому, что на https://lkip2.nalog.ru/lk#/certificate/requirements давно пишут, что TLSv1.2 должен быть отключен. Да, я тоже столкнулся с тем, что на имеющейся версии браузера я не попаду в ЛК ИП в налоговой.

КриптоПро у меня свежий из сертифицированных 5.0.13000, плагин для браузера тоже (2.0.15000). Сертификат ЭП от налоговой есть и действителен. В налоговой мне ответили, что chromium-gost 133.0.6943.98 прекрасно справляется с задачей. Думал, что послали, а, оказалось, посоветовали.

Браузер в репе обновлять надо. Я пока на P10. Но он одной версии и на P11, и в Сизифе.

Comment 4 Sergey V Turchin 2025-03-07 11:54:45 MSK

(Ответ для Fr. Br. George на комментарий #2)
> Не помешала бы чёткая инструкция, как это сделать. Пока что меня посылают
> куда-то что-то покупать и регистрироваться, на этом процедура, естественно,
> заканчивается.
В ближайшее времея выдадут возможность продолжить процедуру.

Comment 5 Sergey V Turchin 2025-03-10 12:01:24 MSK

(Ответ для Fr. Br. George на комментарий #2)
> Не помешала бы чёткая инструкция, как это сделать. Пока что меня посылают
> куда-то что-то покупать и регистрироваться, на этом процедура, естественно,
> заканчивается.
Стенд подготовлен (issue#171207).

Comment 6 Artem Varaksa 2025-03-19 16:56:21 MSK

С версией chromium-gost-134.0.6998.88-alt1 на [p11+378015][sisyphus] ALT Workstation K 11.0 beta20250210 x86_64 или ALT Workstation 11.0 beta20250213 x86_64:

> ssl_protocol	TLSv1.2
> ssl_cipher	GOST2012-GOST8912-GOST8912 (TLS_GOSTR341112_256_WITH_28147_CNT_IMIT)
> ssl_ciphers	GOST2012-GOST8912-GOST8912:0xc100:0xc101:0xc102:GOST2001-GOST89-GOST89:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA

Т.е. ssl_cipher теперь корректный, но остался TLSv1.2 (см. https://bugzilla.altlinux.org/show_bug.cgi?id=51909#c3).

Примечание: сразу после установки расширения КриптоПро ЭЦП Browser plug-in набор шифров ssl_ciphers может отображаться разный и не распознавать некоторые 0x-идентификаторы, через некоторое время исправляется.