TLSкрипто-про

ГОСТ TLS (часть 2): как подключиться

В предыдущей заметке рассматривался проект требований по использованию ГОСТ TLS для взаимодействия с государственными органами (здесь и далее в заметке речь идет про односторонний TLS). Требования — это основа пилотного проекта для следующих систем:

  • Единый портал госуслуг,
  • ГИС ЖКХ,
  • ЕГИССО,
  • ФГИС «Реестры программ для ЭВМ и баз данных».

Пока ни одна из систем не доступна с помощью ГОСТ, судя по всему, российские криптоалгоритмы добавятся в ближайшее время, так как пилот заканчивается уже 1 марта 2021 года. Тем не менее есть ряд других сайтов, на которых можно потестировать ГОСТ TLS уже сейчас.

С чего начать?

Чтобы начать пользоваться ГОСТ TLS нужно выполнить три основных шага:

  1. Зарегистрироваться на сайте производителя криптопровайдера и скачать CSP для реализации ГОСТ.
  2. Установить доверенный сертификат или сертификаты.
  3. Включить поддержку ГОСТ в браузере.

Пункты 2 и 3 опциональны, например, доверенные сертификаты могут устанавливаться вместе с CSP, а некоторые браузеры подхватывают ГОСТ «на лету».

Варианты

Пользователю нужно быть морально готовым к ряду ограничений — доступны далеко не все операционные системы и не все браузеры. Я подготовил табличку (актуальна на сентябрь 2020 года):

ОСЯндекс.БраузерInternet ExplorerСпутник
(корпоративная версия)
Сhromium-gost
Windows++++
Linux+
MacOS+
Android
iOS
Поддержка ГОСТ в браузерах

Фактически вариативность есть только под ОС Windows. Для Linux и MacOS доступен единственный вариант — Сhromium-gost. А вот на мобильных устройствах по-прежнему придется пользоваться RSA.

Пример

Я не стал дожидаться релиза ГОСТа на гос.услугах и решил проверить доступ на других сайтах. Порядок действий:

  1. Скачал Крипто-Про CSP c официального сайта и установил (доверенные сертификаты УЦ Крипто-Про и Минкомсвязи уже на борту),
  2. Установил сертификат Минкомсвязи, так как на тот момент не знал, что он зашит в дистрибутив Крипто-Про CSP,
  3. В Яндекс.Браузере включил поддержку ГОСТ (Настройки – Системные).

При переходе на сайты с ГОСТ запрашивается подтверждение: 

ГОСТ в Яндекс.Браузер
ГОСТ в Яндекс.Браузер

Далее сайт доступен по ГОСТ TLS: 

ГОСТ TLS на портале ЕАТ

Проверил на сайтах: 

  • ЕАТ — прозрачно переключился на ГОСТ,
  • Крипто-Про — прозрачно переключился на ГОСТ,
  • Инфотекс — под ГОСТ создан отдельный домен gost.infotecs.ru,
  • mos.ru — прозрачно переключился на ГОСТ.

Если знаете другие сайты с ГОСТ TLS, доступные без регистрации и смс, напишите — добавлю в список. 

В целом процесс «включения» ГОСТ TLS для клиента не самый простой: дополнительная регистрация, дополнительное ПО, ограничение ОС и браузеров. Тем не менее, это важный и нужный шаг по распространению российской криптографии в массовом сегменте. Ждем пилота, чтобы протестировать гос.услуги и другие информационные системы.  

2 комментария для “ГОСТ TLS (часть 2): как подключиться

    • Согласен, но я тут старался собрать общедоступные ресурсы — без регистрации и с односторонним TLS

      Ответ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *