Windows 11 не работает nalog ru

дата публикации 11.03.2022

Инструкция, выложенная на сайте налоговой службы не обновлена под версию Windows 11. Поэтому мы решили дополнить ее. Чтоб удачно зайти в личный кабинет нужно сделать несколько шагов по настройке операционной системы.

ПОДГОТОВКА ОПЕРАЦИОННОЙ СИСТЕМЫ

В первую очередь проводим настройку согласно инструкции на сайте налоговой.

НАСТРОЙКА БРАУЗЕРА

На момент написания статьи единственный браузер, который работает с ЛК налоговой это Microsft Edge в режиме совместимости Internet Explorer. Если все действия по инструкции от налоговой были сделаны, то в момент запуска Edge уведомит о новом приложении Cades plugin. Соглашаемся на включение.

В адресной строке браузера Edge заходим по адресу

edge://settings/defaultBrowser и в поле выбора Разрешение сайтам перезагружаться в режиме Internet Explorer ставим разрешить. Перезапускаем браузер.

Теперь при входе на сайт налоговой жмем кнопочку Перезагрузка вкладки в режиме Internet Explorer. Сайт должен открыться.

При входе в Личный кабинет юридического лица на веб-ресурсе налоговой службы lkul.nalog.ru пользователь может столкнуться с проблемой подключения к сайту. Последняя может сопровождается сообщением «На сайте lkul.nalog.ru используется неподдерживаемый протокол». Причиной дисфункции часто выступают некорректные настройки серверов налоговой службы, а также отсутствии последних обновлений СКЗИ на компьютере пользователя. Ниже разберём суть данной дисфункции, а также узнаем, как её исправить.

Ошибка неподдерживаемого протокола

Содержание

  1. Используется неподдерживаемый протокол – суть и причина проблемы
  2. Проблема обычно вызвана следующими причинами:
  3. Обновите ваши версию КриптоПро
  4. Используйте прямой вход на ресурс
  5. Временно деактивируйте ваш антивирус
  6. Установите корректные настройки КриптоПро
  7. Удалите с ПК другие средства криптографической защиты
  8. Используйте только рекомендованные браузеры
  9. Сбросьте настройки SSL протокола
  10. Включите старые версии протоколов TLS
  11. Обратитесь в техподдержку ФНС
  12.  Заключение

Используется неподдерживаемый протокол – суть и причина проблемы

Как известно, сайт налоговой службы использует для безопасных подключений инструмент «КриптоПро» и другие СКЗИ. Такие средства защиты применяют в своей работе ГОСТовские алгоритмы шифрования, и требуют выполнения обязательного ряда условий. Среди них – наличие требуемой цепочки сертификатов, свежей (актуальной) версии криптопровайдера, установки стабильно работающего плагина, нужной версии браузера и другое.

Картинка КриптоПро

Разбираемая в данной статье ошибка появляется при попытке входа пользователя в Личный Кабинет юридического лица, а также в ЛК физических лиц, а также индивидуальных предпринимателей (меняется название кабинета на lkipgost.nalog.ru  и др.)

Проблема обычно вызвана следующими причинами:

  • На сайте налоговой некорректно настроена работа с протоколами SSL и TSL (используется устаревшие протоколы, не отлажена работа с ними);
  • Для подключения к сайту налоговой службы пользователь использует не рекомендованные браузеры (рекомендованы – IE, Яндекс.Браузер, Спутник);
  • Клиент и сервер используют различные версии протокола SSL и шифров;
  • На компьютере пользователя не установлены самые новейшие версии используемого программного обеспечения (КриптоПРО, корневые сертификаты, браузер etc);
  • Антивирус блокирует корректное подключение к серверам ФНС (в частности, в антивирусе включена функция https-сканирования);
  • Корректное подключение к сайту блокирует вирусный софт;
  • На ПК установлены другие средства криптографические защиты, конфликтующие друг с другом (CSP, Агава, Континент-АП,VipNet и другие).

Давайте разберёмся, как исправить проблему неподдерживаемого протокола при входе на сайт lkul.nalog.ru. Рисунок Fix it now

Обновите ваши версию КриптоПро

Первым делом рекомендуем убедиться, что вы используйте самую актуальную версию «КриптоПро»  или другого используемого вами средства криптографической защиты. При необходимости скачайте и установите самую свежую версию продукта.

https://www.cryptopro.ru/downloads

Изображение загрузка КриптоПро

Используйте прямой вход на ресурс

  1. Рекомендуем переходить в ваш Личный кабинет юрлица прямо по ссылке lkul.nalog.ru, в обход проверки условий доступа.
  2. После клика по приведённой ссылке откроется страница, на которой необходимо будет нажать на «Advanced».
  3. Затем на «Add Exception».
  4. И далее на «Confirm Security Exception».

Временно деактивируйте ваш антивирус

Перед входом на сайт lkul.nalog.ru рекомендуем временно отключить ваш антивирус. Если полностью выключить антивирусный инструмент не желаете, деактивируйте в вашем антивирусе опцию https-сканирования. В ряде случает это помогло устранить проблему неподдерживаемого протокола на lkul.nalog.ruОпция сканирования https

Установите корректные настройки КриптоПро

Осуществите ряд шагов по корректной настройке программы «КриптоПро»:

  1. Выполните запуск программы «КриптоПро CSP» с административными правами;
  2. Выберите нужную вкладку «Настройки TLS»;
  3. Далее требуется снять галочку с опции «Не использовать устаревшие cipher suite-ы»; Настройки КриптоПро
  4. Кликните на «Применить», а затем перезагрузите ваш ПК;
  5. После перезагрузки вновь запустить «КриптоПро CSP» вновь перейдите во вкладку «Настройки TLS»;
  6. Поставьте галочку рядом с опцией «Не использовать устаревшие cipher suite-ы», но на перезагрузку не соглашайтесь;
  7. Теперь перейдите прямо в Личный кабинет по прямой ссылке lkul.nalog.ru;
  8. Установите корневые сертификаты 2020, 2018, 2017, 2016 годов с сайта https://www.gnivc.ru/certification_center/secrulesep/. Сертификаты должны быть установлены в хранилище под именем «Промежуточные центры сертификации». Версии загрузки сертификатов
    Установите в хранилище требуемые сертификаты

Читайте также: «В контейнере закрытого ключа … отсутствуют сертификаты» — как исправить.

Удалите с ПК другие средства криптографической защиты

Если на вашем компьютере кроме КриптоПро установлены другие средства криптографической защиты (СКЗИ), рекомендуем удалить их, или выбрать для работы другой ПК. Несколько установленных на ПК СКЗИ могут конфликтовать друг с другом.

Используйте только рекомендованные браузеры

Убедитесь, что вы используете один из трёх рекомендованных браузеров – Интернет Эксплорер, Яндекс.Браузер, Спутник. При необходимости установите актуальную версию одного из перечисленных браузеров, и пользуйтесь его возможностями.

Логотип Яндекса

Сбросьте настройки SSL протокола

В некоторых случаях избавиться от проблемы неподдерживаемого протокола на lkul.nalog.ru может помочь сброс настроек протокола SSL. Выполните следующее:

  • Нажмите на Win+R;
  • В появившемся окне наберите inetcpl.cpl и нажмите ввод;
  • Перейдите на вкладку «Содержание»;
  • Нажмите там на кнопку «Очистить SSL»; Кнопка
    Кликните на кнопку очистки SSL
  • Нажмите на «Применить».

Включите старые версии протоколов TLS

В некоторых случаях сайт ФНС может быть настроен некорректно. В этом случае может помочь включение поддержки старых версий протоколов SSL/TLS.

Выполните следующее:

  • Нажмите на Win+R;
  • В открывшемся окне введите inetcpl.cpl;
  • В следующем окне настроек Интернета выберите вкладку «Дополнительно»;
  • Поставьте галочки рядом с опциями TLS 1.0, TLS 1.1 и TLS 1.2, а также SSL 2,0 и 3.0;
  • Кликните на «Применить», и перезапустите ваш браузер. Конфигурация Интернет

Обратитесь в техподдержку ФНС

Несмотря на то, что этот совет является основным в подобных ситуациях, мы приводим его в самом конце. Это связано с тем, что техподдержка ФНС показала низкую эффективность как помощник в решении этой и смежной им проблем. Если же вы надеетесь на лучшее, тогда используйте горячую линию техподдержки ФНС 8(800)2222222.

Также может помочь отправка сообщения в техподдержку ФНС по форме на сайте https://www.nalog.ru/rn77/service/service_feedback/.

 Это может пригодится:  Плагин не установлен: Личный кабинет налоговой – как устранить.

 Заключение

В статье было подробно разобрано, что за проблема с отсутствием поддержки протокола на веб-ресурсе lkul.nalog.ru, и что делать для её устранения. Поскольку единственного и универсального рецепта не существует, рекомендуем воспользоваться всем комплексом вышеперечисленных советов. Практически каждый из них показал свою эффективность в решении рассматриваемой проблемы у разных категорий пользователей.

Пообщался с поддержкой.

выяснил проблема проявляется при включенном Веб-Антивирусе, если выключить, то работает и остальное можно не выключать. Но это  не вариант.

Далее сделал проверки утилитой их и отправил отчет.

Вот ответ с поддержки:

————

Здравствуйте!
Благодарим за описание и предоставленные данные.
Указанная проблема может быть связана с программой КриптоПро CSP. Её необходимо обязательно обновить до последней актуальной версии: https://www.cryptopro.ru/downloads
Для этого, возможно, потребуется обратиться в техническую поддержку КриптоПро.

Либо Вы можете временно удалить эту программу стандартным образом через Панель управления.

Проверьте проблему и сообщите о результате. Если ситуация сохраняется, пришлите нам, пожалуйста, новый отчёт утилиты GetSystemInfo версии 6: https://kas.pr/GSI
Инструкции по созданию отчёта Вы можете найти здесь: http://support.kaspersky.ru/3632

У меня стоит лицензионная КриптоПро CSP 4.0.9963.

Удалять не вариант, т.к. без неё я не смогу зайти в личный кабинет. По обновлению еще не уточнял.

Уточните, у кого какая версия КриптоПро или что-то другое стоит, но проблема та же? отпишитесь здесь!

Пообщался с поддержкой КриптоПро по рекомендовали отключить проверку защищенных соединений. 

Да, это сработало. Настройки-Настройки сети-Не проверять защищенные соединения Сохранить. 

Но хотелось бы, чтобы защита работала полностью и открывать доступ только доверенным.

И получается доверенные адреса в этом разделе не работают. Пойду поддержку KIS теребить.


Offline

alexeyz1

 


#1
Оставлено
:

27 ноября 2019 г. 0:23:22(UTC)

alexeyz1

Статус: Новичок

Группы: Участники

Зарегистрирован: 26.11.2019(UTC)
Сообщений: 1
Откуда: Москва

Добрый день, не получается открыть ЛК налоговой lkipgost.nalog.ru/lk
Токен РуТокен Лайт

Windows 10 1909

Все сертфикаты установлены в хранилища согласно инструкции на nalog.ru

Яндекс.Браузер проходит все этапы проверки на сайте налоговой кроме последней («Проверка защищенного соединения с сервером Личного кабинета индивидуального предпринимателя»)

При открытии страницы окно выбора сертификата появляется

Пробовал CSP 4.0 R3/R4, CSP 5.0. В настройках галочка «не использовать устаревшие chiper suit-ы» снята.

Пробовал браузеры. Везде ошибка:

  • Яндекс.Браузер (err_ssl_version_or_cipher_mismatch)
  • IE (не удается безопасно подключиться к странице. TLS 1.2 отключать пробовал)
  • Chromium Gost (ERR_FAILED)

Использовал wireshark чтобы отследить при использовании разных протоколов

  • tls 1.0 – handshake failure (ie)
  • tls 1.1 – handshake failure (ie)
  • tls 1.2 – unknown CA (chromium gost)

Домашнюю работу я вроде сделал, но все равно не работает. Можете подсказать как это исправить?

Отредактировано пользователем 27 ноября 2019 г. 0:25:04(UTC)
 | Причина: Не указана


Вверх

Offline

two_oceans

 


#2
Оставлено
:

27 ноября 2019 г. 7:49:59(UTC)

two_oceans

Статус: Эксперт

Группы: Участники

Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,598
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 388 раз в 363 постах

Судя по «unknown CA (chromium gost)», не установлены сертификаты УЦ (полагаю, речь идет об УЦ ФНС — если Ваш сертификат появляется в списке Интернет Эксплорера это признак, что цепочка Вашего сертификата верная). Попробовал зайти, у меня открылось, запросило ОГРНИП (я не ИП и в моем сертификате ОГРНИП нет). Показывает цепочку сертификатов: Головной удостоверяющий центр (то есть алгоритм все еще гост-2001) -> УЦ 1 ИС ГУЦ (пятый сертификат, отпечаток 09 32 e4 83 c4 42 0e 66 8f 64 d3 60 00 6d 0b eb 0b fa cc a7) -> ФНС России (отпечаток c0 ad f7 6a a5 52 5a 2f 4e 04 f8 9c ec 55 d4 05 df 40 5f fd) -> МИ ФНС России по ЦОД (этот уже предоставит сайт, скачивать не нужно). Попробуйте установить сертификаты УЦ и снова зайти в личный кабинет.

Отредактировано пользователем 27 ноября 2019 г. 7:52:25(UTC)
 | Причина: Не указана


Вверх

Offline

eliaskuz

 


#3
Оставлено
:

27 ноября 2019 г. 10:41:59(UTC)

eliaskuz

Статус: Новичок

Группы: Участники

Зарегистрирован: 27.11.2019(UTC)
Сообщений: 3

У меня тоже ошибка использования на сайте налоговой.

В хранилище сертификатов «Личные» установлен КСКПЭП, выданный индивидуальному предпринимателю удостоверяющим центром.
Возникла проблема при открытии хранилища сертификатов.(В хранилище не обнаружены сертификаты)
Мы не можем открыть хранилище сертификатов, возможно доступ к нему ограничен браузером. Необходимо включить расширение либо разрешить использование этого расширения на ресурсе в настройках браузера. Если это не поможет, то тогда надо переустановить плагин, предварительно удалив старый.
Убедитесь, что КСКПЭП не просрочен и установлен в хранилище сертификатов «Личные». Рекомендуем вручную проверить доступ к сертификату в хранилице «Личные». Для этого выберите Пуск — Выполнить, ввести «certmgr.msc» и нажать Enter. В левой части открывшегося окна выберите папку «Личные»- «Реестр» -«Сертификаты». В правой части в списке должен находиться личный сертификат (см. п.»Как проверить установку сертификатов?» в «Руководство по установке и настройке программного обеспечения для работы с электронной подписью»)
Если ошибка будет повторяться необходимо написать в техническую поддержку приложив скриншот целой страницы, а также сертификат без закрытого ключа.

Все установлено. Нашел, что может надо импортировать официальные сертификаты, но при импорте возникает ошибка

An error occurred. Unable to import “Минкомсвязь России”. Error: -25257
An error occurred. Unable to import “Головной удостоверяющий центр”. Error: -25257

Работаю в MacOS Mojave


Вверх

Offline

Александр Лавник

 


#4
Оставлено
:

27 ноября 2019 г. 11:28:49(UTC)

Александр Лавник

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,201
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 722 раз в 674 постах

Автор: eliaskuz Перейти к цитате

У меня тоже ошибка использования на сайте налоговой.

В хранилище сертификатов «Личные» установлен КСКПЭП, выданный индивидуальному предпринимателю удостоверяющим центром.
Возникла проблема при открытии хранилища сертификатов.(В хранилище не обнаружены сертификаты)
Мы не можем открыть хранилище сертификатов, возможно доступ к нему ограничен браузером. Необходимо включить расширение либо разрешить использование этого расширения на ресурсе в настройках браузера. Если это не поможет, то тогда надо переустановить плагин, предварительно удалив старый.
Убедитесь, что КСКПЭП не просрочен и установлен в хранилище сертификатов «Личные». Рекомендуем вручную проверить доступ к сертификату в хранилице «Личные». Для этого выберите Пуск — Выполнить, ввести «certmgr.msc» и нажать Enter. В левой части открывшегося окна выберите папку «Личные»- «Реестр» -«Сертификаты». В правой части в списке должен находиться личный сертификат (см. п.»Как проверить установку сертификатов?» в «Руководство по установке и настройке программного обеспечения для работы с электронной подписью»)
Если ошибка будет повторяться необходимо написать в техническую поддержку приложив скриншот целой страницы, а также сертификат без закрытого ключа.

Все установлено. Нашел, что может надо импортировать официальные сертификаты, но при импорте возникает ошибка

An error occurred. Unable to import “Минкомсвязь России”. Error: -25257
An error occurred. Unable to import “Головной удостоверяющий центр”. Error: -25257

Работаю в MacOS Mojave

Здравствуйте.

1) Инструкция для macOS здесь.

Касательно портала ФНС — см. замечание (e).

2) По ошибке -25257 — приложение macOS Cвязка ключей не имеет никакого отношения к работе КриптоПро CSP.

Техническую поддержку оказываем тут
Наша база знаний


Вверх

Offline

eliaskuz

 


#5
Оставлено
:

27 ноября 2019 г. 11:49:27(UTC)

eliaskuz

Статус: Новичок

Группы: Участники

Зарегистрирован: 27.11.2019(UTC)
Сообщений: 3

Автор: Александр Лавник Перейти к цитате

Автор: eliaskuz Перейти к цитате

У меня тоже ошибка использования на сайте налоговой.

В хранилище сертификатов «Личные» установлен КСКПЭП, выданный индивидуальному предпринимателю удостоверяющим центром.
Возникла проблема при открытии хранилища сертификатов.(В хранилище не обнаружены сертификаты)
Мы не можем открыть хранилище сертификатов, возможно доступ к нему ограничен браузером. Необходимо включить расширение либо разрешить использование этого расширения на ресурсе в настройках браузера. Если это не поможет, то тогда надо переустановить плагин, предварительно удалив старый.
Убедитесь, что КСКПЭП не просрочен и установлен в хранилище сертификатов «Личные». Рекомендуем вручную проверить доступ к сертификату в хранилице «Личные». Для этого выберите Пуск — Выполнить, ввести «certmgr.msc» и нажать Enter. В левой части открывшегося окна выберите папку «Личные»- «Реестр» -«Сертификаты». В правой части в списке должен находиться личный сертификат (см. п.»Как проверить установку сертификатов?» в «Руководство по установке и настройке программного обеспечения для работы с электронной подписью»)
Если ошибка будет повторяться необходимо написать в техническую поддержку приложив скриншот целой страницы, а также сертификат без закрытого ключа.

Все установлено. Нашел, что может надо импортировать официальные сертификаты, но при импорте возникает ошибка

An error occurred. Unable to import “Минкомсвязь России”. Error: -25257
An error occurred. Unable to import “Головной удостоверяющий центр”. Error: -25257

Работаю в MacOS Mojave

Здравствуйте.

1) Инструкция для macOS здесь.

Касательно портала ФНС — см. замечание (e).

2) По ошибке -25257 — приложение macOS Cвязка ключей не имеет никакого отношения к работе КриптоПро CSP.

Спасибо, пока я сам продвинулся
У меня ошибка, что сертификат на сайте хочет имя 1574844039995.jpg (115kb) загружен 17 раз(а).
Я создаю сертификат на сайте https://www.cryptopro.ru/certsrv/certrqma.asp

Что поможет решить проблему?


Вверх


Offline

eliaskuz

 


#6
Оставлено
:

27 ноября 2019 г. 11:52:09(UTC)

eliaskuz

Статус: Новичок

Группы: Участники

Зарегистрирован: 27.11.2019(UTC)
Сообщений: 3

Я скачал сертификат отсюда https://www.cryptopro.ru/certsrv/certcarc.asp
и потом запустил sudo ./certmgr -inst -store root -f ~/Downloads/certificates/certnew.cer


Вверх


Offline

Александр Лавник

 


#7
Оставлено
:

27 ноября 2019 г. 11:52:41(UTC)

Александр Лавник

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,201
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 722 раз в 674 постах

Автор: eliaskuz Перейти к цитате

Автор: Александр Лавник Перейти к цитате

Автор: eliaskuz Перейти к цитате

У меня тоже ошибка использования на сайте налоговой.

В хранилище сертификатов «Личные» установлен КСКПЭП, выданный индивидуальному предпринимателю удостоверяющим центром.
Возникла проблема при открытии хранилища сертификатов.(В хранилище не обнаружены сертификаты)
Мы не можем открыть хранилище сертификатов, возможно доступ к нему ограничен браузером. Необходимо включить расширение либо разрешить использование этого расширения на ресурсе в настройках браузера. Если это не поможет, то тогда надо переустановить плагин, предварительно удалив старый.
Убедитесь, что КСКПЭП не просрочен и установлен в хранилище сертификатов «Личные». Рекомендуем вручную проверить доступ к сертификату в хранилице «Личные». Для этого выберите Пуск — Выполнить, ввести «certmgr.msc» и нажать Enter. В левой части открывшегося окна выберите папку «Личные»- «Реестр» -«Сертификаты». В правой части в списке должен находиться личный сертификат (см. п.»Как проверить установку сертификатов?» в «Руководство по установке и настройке программного обеспечения для работы с электронной подписью»)
Если ошибка будет повторяться необходимо написать в техническую поддержку приложив скриншот целой страницы, а также сертификат без закрытого ключа.

Все установлено. Нашел, что может надо импортировать официальные сертификаты, но при импорте возникает ошибка

An error occurred. Unable to import “Минкомсвязь России”. Error: -25257
An error occurred. Unable to import “Головной удостоверяющий центр”. Error: -25257

Работаю в MacOS Mojave

Здравствуйте.

1) Инструкция для macOS здесь.

Касательно портала ФНС — см. замечание (e).

2) По ошибке -25257 — приложение macOS Cвязка ключей не имеет никакого отношения к работе КриптоПро CSP.

Спасибо, пока я сам продвинулся
У меня ошибка, что сертификат на сайте хочет имя 1574844039995.jpg (115kb) загружен 17 раз(а).
Я создаю сертификат на сайте https://www.cryptopro.ru/certsrv/certrqma.asp

Что поможет решить проблему?

Для работы на портале ФНС нужен квалифицированный сертификат, который первоначально необходимо приобрести в одном из аккредитованных удостоверяющих центров.

Сертификат нашего тестового удостоверяющего центра, естественно, не подойдет.

Техническую поддержку оказываем тут
Наша база знаний


Вверх

Offline

Kosteg

 


#8
Оставлено
:

13 августа 2020 г. 18:30:55(UTC)

Kosteg

Статус: Новичок

Группы: Участники

Зарегистрирован: 13.08.2020(UTC)
Сообщений: 3
Российская Федерация
Откуда: Россия

Похожая проблема.
MacOS Mojave 10.14.6
Яндекс-браузер + CryptoPro Extension for CAdES Browser Plug-in
Токен Esmart
КриптоПро CSP 5.0 (сертифицированная версия)

Два личных сертификата: физлица и ИП

В доверенных корневых центрах установлены три сертификата:
1. CryptoPro GOST Root CA
2. Минкомсвязь России
3. Головной удостоверяющий центр

Инструкцию и примечания для MacOS выполнил.

На проверке выполнения условий доступа https://lkip2.nalog.ru/certificate/requirements все ок кроме последнего пункта — «Проверка защищенного соединения с сервером Личного кабинета ип».
https://lkipgost.nalog.ru/lk не открывается:
This site cannot provide a secure connection
lkipgost.nalog.ru uses an unsupported protocol.
Unsupported protocol. The client and server use different SSL protocol versions or cipher suites.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Все сертификаты валидные, сроки действия не истекли, успешно захожу на госуслуги по любому из личных сертификатов и на налог.ру как физлицо.
Но в кабинет ИП никак.

Что не так?


Вверх

Offline

Александр Лавник

 


#9
Оставлено
:

13 августа 2020 г. 18:35:29(UTC)

Александр Лавник

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,201
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 722 раз в 674 постах

Автор: Kosteg Перейти к цитате

Похожая проблема.
MacOS Mojave 10.14.6
Яндекс-браузер + CryptoPro Extension for CAdES Browser Plug-in
Токен Esmart
КриптоПро CSP 5.0 (сертифицированная версия)

Два личных сертификата: физлица и ИП

В доверенных корневых центрах установлены три сертификата:
1. CryptoPro GOST Root CA
2. Минкомсвязь России
3. Головной удостоверяющий центр

Инструкцию и примечания для MacOS выполнил.

На проверке выполнения условий доступа https://lkip2.nalog.ru/certificate/requirements все ок кроме последнего пункта — «Проверка защищенного соединения с сервером Личного кабинета ип».
https://lkipgost.nalog.ru/lk не открывается:
This site cannot provide a secure connection
lkipgost.nalog.ru uses an unsupported protocol.
Unsupported protocol. The client and server use different SSL protocol versions or cipher suites.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Все сертификаты валидные, сроки действия не истекли, успешно захожу на госуслуги по любому из личных сертификатов и на налог.ру как физлицо.
Но в кабинет ИП никак.

Что не так?

Здравствуйте.

Если Вы прочитали все примечания инструкции, то и примечание (е) должны были прочитать:

Цитата:

Для работы на портале nalog.ru необходимо:

— использовать браузер с поддержкой TLS сертификатов по ГОСТ Р 34.10-2012 (например, Chromium GOST),

— входить в личный кабинет по прямой ссылке:

https://lkul.nalog.ru — для юридических лиц,

https://lkipgost.nalog.ru/lk — для индивидуальных предпринимателей.

Техническую поддержку оказываем тут
Наша база знаний


Вверх

Offline

Kosteg

 


#10
Оставлено
:

13 августа 2020 г. 19:18:27(UTC)

Kosteg

Статус: Новичок

Группы: Участники

Зарегистрирован: 13.08.2020(UTC)
Сообщений: 3
Российская Федерация
Откуда: Россия

Автор: Александр Лавник Перейти к цитате

— использовать браузер с поддержкой TLS сертификатов по ГОСТ Р 34.10-2012 (например, Chromium GOST),

Chromium GOST 84.0.4147.125 не проходит второй пункт требований: «Браузер с поддержкой шифрования защищенных соединений по ГОСТ 34.10-2001, ГОСТ 28147-89, ГОСТ Р 34.11-2012».


Вверх
Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Рекомендуемые сообщения

  • Жалоба

Здравствуйте, не проходит последний шаг на сайте налоговой на ПК:
ОС Windows 10 64bit версия 1803 Сборка 17134.523
Internet Explorer 11 Версия 11.523.17134.0, Версия обновления 11.0.105

ViPNet_CSP_RUS_4.2.11.55085_BETTA
Антивируса нет.

По прямой ссылке https://lkul.nalog.ru. отображается : 
«Не удается безопасно подключиться к этой странице
Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS. Если это будет повторяться, обратитесь к владельцу веб-сайта.
Для параметров безопасности протокола TLS не установлены значения по умолчанию, что также могло стать причиной ошибки.»

Помогите!

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

И вы не один. У нас точно такая же проблема хотя еще недавно все работало нормально. Возможно это и не в vipnet проблема. На госуслугах вход в личный кабинет по ЭЦП работает и вход в ФСС тоже работает. Не работает только вход в личный кабинет https://lkip.nalog.ru/. « Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к <сайт> . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта. « Три раза проверял настройки, все там хорошо. Может кто тут поможет. От техподдержки налоговой вообще не реально ответ на данную проблему получить.

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

Очень похоже на эту ветку:

Проблема была на сервере ФНС, временное обходное решение было: Для 10 попробуйте в IE оставить только TLS 1.0 и в панели управления CSP отключите галочку «Использовать TLS 1.2»

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

Аналогичная проблема с сертификатами выпущенными по гост 2012 от разных клиентов, на разных рабочих местах.

На налог.ру используется КриптоПро Эцп Browser plugin, при том работу в связке VipNet + Эцп browser plugin ни производители СКЗИ, ни производители плагина не тестировали (да и не должны, конкуренты ведь). Были написаны обращения в Инфотекс и КриптоПро, ответ один — не тестировали.

От представителей налог.ру внятного ответа так и не могу добиться. Они подключались к одному из пк и сделали вывод — проблема в ПО. Направили в тп Инфотекс и КриптоПро (где я уже был). 

На вопрос почему вы предлагаете установить VipNet, был дан ответ что это только рекомендация. 

В общем тупик.

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

Так же последнее время было, ещё за одно и косяк большой в 4.2.11 нашёл, что сильно не понравилось…

В итоге удалил её и поставил 4.2.8.51670 (т.е. которая сейчас сертифицирована, на Win-10 она тоже работает, !!! но только осторожно и если 2 криптопровайдера лучше не шутить, да и так уже не раз обсуждалось без рез. копий с Випентом и 10-кой шутки плохи.)

И сразу всё пролетело на налоговую, сам был удивлён, потом перешёл на 7-ку  чтоб не рисковать, В-Бокс, взял, в Макрософта дистрибутив, поставил и на 30 дней хватит, а потом ещё раз потестирую и ещё.. :ph34r: 

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

Добрый день, столкнулся с аналогичной проблемой. Не проходит последний шаг входа в налоговую. Пробовал на win 10 и 2х разных вин2016 серверах. Пробовал и обычную версию и бета. Через криптопро в личные кабинеты заходит. Перестало работать в 2020, в 2019 все заходило. Какие могут быть варианты, кроме как бодаться с налоговой?

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

У вас TLS включён? И по прямой ссылке тоже не заходит?

Если на КриптоПро проблем нет и контейнер вы сказали «нормальный» (т.е. подходит и для бэтки и для нормальной сертиф. версии), то я бы переделал на КриптоПро контейнер и закрыл бы временно вопрос так.

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

1 час назад, Vintik сказал:

У вас TLS включён? И по прямой ссылке тоже не заходит?

Если на КриптоПро проблем нет и контейнер вы сказали «нормальный» (т.е. подходит и для бэтки и для нормальной сертиф. версии), то я бы переделал на КриптоПро контейнер и закрыл бы временно вопрос так.

по прямой ссылке тоже не заходит :)

тлсы все включены, пробовал отключать, пробовал разные комбинации. да вот тоже подумываю про критопро, просто придется 5 или 6 новых ключей делать)

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

47 минут назад, jfull сказал:

тлсы все включены, пробовал отключать, пробовал разные комбинации. да вот тоже подумываю про критопро, просто придется 5 или 6 новых ключей делать)

Может подождать или всем так срочно надо? там они же то работают то нет (в налоговой) вам может на один раз зайти, зарегать что т и всё.. но конечно если Win-10 то тут я бы без вариантов переходи на КотопПро. А сейчас я вам предлагал именно «временную переделку» согласно то, что по ТК26 можно и для проверки переделаете и убедитесь тогда 100%, что это именно СКЗИ. Т.е вы пробуете переделать и если контейнер не кривой, то переделываете на КриптоПро и всё проверяете, если всё отлично, то потом уже думаете. Или Инфотекс суетится и помогает налоговым, что у них там не работает и почему или забивает на это и вы тоже. В лк отправлю вам примерчик, попробуете.

Удачи!

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

2 часа назад, jfull сказал:

тлсы все включены, пробовал отключать, пробовал разные комбинации. да вот тоже подумываю про критопро, просто придется 5 или 6 новых ключей делать)

Может подождать или всем так срочно надо? там они же то работают то нет (в налоговой) вам может на один раз зайти, зарегать что т и всё.. но конечно если Win-10 то тут я бы без вариантов переходи на КотопПро. А сейчас я вам предлагал именно «временную переделку» согласно то, что по ТК26 можно и для проверки переделаете и убедитесь тогда 100%, что это именно СКЗИ. Т.е вы пробуете переделать и если контейнер не кривой, то переделываете на КриптоПро и всё проверяете, если всё отлично, то потом уже думаете. Или Инфотекс суетится и помогает налоговым, что у них там не работает и почему или забивает на это и вы тоже. В лк отправлю вам примерчик, попробуете.

Удачи!

====

И ещё не забудьте про всякие АВАСТ, но думаю это вы тоже исключили. потому про это молчу.

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

Здравствуйте. Вроде отработанная уже Win7-32.VipNet — последняя. Все советы, проверки с сайта ФНС попробовал. Полагаю, прошел. Дополнительные сертификаты и списки отзывов по УЦ накидал. Советы по отключению TLS использовал. Telnet пашет. На последнем пункте так и клинит. Какого рожна еще надо?

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

19 минут назад, Серг сказал:

Здравствуйте. Вроде отработанная уже Win7-32.VipNet — последняя. Все советы, проверки с сайта ФНС попробовал. Полагаю, прошел. Дополнительные сертификаты и списки отзывов по УЦ накидал. Советы по отключению TLS использовал. Telnet пашет. На последнем пункте так и клинит. Какого рожна еще надо?

По моему они сейчас наконец то начали на TLS 1.2 работать, потому положительные результаты были теперь чаше когда включаешь эти компоненты.

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

3 минуты назад, Vintik сказал:

По моему они сейчас наконец то начали на TLS 1.2 работать, потому положительные результаты были теперь чаше когда включаешь эти компоненты.

Ну, начинал-то со всего, настроенного по правилам. Это уж потом изгаляться стал:) Плюнул. Во-первых, клиент сейчас отключился; а во-вторых, просто у себя их кассу перерегистрирую. Это все, что им от ЛК ФНС нужно. У меня с 8-ки заходит

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

У нас тоже такая проблема.

Ошибка в яндекс браузере. Все настройки сделала.

Этот сайт не может обеспечить безопасное соединение.
На сайте lkul.nalog.ru используется неподдерживаемый протокол.
Протокол не поддерживается. Клиент и сервер используют разные версии протокола SSL или разные наборы шифров.

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

5 часов назад, irinamakgr сказал:

Ошибка в яндекс браузере. Все настройки сделала.

Юзайте IE или Хромиум Гост

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

У меня прошел последний шаг и вошел в личный кабинет по сертификату через

IE 21H1 (отображается в свойствах браузера после установки всех обновлений и билда win10 — 19043.1052)

ViPNet_CSP_RUS_4.5.0.64109_BETTA

C ViPNet 4.4 не проходил последний пункт проверки

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

29.06.2021 в 14:07, Альгис сказал:

У меня прошел последний шаг и вошел в личный кабинет по сертификату через

IE 21H1 (отображается в свойствах браузера после установки всех обновлений и билда win10 — 19043.1052)

ViPNet_CSP_RUS_4.5.0.64109_BETTA

C ViPNet 4.4 не проходил последний пункт проверки

Вот потому все методы хороши, а у кого то всё наоборот.

Но не чего, теперь сертификаты ИП и ЮЛ выдаёт практически монополия и только ФНС, хотя среди вроде 5 или 6-ти УЦ кто нашёл мильар пошлина и инфотексс траст прошёл, но сертификаты там все на КриптоПро пока делают и может про Инфотекс скоро «обычные» люди забудут.

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

Установил ViPNet_CSP_RUS_4.5.0.64109_BETTA, теперь ie не грузится. 

2021-07-06_16-14-20.png.b3c8f8aa4e63791f20544db9863774ed.png

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
  • Жалоба

3 часа назад, sergey_m сказал:

Установил ViPNet_CSP_RUS_4.5.0.64109_BETTA, теперь ie не грузится. 

2021-07-06_16-14-20.png.b3c8f8aa4e63791f20544db9863774ed.png

И кого ты хотел этим удивить тут? Удаляй..чисти.. обновы проверь, если какие то зависли доставь и пробуй на удачу снова. 

Успехов.

  • Цитата

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже.

Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

  • При проверке условий подключения к личным кабинетам ИП и ЮЛ возникла ошибка «Не удалось проверить возможность соединения с сервером»
  • При работе в ЛК физического лица появляется окно (не окно КриптоПро) с требованием ввести пароль, но при этом пароля на контейнере нет или стандартный пин-код от токена не подходит.
  • При регистрации юридического лица появляется ошибка «У Вас отсутствуют полномочия действовать от лица организации без доверенности»
  • При входе появляется ошибка «Не удается обнаружить токен или смарт-карту»
  • При входе возникает ошибка «Сертификат не соответствует 63-ФЗ «Об электронной подписи». Сертификат выпущен неаккредитованным удостоверяющим центром»
  • Контакты nalog.gov.ru

При проверке условий подключения к личным кабинетам ИП и ЮЛ возникла ошибка «Не удалось проверить возможность соединения с сервером»

Если вы работаете на сайте ФНС с одного ПК с несколькими учётными записями (сертификатами), при каждой смене учётной записи необходимо чистить SSL (Сервис — Свойства браузера — Содержание — Очистить SSL).

1. Пройдите диагностику и выполните рекомендуемые действия.

2. Попробуйте войти по прямой ссылке:

— для ЮЛ: https://lkul.nalog.ru  
— для ИП: https://lkipgost2.nalog.ru/lk  

3. Проверьте работу в браузерах:

  • Chromium GOST (на MacOS доступен только этот браузер)
  • Яндекс.Браузер 
    После установки браузера зайдите в его настройки и включите поддержку ГОСТ-шифрования («Настройки» — «Системные» — «Сеть»):

4. Проверьте, что в антивирусе не включено https-сканирование (часто встречается в антивирусах Avast и ESET).

5. Если на компьютере установлены другие СКЗИ (VipNet CSP, Континент-АП, Агава и др.), удалите их или перейдите на другое рабочее место. Корректная работа с несколькими криптопровайдерами на одном ПК не гарантируется.

При работе в ЛК физического лица появляется окно (не окно КриптоПро) с требованием ввести пароль, но при этом пароля на контейнере нет или стандартный пин-код от токена не подходит.

1. Войдите в Личный кабинет Физического лица.

2. Откройте страницу «Главная» — «Профиль» — «Получить электронную подпись».

3. Если на открывшейся странице выбрана ЭП — удалите подпись и зарегистрируйте КЭП заново.

При регистрации Юридического лица появляется ошибка «У Вас отсутствуют полномочия действовать от лица организации без доверенности»

Для юридических лиц в сервисе «Личный кабинет налогоплательщика» первичную регистрацию можно выполнить с КЭП, выданным на руководителя, указанного в ЕГРЮЛ как лицо, имеющее право действовать без доверенности, либо на лицо, имеющее действующую доверенность с полными полномочиями (доверенность с полными полномочиями должна быть передана и зарегистрирована в налоговой. Процесс входа описан на сайте ФНС, раздел «Регистрация лицом, имеющим действующую доверенность с полными полномочиями»).

Для управляющей компании КЭП должен содержать ФИО руководителя управляющей компании и реквизиты (ИНН, ОГРН) той организации, управление которой осуществляется. Также перед первым входом по сертификату дочерней организации требуется зарегистрировать в ФНС доверенность на руководителя УК.

При входе появляется ошибка «Не удается обнаружить токен или смарт-карту»

1. Если ваш сертификат используется не для ЕГАИС Алкоголя:

  • При работе в Yandex.Browser перейдите на страницу расширений введя в адресной строке browser://tune/ или в меню браузера выбрав «Дополнения».
  • При работе в Chromium GOST перейдите на страницу расширений введя в адресной строке chrome://extensions/ или в меню браузера выберите «Дополнительные инструменты — «Расширения».
  • На открывшейся странице отключите, переключив ползунок, Адаптер Рутокен Коннект и Адаптер Рутокен Плагин.

2. Пройдите диагностику и выполните рекомендуемые действия.

При входе возникает ошибка «Сертификат не соответствует 63-ФЗ «Об электронной подписи». Сертификат выпущен неаккредитованным удостоверяющим центром»

1. Попробуйте войти по прямой ссылке:

  • для ЮЛ: https://lkul.nalog.ru  
  • для ИП: https://lkipgost2.nalog.ru/lk  

2. Пройдите диагностику и выполните рекомендуемые действия.

Контакты nalog.gov.ru

По вопросам работы на портале и ошибкам, не связанным с настройкой рабочего места и электронной подписью, обратитесь в службу поддержки портала ФНС:
— Телефон: 8 (800) 222-22-22
— Форма обращения в техподдержку ФНС

Множество пользователей браузера Google Chrome при попытке перейти на какую-либо веб-страницу могут столкнуться с сообщением «На сайте используется неподдерживаемый протокол». Довольно часто проблема вызвана устаревшим кодом безопасности, используемым на данном сайте, а также некорректными сетевыми настройками на пользовательском ПК. Давайте разберём, как зайти на сайт с подобной проблемой, и что нам для этого понадобится.

  • Что означает сообщение «На сайте используется неподдерживаемый протокол»
  • Запуск опции TLS 1.3 для решения ошибки при входе на сайт
  • Задействование всех версий SSL/TLS в веб-навигаторе
  • Проверка нужного сайта с других PC
  • Очистка SSL в браузере
  • Зайти на сайт с другого браузера
  • Использование незашифрованной версии ресурса
  • Использование браузера Mozilla Firefox для решения проблемы
  • Отключение расширений для веб-навигатора
  • Проверка корректности даты и времени
  • Отключение QUIC протокола при ошибке с неподдерживаемым протоколом
  • Очистка SSL для входа на сайт
  • Проверка PC на наличие зловредов
  • Очистка кэш и куки вашего веб-навигатора
  • Временное отключение антивируса для входа на сайт
  • Сброс настроек Chrome при неподдерживаемом протоколе
  • Переустановка браузера при возникновении ошибки
  • Заключение

Сообщение о неподдерживаемом протоколе

Что означает сообщение «На сайте используется неподдерживаемый протокол»

Наиболее часто с указанной ошибкой сталкиваются владельцы браузеров на ядре «Хромиум» (Хром, Яндекс, Опера и др.). Они запускают браузер, пробуют перейти на нужный сайт, после чего сталкиваются с сообщением о неподдерживаемом протоколе и кодом ошибки «ERR_SSL_VERSION_OR_CIPHER_MISMATCH». После появления на экране указанного сообщения доступ к сайту оказывается заблокирован.

Довольно часто ошибка проявляет себя на следующих ресурсах:

  • azk59.permkrai.ru
  • eruz.zakupki.gov.ru
  • fzs.roskazna.ru
  • lkul.nalog.ru
  • lkipgost.nalog.ru
  • private.bus.gov.ru и других.

Базовой причиной ошибки является невозможность установить безопасное соединение браузера с нужным веб-сайтом. За обеспечения такого соединения отвечают сертификаты SSL, гарантирующие шифрование передаваемых данных. Поскольку на данный момент SSL является стандартным протоколом для любого сайта, Google требует от веб-мастеров (владельцев сайтов) имплементации сертификатов SSL на их ресурсах.

Когда браузер обнаруживает проблему с сертификатом безопасности у запрашиваемого сайта, он выдаёт пользователю сообщение «На сайте используется неподдерживаемый протокол».

Довольно часто рассматриваемая ошибка появляется на ресурсах, которые используют SSL-сертификаты с SNI (индикатор имени сервера) и ECDSA (алгоритм открытого ключа для создания цифровой подписи). ECDSA иногда используем дешёвые сертификаты, способные вызывать рассматриваемую в статье ошибку.

Другими причинами проблемы могут стать:

  • Некорректная работа с компонентами SSL-сертификатов на браузерах IE и Хром, работающих с устаревшими ОС уровня Windows XP;
  • Злокачественная деятельность вирусных программ;
  • Антивирус и брандмауэр, блокирующие доступ к нужному сайту;
  • Не очищенные кэш и куки пользовательского браузера;
  • Отсутствующая в устаревших версиях браузера поддержка TLS 1.3;
  • Не отключенный протокол QUIC;
  • Расширения и дополнения пользовательского браузера, блокирующие доступ к сайту;
  • Нестабильное сетевое подключение (в частности, из-за проблем с роутером).

Давайте разберёмся, как исправить ошибку, когда сайт использует неподдерживаемый протокол на вашем PC.

Запуск опции TLS 1.3 для решения ошибки при входе на сайт

В адресной строке вашего Хром наберите chrome://flags. В строке поиска вверху наберите TLS 1.3 и найдите данную опцию. Если она включена (Enabled) или установлена как Default, тогда ничего не трогайте. Если же она отключена (Disabled), тогда включите её (Enabled).

Параметр TLS 1.3

Это также интересно: Как исправить ошибку ERR_INSECURE_RESPONSE.

Задействование всех версий SSL/TLS в веб-навигаторе

Выполнение данного совета активирует все доступные протоколы, в том числе уязвимые и устаревшие (что может быть небезопасно).

Порядок действий:

  1. Нажмите Win+R, введите там inetcpl.cpl и нажмите ввод.
  2. В открывшемся окне свойств Интернета поставьте галочки рядом со всеми версиями SSL и TLS и нажмите «Применить».
  3. Перезагрузите ваш браузер, это поможет устранить ошибку о неподдерживаемом протоколе в вашей системе.

Свойства Интернет

Проверка нужного сайта с других PC

Первым делом необходимо определить, возникает ли данная ошибка только у вас или она имеется и у других пользователей. Попросите ваших друзей (знакомых) перейти на проблемный сайт. Если ошибка протокола возникает и у них, значит это проблема администрации сайта, и необходимо подождать, когда техническая поддержка её исправит. Также можете уведомить администрацию ресурса о проблеме, написав соответствующее письмо на электронную почту.

Если же проблема возникает только у вас, необходимо выполнить ряд шагов, описанных нами ниже.

Очистка SSL в браузере

Нажмите на Win+R, введите там inetcpl.cpl. В появившемся окне свойств Интернета выберите вкладку «Содержание». Здесь нажмите на «Очистить SSL», после чего кликните ниже на «Ок». Перезагрузите ваш Хром.

Кнопка очистки SSL

Нажмите на «Очистить SSL»

Зайти на сайт с другого браузера

Хорошие результаты в обходе ошибки «ERR_SSL_VERSION» является использование альтернативных браузеров, не использующих ядро Хромиум (к примеру, Мозилла). На подобных навигаторах рассматриваемая нами ошибки обычно не возникает.

Браузер Мозилла

Использование незашифрованной версии ресурса

Попробуйте использовать незащищённую версию сайта, для чего в адресной строке укажите адрес сайта с «http» вместо «https». Иногда это позволяет исправить ошибку о неподдерживаемом протоколе на вашем PC.

Использование браузера Mozilla Firefox для решения проблемы

Наиболее простым способом избавиться от ошибки «На сайте используется неподдерживаемый протокол» является переход на проблемный сайт с помощью браузера Mozilla Firefox. Поскольку Мозилла менее чувствительна к проблемным протоколам, она поможет открыть проблемный сайт и просмотреть его содержимое.

Картинка новый Firefox

Отключение расширений для веб-навигатора

Довольно часто причиной ошибки становятся сетевые расширения для браузера, уровня «Savefrom.net» и аналогов. Перейдите в настройки вашего веб-навигатора, найдите там раздел расширений (дополнений) и временно отключите (удалите) сомнительные сетевые расширения.

Кнопка Отключить

Отключите расширение Savefrom.net и аналоги

Полезно знать: Как устранить ошибку ERR_CONNECTION_REFUSED.

Проверка корректности даты и времени

Убедитесь, что дата, время и часовой пояс на вашем ПК выставлены корректно. Несовпадение этих данных с данными веб-сервера может стать причиной ошибки «Используется неподдерживаемый протокол» в вашей системе. Наведите курсор мышки на дату и время в панели задач внизу справа, щёлкните ПКМ и выберите «Настройка даты и времени».

Отключение QUIC протокола при ошибке с неподдерживаемым протоколом

Порядок действий:

  1. В адресной строке Chrome введите chrome://flags/ и нажмите ввод.
  2. Отыщите в перечне настроек «Experimental QUIC protocol».
  3. поставьте статус «Disabled» и кликните внизу на «Relaunch now».Опция деактивации QUIC

Очистка SSL для входа на сайт

Порядок действий:

  1. Нажмите Win+R, введите там inetcpl.cpl и нажмите ввод.
  2. В открывшемся окошке свойств Интернета выберите вкладку «Содержание».
  3. Нажмите ниже на кнопку «Очистить SSL».
  4. Нажмите на ОК, и перезагрузите систему.

    Опция очистки SSL

    Выполните очистку SSL

Проверка PC на наличие зловредов

Проверьте вашу систему на наличие вирусов. Помогут такие инструменты как «AdwCleaner», «ДокторВеб Кюрейт» и аналоги, эффективно очищающие систему от вирусных программ. После окончания процедуры очистки перезагрузите ваш PC.

Очистка кэш и куки вашего веб-навигатора

Поскольку кэш и куки в вашем браузере могут стать причиной ошибки, рекомендуем провести их очистку. Например, в Мозилле это выполняется переходом в «Настройки», выбором раздела «Приватность и защита» и активацией опции «Удалить историю».

Картинка удаления кэша и куков

Временное отключение антивируса для входа на сайт

Довольно часто причиной ошибки становится антивирус, блокирующий компьютеру доступ к нужному ресурсу. Временно деактивируйте вашу антивирусную программу (а также брандмауэр) и попробуйте перейти на нужный сайт. Если сайт запустится без проблем, будет необходимо внести требуемый ресурс в исключения антивируса (брандмауэра).

Сброс настроек Chrome при неподдерживаемом протоколе

Порядок действий:

  1. Запустите ваш Хром, введите в адресной строке chrome://settings/ и нажмите ввод.
  2. Промотайте вниз и кликните на опцию «Дополнительно».
  3. В самом низу выберите «Восстановление настроек по умолчанию» — «Сбросить настройки».Кнопка сброса настроек

Переустановка браузера при возникновении ошибки

Если проблема продолжает проявлять себя, то деинсталлируйте ваш Хром, перезагрузите ПК и установите самую свежую версию браузера.

Читайте также: Сайт не может обеспечить безопасное соединение – что делать.

Заключение

Довольно часто причиной ошибки «На сайте используется неподдерживаемый протокол» является некорректная работа с протоколами самого веб-сайта. В случае же настроек пользовательских ПК это вызвано особенностями работы браузеров на ядре Хромиум, не всегда корректно работающих с SSL-сертификатами. Выполните перечисленные в статье советы, это позволит открыть нужный сайт на вашем ПК.

Исправление ошибки ERR SSL OR CIPHER MISMATCHСреди наиболее распространенных ошибок в браузере Google Chrome, Microsoft Edge, Opera, Яндекс Браузер при открытии сайтов или определенных разделов в них — сообщение «Этот сайт не может обеспечить безопасное соединение. На сайте используется неподдерживаемый протокол» с кодом ошибки ERR_SSL_VERSION_OR_CIPHER_MISMATCH, а в подробностях — «Клиент и сервер поддерживают разные версии протокола SSL и набора шифров».

В этой инструкции подробно о том, как исправить ошибку ERR_SSL_VERSION_OR_CIPHER_MISMATCH для различных ситуаций и браузеров: как для «обычных» сайтов, так и для различных государственных сайтов, где проблема может иметь иной характер.

  • Решение проблемы ERR SSL VERSION OR CIPHER MISMATCH
  • Ошибка ERR SSL VERSION OR CIPHER MISMATCH для государственных сайтов с шифрованием по ГОСТ
  • Видео инструкция

Решение проблемы «Неподдерживаемый протокол» ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Сообщение ERR_SSL_OR_CIPHER_MISMATCH в браузере

В общем случае ошибка возникает при установке зашифрованного соединения с сайтом на этапе TLS Handshake. Если на сайте используется протокол шифрования или длина ключа, не поддерживаемые вашим браузером, результат — ошибка ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

В случае, если ошибка появляется при доступе к обычному сайту в Интернете: не являющемуся сайтом госструктуры, банка, сервиса закупок, вы можете использовать следующие методы для исправления проблемы (способы описаны для Windows 10, Windows 11 и предыдущих версий):

  1. Нажмите клавиши Win+R на клавиатуре (Win — клавиша с эмблемой Windows), введите inetcpl.cpl и нажмите Enter. На вкладке «Дополнительно» включите TLS 1.0, 1.1, 1.2 и 1.3, если они не активны. Также попробуйте включить SSL 3.0. Включение старых версий TLS
  2. Для браузера Google Chrome: откройте страницу chrome://flags (введите этот адрес в адресную строку и нажмите Enter), выполните поиск (поле вверху страницы) по слову TLS и отключите параметр «Enforce deprecation of legacy TLS versions» (установите в Disabled), выполните то же самое для параметра «Experimental QUIC protocol». После этого нажмите по появившейся кнопке перезапуска браузера. Отключение протокола QUIC в Chrome
  3. Очистите SSL: также как на первом шаге откройте окно свойств Интернета (Win+R — inetcpl.cpl) и нажмите «Очистить SSL» на вкладке «Содержание». Очистка SSL в Windows
  4. Если на компьютере используется VPN или прокси, отключите их. Причем для системных параметров прокси отключите опцию «Автоматическое определение параметров» — в том же окне, что и на предыдущем шаге перейдите на вкладку «Подключения», нажмите «Настройка сети» и снимите отметку, если она установлена. Отключение автоматического определения параметров прокси
  5. Функции защиты сети в сторонних антивирусах тоже могут оказаться причиной проблемы — попробуйте временно отключить их при наличии.
  6. Попробуйте очистить кэш и куки браузера. В Google Chrome это можно сделать, нажав клавиши Ctrl+Shift+Delete и подтвердив удаление данных. Либо в разделе «Конфиденциальность и безопасность в настройках браузера. Очистка кэша браузера
  7. Использование старой операционной системы (например, Windows XP) без возможности новых версий браузеров и без встроенной поддержки новых протоколов шифрования может приводить к указанной ошибке. Можно попробовать получить доступ к сайту по протоколу http, для этого в адресе сайта вручную измените https:// на http://

Если описываемые методы не помогли, то в теории причиной проблемы может оказаться очень старая версия браузера (особенно если вы используете portable-версию), или проблемы с самим сайтом, в частности с используемым им SSL-сертификатом и шифрованием. Но в этом случае могут помочь способы, описанные в следующем разделе для сайтов с шифрованием по ГОСТ.

Внимание: если проблема возникла с единственным сайтом и ранее она не наблюдалась, проблема может быть временной, например, при смене IP-адреса сайта, замене сертификата безопасности и других действиях со стороны администратора. В такой ситуации проблема обычно исчезает через некоторое время.

Ошибка ERR SSL VERSION OR CIPHER MISMATCH для государственных сайтов с шифрованием по ГОСТ

Среди сайтов, при доступе к которым браузер может выдавать указанную ошибку — различные сайты госструктур, иногда — банков, в рекомендациях по доступу к которым обычно указан браузер Internet Explorer (кстати, его использование действительно может решить проблему, но это не всегда возможно). Если вы также столкнулись с ошибкой при открытии такого сайта, возможные варианты действий:

  1. Использовать Яндекс.Браузер (он поддерживает шифрование по российским ГОСТам) или Chromium Gost — https://www.cryptopro.ru/products/chromium-gost
  2. Внимательно изучить информацию на проблемном сайте: в частности, в справке может быть указано на необходимость установке сертификатов на компьютере с инструкцией о том, как именно это выполнить.

Видео инструкция

Если в вашей ситуации работоспособным оказался какой-то иной способ, буду благодарен комментарию с его описанием: возможно, он сможет помочь кому-то из читателей.

У меня почему-то перестали открываться некоторые HTTPS сайты (не все!). При попытке открыть такой сайт в браузере появляется окно с ошибкой «Этот сайт не может обеспечить безопасное соединение». Сайты не отображаются как в Google Chrome, так и в Opera, Яндекс Браузере и Microsoft Edge. Без HTTPS некоторые сайты открываются, но не все, только те, у которых страницы доступны и по протоколу HTTPS и по протоколу HTTP. В Google Chrome ошибка при открытии HTTPS сайт выглядит так:

Этот сайт не может обеспечить безопасное соединение.
Сайт sitename.ru отправил недействительный ответ.
ERR_SSL_PROTOCOL_ERROR.

Chrome - Этот сайт не может обеспечить безопасное соединение. Сайт sitename.ru отправил недействительный ответ. ERR_SSL_PROTOCOL_ERROR

И так:

 Этот сайт не может обеспечить безопасное соединение.
На сайте sitename.ru используется неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Клиент и сервер поддерживают разные версии протокола SSL и набора шифров. Скорее всего, сервер использует шифр RC4, который считается небезопасный.» [/alert]

На сайте sitename.ru используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Или в Mozilla Firefox :

Secure Connection Failed

В Opera и Яндекс Браузере ошибки выглядит примерно также.

Как мне открыть такие сайты?

Ответ

Как вы уже вероятно поняли, проблема связана с проблемами при SSL взаимодействии между вашим компьютеров и HTTPS сайтом. Причины такой ошибки могут быть довольно разные. В этой статье я попробовал собрать все методы исправления ошибки «Этот сайт не может обеспечить безопасное соединение» (This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR) в различных браузерах.

Содержание:

  • Очистите в брайзере кэш и куки, сбросьте SSL кэш
  • Отключите сторонние расширения в браузере
  • Проверьте настройки антивируса и файрвола
  • Проверьте настройки даты и времени
  • Обновите корневые сертификаты Windows
  • Отключите поддержку протокола QUIC
  • Проверьте версии протоколов TLS, поддерживаемых вашим браузером и сайтом
  • Включите поддержку старых версий протоколов TLS и SSL

Сразу хочется отметить, что несмотря на то, что браузеры Google Chrome, Opera, Яндекс Браузер и Edge выпускаются разными компаниями, на самом деле все эти браузеры основаны на одном и том же движке — WebKit (Chromium) и проблема с ошибками при открытии HTTPS сайтов в них решается одинаково.

В первую очередь нужно убедиться, что проблема не на стороне самого HTTPS сайта. Попробуйте открыть его с других устройств (телефон, планшет, домашний/рабочий компьютер и т.д.). Также проверьте, открывается ли в других браузерах, например, IE/Edge или Mozilla Firefox. В Firefox похожая ошибка обсуждалась в статье Ошибка при установлении защищённого соединения в Mozilla Firefox.

Очистите в брайзере кэш и куки, сбросьте SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Очистиь кэш и куки chrome

Чтобы очистить SSL кэш в Windows:

  1. Перейдите в раздел Панель управления -> Свойства браузера;
  2. Щелкните по вкладке Содержание;
  3. Нажмите на кнопку Очистить SSL (Clear SSL State);
  4. Должно появится сообщение “SSL-кэш успешно очищен”;
  5. Осталось перезапустить браузер и проверить, осталась ли ошибка ERR_SSL_PROTOCOL_ERROR.

Очистить SSL кэш Windows

Отключите сторонние расширения в браузере

Рекомендуем отключить (удалить) сторонние расширения браузера, особенно всякие анонимайзеры, прокси, VPN, расширения антивируса и другие подобные Addon-ы, которые могут вмешиваться в прохождение трафика до целевого сайта. Посмотреть список включенных расширения в Chrome можно, перейдя в Настройки -> Дополнительные инструменты -> Расширения, или перейдя на страницу
chrome://extensions/
. Отключите все подозрительные расширения.

Отключите расширения Chrome

Проверьте настройки антивируса и файрвола

Если на вашем компьютере установлены антивирусная программа или межсетевой экран (часто он встроен в антивирус), возможно доступ к сайту блокируется именно ими. Чтобы понять, ограничивают ли доступ к сайту антивирусы или файрволы, попробуйте на время приостановить их работу.
Во многих современных антивирусах по-умолчанию присутствует модуль проверки SST/TLS сертификатов сайтов. Если антивирус обнаружит, что сайт использует недостаточно защищенный (или самоподписанный) сертификат или устаревшую версию протокола SSL (тот же SSL 3.0 или TLS 1.0), доступ к пользователя к такому сайту может быть ограничен. Попробуйте отключить сканирование HTTP/HTTPS трафика и SSL сертификатов. В различных антивирусах эта опция может называть по-разному. Например:

Проверьте настройки даты и времени

Неправильная дата и время (и часового пояса) на компьютере также может быть причиной ошибки при установке защищенного соединения с HTTPS сайтами. Ведь при выполнении аутентификации система проверяет срок создания и дату истечения сертификата сайта и вышестоящего центра сертификации.

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности и обновления часовых поясов.

Вы можете вручную обновить корневые сертификаты по статье: Как вручную обновить корневые сертификаты в Windows (так же рекомендуем проверить хранилище сертификатов на предмет недоверенных сертификатов, это позволит предотвратить перехват вашего HTTPs трафика и ряд других проблем).

Отключите поддержку протокола QUIC

Проверьте, не включена ли в Chrome поддержка протокола QUIC (Quick UDP Internet Connections). Протокол QUIC позволяет гораздо быстрее открыть соединение и согласовать все параметры TLS (HTTPs) при подключении к сайту. Однако в некоторых случая он может вызывать проблемы с SSL подключениями. Попробуйте отключить QUIC:

  1. Перейдите на страницу: chrome://flags/#enable-quic;
  2. Найдите опцию Experimental QUIC protocol;
  3. Измените значение опции Default на Disabled;
  4. Перезапустите Chrome.

Experimental QUIC protocol - отключить в chrome

Проверьте версии протоколов TLS, поддерживаемых вашим браузером и сайтом

Проверьте, какие версии протоколов TLS/SSL и методы шифрования (Cipher Suite ) поддерживаются вашим браузером. Для этого просто откройте веб страницу https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html

Онлайн сервис SSL Labs вернет список протоколов и методов шифрования, которые поддерживает ваш блаузер. Например, в моем примере Chrome поддерживает TLS 1.3 и TLS 1.2. Все остальные протоколы (TLS 1.1, TLS 1.0, SSL3 и SSL 2) отключены.

Чуть ниже указан список поддерживаемых методов шифрования.

Cipher Suites (in order of preference)

  • TLS_AES_128_GCM_SHA256
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

какие версии tls и ssl поддерживает ваш браузер

Полный список методов шифрования, включенных в Windows можно вывести с помощью PowerShell:

Get-TlsCipherSuite | Format-Table -Property CipherSuite, Name

Затем проверьте список протоколов TLS/SSL, которые поддерживает ваш сайт. Для этого воспользуйтесь онлайн сервисом проверки SSL
https://www.ssllabs.com/ssltest/analyze.html?d=domain.ru
(замените
domain.ru
на адрес сайта, который вы хотите проверить).

Проверьте, все ли версии TLS/SSL поддерживаемые сайтом доступны в вашем браузере.

В этом примере видно, что сайт не поддерживает TLS 3.1 и SSL3/2. Аналогично сравните список Cipher Suite.

список tls ssl протоколов и методов ширования, поддерживаемых сайтом/сервером

Если метод шифрования не поддерживается вашим браузером, возможно нужно включить его в Windows.

Если сайт не поддерживает SSL протоколы, которые требует использовать клиент, то при подключении вы увидите ошибку “ Этот сайт не может обеспечить безопасное соединение”.

Включите поддержку старых версий протоколов TLS и SSL

И самый последний пункт. Cкорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Старые версии протоколов TLS и SSL отключены не по простой прихоти разработчиков, а в связи с наличием большого количества уязвимостей, которые позволяют злоумышленникам перехватить ваши данные в HTTPS трафике и даже видоизменить их. Бездумное включение старых протоколов существенно снижает вашу безопасность в Интернете, поэтому к этому способу нужно прибегать в последнюю очередь, если все другое точно не помогло.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется более старая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Такая ошибка появляется, если клиент на этапе TLS Handshake обнаружил, что на сайте используется протокол шифрования или длина ключа, которая не поддерживается вашим браузером. Выше мы показали, как определить набор протоколов и шифров, поддерживаемых сервером.

Чтобы разрешить использовать старые версии протоколов SSL/TLS в Windows (еще раз отмечаю – это небезопасно!):

  1. Откройте Панель Управления -> Свойства браузера;
  2. Перейдите на вкладку Дополнительно;
  3. Включите опции TLS 1.0, TLS 1.1 и TLS 1.2 (если не помогло, включите также SSL 3.0,2.0).включить TLS 1.0, TLS 1.1
  4. Перезапустите браузер.

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

    1. Проверить, что в файле C:WindowsSystem32driversetchosts отсутствуют статические записи. Файл hosts может использоваться в Windows в том числе для блокировки доступа к сайтам. Выведите содержимое файла hosts с помощью PowerShell:
      Get-Content $env:SystemRootSystem32Driversetchosts
    2. Попробуйте использовать публичные DNS сервера, например – DNS сервер Google. В настройках сетевого подключения в качестве предпочитаемого DNS сервера укажите IP адрес 8.8.8.8;
    3. В Панели управления -> свойства браузера, убедитесь, что для зоны Интернет выбрана уровень безопасности Выше среднего или Средний. Если выбрана зона Высокий, некоторые SSL подключения могут блокироваться браузером.Средний уровень безопасности для зоны Интернет
    4. Возможно проблема связана с сертификатом сайта. Проверьте его с помощью онлайн утилит SSL Checker;
    5. Если на компьютере используется VPN или задан прокси сервер в Windows, попробуйте отключите их;
    6. В тестовых целях, если вам нужно быстро просмотреть содержимое сайта, можно отключить ошибки проверки SSL сертификатов в Chrome. Для этого нужно запустить его с параметром —ignore-certificate-errors:
      "C:Program Files (x86)GoogleChromeApplicationchrome.exe" --ignore-certificate-errors
      (не работайте в таком режиме постоянно и не отправляйте конфиденциальные данные пароли/кредитки в такой сессии);
    7. В Chrome проверьте, включен ли протокол TLS 1.3. В адресной строке перейдите в раздел настроек chrome://flags, С помощью поиска найдите параметр TLS 1.3. Убедитесь, что он включен (Enabled) или находится в состоянии Default. Если отключен – его нужно включить; TLS 1.3 в Chrome
    8. Если у вас используется одна из старых версий ОС (Windows XP или Windows 7), установите вместо Chrome браузер Mozilla Firefox. В отличии от движков на базе Chromium, Mozilla не использует собственные модули реализации протоколов шифрования SSL/TLS, а не встроенные в Windows.

Форум КриптоПро
 » 
Общие вопросы
 » 
Общие вопросы
 » 
Ошибка проверки сертификата nalog.ru ЛК ИП win11


Offline

Gloktar

 


#1
Оставлено
:

23 апреля 2023 г. 19:08:44(UTC)

Gloktar

Статус: Активный участник

Группы: Участники

Зарегистрирован: 30.07.2015(UTC)
Сообщений: 35

Сказал(а) «Спасибо»: 5 раз

Возникает ошибка при проверке в ЛК ФНС ИП на этапе Проверка защищённого соединения с сервером Личного кабинета индивидуального предпринимателя. Получаю ошибку «скрин01»
Если перейти по прямой ссылке в ЛК https://lkipgost2.nalog.ru/ получаю ошибку «скрин02»
Сертификаты все стоят, цепочка строится. С этим же самым сертом на других ОС все нормально. Пробовал в 2х браузерах — яндекс и хромиум гост, ошибка одинаковая
Так же пробовал отключать галку в КриптоПро не использовать устаревшие cipher suite-ы — ошибка сохраняется

Такое ощущение что стоит какой-то антивирус и блокирует Https, но нет даже защитника windows в сборке 11. Пробовал отключать брендмауер — не помогло

Версия Яндекс браузера — 23.3.2.806 (64-bit)
Версия КриптоПро — 5.0 12000
Версия ОС — скрин 003

Подскажите, в чем может быть проблема, есть идеи?

001.png (17kb) загружен 5 раз(а). 002.jpg (55kb) загружен 5 раз(а). 003.jpg (35kb) загружен 4 раз(а).

Отредактировано пользователем 23 апреля 2023 г. 19:09:51(UTC)
 | Причина: Не указана


Вверх


Offline

nickm

 


#2
Оставлено
:

23 апреля 2023 г. 19:35:07(UTC)

nickm

Статус: Активный участник

Группы: Участники

Зарегистрирован: 31.05.2016(UTC)
Сообщений: 1,342

Сказал(а) «Спасибо»: 368 раз
Поблагодарили: 210 раз в 195 постах

Автор: Gloktar Перейти к цитате

Вwindows в сборке 11

Для указанной системы попробуйте использовать одну из последних сборок из раннего доступа;

Автор: Gloktar Перейти к цитате

на этапе Проверка защищённого соединения с сервером Личного кабинета индивидуального предпринимателя. Получаю ошибку

Проверку работы по ГОСТ TLS в браузере удобно проверять по данной ссылке.


Вверх

thanks 1 пользователь поблагодарил nickm за этот пост.

Gloktar

оставлено 23.04.2023(UTC)


Offline

Gloktar

 


#3
Оставлено
:

23 апреля 2023 г. 20:29:02(UTC)

Gloktar

Статус: Активный участник

Группы: Участники

Зарегистрирован: 30.07.2015(UTC)
Сообщений: 35

Сказал(а) «Спасибо»: 5 раз

Действительно на вашей сборке все завелось. Спасибо


Вверх

Пользователи, просматривающие эту тему

Guest

Форум КриптоПро
 » 
Общие вопросы
 » 
Общие вопросы
 » 
Ошибка проверки сертификата nalog.ru ЛК ИП win11

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Захожу я на https://lkulgost.nalog.ru/. И тут начинается квест. Все удалось победить, но не проходила последняя проверка:

«Проверка защищённого соединения с сервером Личного кабинета юридического лица.»

Пробовал все, что было описано на странице, и ничего не помогало…

Были надписи и такого вида, ошибок словил много:

На сайте lkul.nalog.ru используется неподдерживаемый протокол ERR_SSL_VERSION_OR_CIPHER_MISMATCH

«Этот сайт не может обеспечить безопасное соединение.
Ваш сертификат отклонен сайтом lkulgost.nalog.ru или не был выдан.
Обратитесь за помощью к системному администратору.
ERR_BAD_SSL_CLIENT_AUTH_CERT»

«Этот сайт не может обеспечить безопасное соединение Ваш сертификат отклонен сайтом или не был выдан. Обратитесь за помощью к системному администратору. ERR_BAD_SSL_CLIENT_AUTH_CER»

Окно выбора сертификата почему-то всплывает по два раза на разных пунктах.

Все советуют использовать Яндекс Браузер, мне не помогло. Помогла только установка на компьютере браузера Chromium GOST: https://www.cryptopro.ru/products/chromium-gost.

Через него сразу все завелось и удалось получить доступ в личный кабинет.

Естественно, ставим в браузер расширение КриптоПро CSP: https://cryptopro.ru/products/csp.

Важно!

Временно отключите антивирусную программу и проверьте, что у вас не включено https-сканирование, если используете Avast или ESET.

Задача — отключение опции SSL-сканирования («SSL scan»). Либо настройте исключения для площадок ФНС.

Внимание! Для всех у кого УЦ СКБ Контур и антивирус Касперского, он подменяет сертификат сайта своим сертификатом, что приводит к ошибке при работе с сайтами, которые используют сертификаты с ГОСТ алгоритмами электронной подписи, например, zakupki.gov.ru и bus.gov.ru.

Чтобы проверить это откройте в Internet Explorer страницу https://cryptopro.ru , нажмите на пиктограмму замка (в конце адресной строки), потом на ссылку «Просмотр сертификатов» в появившемся окне.

Если на вкладке Общие в строке Кем выдан стоит значение отличное от thawte SSL CA — G2 (вероятно, в Вашем случае там присутствует слово Kaspersky), то это значит, что антивирус подменяет сертификаты веб-сайтов своим сертификатом.

Необходимо отключить эту функцию антивируса (она обычно называется «Проверять защищенные соединения» или «https/ssl» фильтрация).

Для Антивируса Касперского:

Настройка — Дополнительные параметры — Сеть — Проверять защищенные соединения

Чтобы узнать более подробную информацию по отключению функции защищенных соединений для вашей версии антивируса вам нужно обращаться в техническую поддержку производителя антивируса.

У меня почему-то перестали открываться некоторые HTTPS сайты (не все!). При попытке открыть такой сайт в браузере появляется окно с ошибкой «Этот сайт не может обеспечить безопасное соединение». Сайты не отображаются как в Google Chrome, так и в Opera, Яндекс Браузере и Microsoft Edge. Без HTTPS некоторые сайты открываются, но не все, только те, у которых страницы доступны и по протоколу HTTPS и по протоколу HTTP. В Google Chrome ошибка при открытии HTTPS сайт выглядит так:

Этот сайт не может обеспечить безопасное соединение.
Сайт sitename.ru отправил недействительный ответ.
ERR_SSL_PROTOCOL_ERROR.

Chrome - Этот сайт не может обеспечить безопасное соединение. Сайт sitename.ru отправил недействительный ответ. ERR_SSL_PROTOCOL_ERROR

И так:

 Этот сайт не может обеспечить безопасное соединение.
На сайте sitename.ru используется неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Клиент и сервер поддерживают разные версии протокола SSL и набора шифров. Скорее всего, сервер использует шифр RC4, который считается небезопасный.» [/alert]

На сайте sitename.ru используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Или в Mozilla Firefox :

Secure Connection Failed

В Opera и Яндекс Браузере ошибки выглядит примерно также.

Как мне открыть такие сайты?

Ответ

Как вы уже вероятно поняли, проблема связана с проблемами при SSL взаимодействии между вашим компьютеров и HTTPS сайтом. Причины такой ошибки могут быть довольно разные. В этой статье я попробовал собрать все методы исправления ошибки «Этот сайт не может обеспечить безопасное соединение» (This site can’t provide a secure connection, ERR_SSL_PROTOCOL_ERROR) в различных браузерах.

Содержание:

  • Очистите в брайзере кэш и куки, сбросьте SSL кэш
  • Отключите сторонние расширения в браузере
  • Проверьте настройки антивируса и файрвола
  • Проверьте настройки даты и времени
  • Обновите корневые сертификаты Windows
  • Отключите поддержку протокола QUIC
  • Проверьте версии протоколов TLS, поддерживаемых вашим браузером и сайтом
  • Включите поддержку старых версий протоколов TLS и SSL

Сразу хочется отметить, что несмотря на то, что браузеры Google Chrome, Opera, Яндекс Браузер и Edge выпускаются разными компаниями, на самом деле все эти браузеры основаны на одном и том же движке — WebKit (Chromium) и проблема с ошибками при открытии HTTPS сайтов в них решается одинаково.

В первую очередь нужно убедиться, что проблема не на стороне самого HTTPS сайта. Попробуйте открыть его с других устройств (телефон, планшет, домашний/рабочий компьютер и т.д.). Также проверьте, открывается ли в других браузерах, например, IE/Edge или Mozilla Firefox. В Firefox похожая ошибка обсуждалась в статье Ошибка при установлении защищённого соединения в Mozilla Firefox.

Очистите в брайзере кэш и куки, сбросьте SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Очистиь кэш и куки chrome

Чтобы очистить SSL кэш в Windows:

  1. Перейдите в раздел Панель управления -> Свойства браузера;
  2. Щелкните по вкладке Содержание;
  3. Нажмите на кнопку Очистить SSL (Clear SSL State);
  4. Должно появится сообщение “SSL-кэш успешно очищен”;
  5. Осталось перезапустить браузер и проверить, осталась ли ошибка ERR_SSL_PROTOCOL_ERROR.

Очистить SSL кэш Windows

Отключите сторонние расширения в браузере

Рекомендуем отключить (удалить) сторонние расширения браузера, особенно всякие анонимайзеры, прокси, VPN, расширения антивируса и другие подобные Addon-ы, которые могут вмешиваться в прохождение трафика до целевого сайта. Посмотреть список включенных расширения в Chrome можно, перейдя в Настройки -> Дополнительные инструменты -> Расширения, или перейдя на страницу
chrome://extensions/
. Отключите все подозрительные расширения.

Отключите расширения Chrome

Проверьте настройки антивируса и файрвола

Если на вашем компьютере установлены антивирусная программа или межсетевой экран (часто он встроен в антивирус), возможно доступ к сайту блокируется именно ими. Чтобы понять, ограничивают ли доступ к сайту антивирусы или файрволы, попробуйте на время приостановить их работу.
Во многих современных антивирусах по-умолчанию присутствует модуль проверки SST/TLS сертификатов сайтов. Если антивирус обнаружит, что сайт использует недостаточно защищенный (или самоподписанный) сертификат или устаревшую версию протокола SSL (тот же SSL 3.0 или TLS 1.0), доступ к пользователя к такому сайту может быть ограничен. Попробуйте отключить сканирование HTTP/HTTPS трафика и SSL сертификатов. В различных антивирусах эта опция может называть по-разному. Например:

Проверьте настройки даты и времени

Неправильная дата и время (и часового пояса) на компьютере также может быть причиной ошибки при установке защищенного соединения с HTTPS сайтами. Ведь при выполнении аутентификации система проверяет срок создания и дату истечения сертификата сайта и вышестоящего центра сертификации.

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности и обновления часовых поясов.

Вы можете вручную обновить корневые сертификаты по статье: Как вручную обновить корневые сертификаты в Windows (так же рекомендуем проверить хранилище сертификатов на предмет недоверенных сертификатов, это позволит предотвратить перехват вашего HTTPs трафика и ряд других проблем).

Отключите поддержку протокола QUIC

Проверьте, не включена ли в Chrome поддержка протокола QUIC (Quick UDP Internet Connections). Протокол QUIC позволяет гораздо быстрее открыть соединение и согласовать все параметры TLS (HTTPs) при подключении к сайту. Однако в некоторых случая он может вызывать проблемы с SSL подключениями. Попробуйте отключить QUIC:

  1. Перейдите на страницу: chrome://flags/#enable-quic;
  2. Найдите опцию Experimental QUIC protocol;
  3. Измените значение опции Default на Disabled;
  4. Перезапустите Chrome.

Experimental QUIC protocol - отключить в chrome

Проверьте версии протоколов TLS, поддерживаемых вашим браузером и сайтом

Проверьте, какие версии протоколов TLS/SSL и методы шифрования (Cipher Suite ) поддерживаются вашим браузером. Для этого просто откройте веб страницу https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html

Онлайн сервис SSL Labs вернет список протоколов и методов шифрования, которые поддерживает ваш блаузер. Например, в моем примере Chrome поддерживает TLS 1.3 и TLS 1.2. Все остальные протоколы (TLS 1.1, TLS 1.0, SSL3 и SSL 2) отключены.

Чуть ниже указан список поддерживаемых методов шифрования.

Cipher Suites (in order of preference)

  • TLS_AES_128_GCM_SHA256
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

какие версии tls и ssl поддерживает ваш браузер

Полный список методов шифрования, включенных в Windows можно вывести с помощью PowerShell:

Get-TlsCipherSuite | Format-Table -Property CipherSuite, Name

Затем проверьте список протоколов TLS/SSL, которые поддерживает ваш сайт. Для этого воспользуйтесь онлайн сервисом проверки SSL
https://www.ssllabs.com/ssltest/analyze.html?d=domain.ru
(замените
domain.ru
на адрес сайта, который вы хотите проверить).

Проверьте, все ли версии TLS/SSL поддерживаемые сайтом доступны в вашем браузере.

В этом примере видно, что сайт не поддерживает TLS 3.1 и SSL3/2. Аналогично сравните список Cipher Suite.

список tls ssl протоколов и методов ширования, поддерживаемых сайтом/сервером

Если метод шифрования не поддерживается вашим браузером, возможно нужно включить его в Windows.

Если сайт не поддерживает SSL протоколы, которые требует использовать клиент, то при подключении вы увидите ошибку “ Этот сайт не может обеспечить безопасное соединение”.

Включите поддержку старых версий протоколов TLS и SSL

И самый последний пункт. Cкорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Старые версии протоколов TLS и SSL отключены не по простой прихоти разработчиков, а в связи с наличием большого количества уязвимостей, которые позволяют злоумышленникам перехватить ваши данные в HTTPS трафике и даже видоизменить их. Бездумное включение старых протоколов существенно снижает вашу безопасность в Интернете, поэтому к этому способу нужно прибегать в последнюю очередь, если все другое точно не помогло.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется более старая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Такая ошибка появляется, если клиент на этапе TLS Handshake обнаружил, что на сайте используется протокол шифрования или длина ключа, которая не поддерживается вашим браузером. Выше мы показали, как определить набор протоколов и шифров, поддерживаемых сервером.

Чтобы разрешить использовать старые версии протоколов SSL/TLS в Windows (еще раз отмечаю – это небезопасно!):

  1. Откройте Панель Управления -> Свойства браузера;
  2. Перейдите на вкладку Дополнительно;
  3. Включите опции TLS 1.0, TLS 1.1 и TLS 1.2 (если не помогло, включите также SSL 3.0,2.0).включить TLS 1.0, TLS 1.1
  4. Перезапустите браузер.

Если все рассмотренные способы не помогли избавиться от ошибки «Этот сайт не может обеспечить безопасное соединение» также попробуйте:

    1. Проверить, что в файле C:\Windows\System32\drivers\etc\hosts отсутствуют статические записи. Файл hosts может использоваться в Windows в том числе для блокировки доступа к сайтам. Выведите содержимое файла hosts с помощью PowerShell:
      Get-Content $env:SystemRoot\System32\Drivers\etc\hosts
    2. Попробуйте использовать публичные DNS сервера, например – DNS сервер Google. В настройках сетевого подключения в качестве предпочитаемого DNS сервера укажите IP адрес 8.8.8.8;
    3. В Панели управления -> свойства браузера, убедитесь, что для зоны Интернет выбрана уровень безопасности Выше среднего или Средний. Если выбрана зона Высокий, некоторые SSL подключения могут блокироваться браузером.Средний уровень безопасности для зоны Интернет
    4. Возможно проблема связана с сертификатом сайта. Проверьте его с помощью онлайн утилит SSL Checker;
    5. Если на компьютере используется VPN или задан прокси сервер в Windows, попробуйте отключите их;
    6. В тестовых целях, если вам нужно быстро просмотреть содержимое сайта, можно отключить ошибки проверки SSL сертификатов в Chrome. Для этого нужно запустить его с параметром —ignore-certificate-errors:
      "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --ignore-certificate-errors
      (не работайте в таком режиме постоянно и не отправляйте конфиденциальные данные пароли/кредитки в такой сессии);
    7. В Chrome проверьте, включен ли протокол TLS 1.3. В адресной строке перейдите в раздел настроек chrome://flags, С помощью поиска найдите параметр TLS 1.3. Убедитесь, что он включен (Enabled) или находится в состоянии Default. Если отключен – его нужно включить; TLS 1.3 в Chrome
    8. Если у вас используется одна из старых версий ОС (Windows XP или Windows 7), установите вместо Chrome браузер Mozilla Firefox. В отличии от движков на базе Chromium, Mozilla не использует собственные модули реализации протоколов шифрования SSL/TLS, а не встроенные в Windows.

  • Windows 11 панель управления справа
  • Windows 11 обойти ограничения при установке
  • Windows 11 не подключается к сетевому принтеру 0x00000709
  • Windows 11 панель пуск слева
  • Windows 11 обойти ограничения по процессору