ГОСТ TLS (часть 2): как подключиться
В предыдущей заметке рассматривался проект требований по использованию ГОСТ TLS для взаимодействия с государственными органами (здесь и далее в заметке речь идет про односторонний TLS). Требования — это основа пилотного проекта для следующих систем:
- Единый портал госуслуг,
- ГИС ЖКХ,
- ЕГИССО,
- ФГИС «Реестры программ для ЭВМ и баз данных».
Пока ни одна из систем не доступна с помощью ГОСТ, судя по всему, российские криптоалгоритмы добавятся в ближайшее время, так как пилот заканчивается уже 1 марта 2021 года. Тем не менее есть ряд других сайтов, на которых можно потестировать ГОСТ TLS уже сейчас.
С чего начать?
Чтобы начать пользоваться ГОСТ TLS нужно выполнить три основных шага:
- Зарегистрироваться на сайте производителя криптопровайдера и скачать CSP для реализации ГОСТ.
- Установить доверенный сертификат или сертификаты.
- Включить поддержку ГОСТ в браузере.
Пункты 2 и 3 опциональны, например, доверенные сертификаты могут устанавливаться вместе с CSP, а некоторые браузеры подхватывают ГОСТ «на лету».
Варианты
Пользователю нужно быть морально готовым к ряду ограничений — доступны далеко не все операционные системы и не все браузеры. Я подготовил табличку (актуальна на сентябрь 2020 года):
ОС | Яндекс.Браузер | Internet Explorer | Спутник (корпоративная версия) | Сhromium-gost |
---|---|---|---|---|
Windows | + | + | + | + |
Linux | — | — | — | + |
MacOS | — | — | — | + |
Android | — | — | — | — |
iOS | — | — | — | — |
Фактически вариативность есть только под ОС Windows. Для Linux и MacOS доступен единственный вариант — Сhromium-gost. А вот на мобильных устройствах по-прежнему придется пользоваться RSA.
Пример
Я не стал дожидаться релиза ГОСТа на гос.услугах и решил проверить доступ на других сайтах. Порядок действий:
- Скачал Крипто-Про CSP c официального сайта и установил (доверенные сертификаты УЦ Крипто-Про и Минкомсвязи уже на борту),
- Установил сертификат Минкомсвязи, так как на тот момент не знал, что он зашит в дистрибутив Крипто-Про CSP,
- В Яндекс.Браузере включил поддержку ГОСТ (Настройки – Системные).
При переходе на сайты с ГОСТ запрашивается подтверждение:
Далее сайт доступен по ГОСТ TLS:
Проверил на сайтах:
- ЕАТ — прозрачно переключился на ГОСТ,
- Крипто-Про — прозрачно переключился на ГОСТ,
- Инфотекс — под ГОСТ создан отдельный домен gost.infotecs.ru,
- mos.ru — прозрачно переключился на ГОСТ.
Если знаете другие сайты с ГОСТ TLS, доступные без регистрации и смс, напишите — добавлю в список.
В целом процесс «включения» ГОСТ TLS для клиента не самый простой: дополнительная регистрация, дополнительное ПО, ограничение ОС и браузеров. Тем не менее, это важный и нужный шаг по распространению российской криптографии в массовом сегменте. Ждем пилота, чтобы протестировать гос.услуги и другие информационные системы.
Личный кабинет Физика в ФНС
Там двусторонний tls поднимается.
Согласен, но я тут старался собрать общедоступные ресурсы — без регистрации и с односторонним TLS