Chromium-Gost
Chromium-Gost — это модификация стандартного браузера Chromium с открытым исходным кодом и поддержкой криптографических алгоритмов ГОСТ для установки защищённых соединений при работе с российской криптографией. Браузер имеет стандартные для Chromium интерфейс, функции и меню, а также поддерживает установку расширений из интернет-магазина Chrome.
В отличии от браузеров на базе Chromium, в которых при установке защищённых соединений используется библиотека BoringSSL, которая не поддерживает криптографические алгоритмы ГОСТ, Chromium-Gost использует интерфейс msspi.
При соединении с сайтом или веб-интерфейсом, поддерживающим криптографические алгоритмы ГОСТ, Chromium-Gost переключает режим работы на использование интерфейса msspi. При этом, для работы с алгоритмами ГОСТ требуется наличие в системе криптопровайдера, поддерживающего работу с российской криптографией.
Chromium-Gost доступен для операционных систем Windows, Linux и MacOS.
Особенности Chromium-Gost
Вот несколько ключевых моментов:
- Цель Chromium-Gost: Предоставить пользователям веб-браузер на основе популярного Chromium, который будет поддерживать криптографические алгоритмы ГОСТ, широко используемые в России.
- Работа с ГОСТ: Поскольку основной браузер Chromium использует библиотеку BoringSSL, которая не поддерживает ГОСТ, разработчики Chromium-Gost внедрили интерфейс msspi для обеспечения поддержки ГОСТ-алгоритмов.
- Автоматическое переключение: Если сайт поддерживает ГОСТ-алгоритмы, браузер автоматически переключается с BoringSSL на msspi для установления защищенного соединения.
- Прозрачность для пользователя: Для обычного пользователя процесс установки соединения будет казаться обычным. Это означает, что пользователь не будет видеть никаких оповещений или ошибок, связанных с процессом установки соединения, и будет взаимодействовать с сайтом, как обычно.
Таким образом, для российских пользователей, которым необходима поддержка ГОСТ-алгоритмов в своем браузере, Chromium-Gost может быть отличным решением.
Как скачать Chromium-Gost
Перейдите на страницу загрузки и выберите версию для вашего устройства.
Какие браузеры поддерживают гост
Для взаимодействия браузера с веб-серверами, использующими SSL сертификаты с ГОСТ алгоритмами, необходимо, чтобы эти браузеры «понимали» эти алгоритмы. «Понимание» криптоалгоритмов, обеспечивается путем взаимодействием браузера с определенным криптопровайдером, через ту или иную инфраструктуру криптопровайдеров.
На ОС Windows инфраструктура криптопровайдеров обеспечивается Microsoft CryptoApi. Различные браузеры могут использовать какую-то определенную инфраструктуру криптопровайдеров. Например Internet Explorer может использовать только Microsoft CryptoApi, а Chrome и Firefox — только NSS.
Таким образом, для работы с веб серверами, использующими SSL ГОСТ-сертификатами требуется установленный на клиенте криптопровайдер с поддержкой ГОСТ, и браузер, который умеет опосредовано через инфраструктуру, использовать этот криптопровайдер.
Рассмотрим на примере продуктов CryptoPro (это 1 из примеров, по аналогии могут быть использованы любые другие криптопровайдеры, добавляющиеся в Microsoft CryptoApi, и реализующие поддержку ГОСТ алгоритмов).
Установка CryptoPro CSP добавляет в Microsoft CryptoApi криптопровайдер, реализующий поддержку ГОСТ алгоритмов:
- Internet Explorer — полная поддержка. Поддерживаются как ГОСТ 2012, так и предыдущие алгоритмы.
- Firefox, непосредственно официальные сборки — не поддерживаются, но можно использовать третьесторонние сборки, например КриптоПро Fox.
- Открыть Меню -> Настройки -> Дополнительные -> Сертификаты -> Устройства защиты
- В открывшемся диалоге, найти модуль CryptoPro PKCS11, у которого должен быть дочерний модуль CryptoPro Token. Если дочернего модуля нет, то необходимо переустановить данный браузер.
Если после установки КриптоПро Fox — соединение с сервером считается ненадежным, то необходимо сделать изменения в его настройках:
- Открыть вкладку с адресом about:config
- Найти настройку с именем security.tls.version.max, и изменить значение с 3 на 2
Делаем firefox корпоративным браузером
Давно задаюсь вопросом, а почему нельзя поставить пользователям 2 браузера?
ie11 и хром/лису/не важно . Мы и старый софт сохраняем рабочим и новый можем пилить на современном браузере.
Почему-то всегда все (личное оценочное суждение) предпочитают тратить ресурсы на поддержку легаси, но не на установку софта.
Всего голосов 2: ↑2 и ↓0 +2
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий
Не всегда это пользователям нравится — вспомни основные принципы макоси, что-то вроде: «делать только одним способом». Хочется из корпоративного портала работать с одним инструментом. Поддержке тоже проще. И обновлять дыры (а браузеры обновляются очень часто) проще, т.е. служба безопасности будет меньше напрягать.
Всего голосов 4: ↑4 и ↓0 +4
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий
значит tls3 врубить можно, а ie11 оставить нельзя?! нестыковочка.
Всего голосов 1: ↑1 и ↓0 +1
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий
Замена ie11 на firefox это побочка от перехода на отечественную ОС. По контексту видно 🙂
Всего голосов 1: ↑1 и ↓0 +1
Ответить Добавить в закладки Ещё
Для корпоративного внедрения логично бы ещё свой сервер синхронизации поднимать. А то Mozilla — это, конечно не Гугл и тем более не, прости господи, Яндекс, — но отдавать им на хранение данные пользователей тоже без лишней надобности не стóит. Раньше для этого был syncserver, потом его прекратили поддерживать, сейчас syncstorage-rs.
Всего голосов 1: ↑1 и ↓0 +1
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий
Данные не отдаются — сеть как я писал, буквально за семью печатями:) . Идея со своим синксервером интересная, но наверное лишняя, «гулящих » юзеров в моем энтерпрайзе нет
Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
Показать предыдущий комментарий
но отдавать им на хранение данные пользователей тоже без лишней надобности не стóит
Стоит учитывать, что данные шифруются перед отправкой на сервер.
Комментарий пока не оценивали 0
Ответить Добавить в закладки Ещё
С проблемами автора не сталкивался.
Сталкивался с проблемами настройки браузеров на различных торговых площадках. Всё сводится к тому, что у пользователя на компьютере появляются все возможные браузеры включая экзотику типа хромиум гост. Для некоторых площадок даже отдельного браузера мало. Им нужен отдельный профиль со своим списком плагинов и читкой кэшей после каждого закрытия.
Всего голосов 3: ↑3 и ↓0 +3
Ответить Добавить в закладки Ещё
В корпоративной сети развернут ActiveDirectory/DC(Window, Samba 4, ipa-server)?
Workstations на базе ROSA и RED OS в домене?
Зачем столько кликов и букв?
about:preferences#privacy — Просмотр сертификатов
about:preferences#privacy — Устройства защиты
Manage updates, policies & customization https://support.mozilla.org/en-US/products/firefox-enterprise/policies-customization-enterprise https://support.mozilla.org/ru/products/firefox-enterprise/policies-customization-enterprise
Alt Linux out of the box GPO: AD-Samba, ADMX Mozilla Firefox, ADMX Google Chrome
https://www.altlinux.org/Групповые_политики
Configuring Firefox to use Kerberos for SSO
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/5/html/deployment_guide/sso-config-firefox
Chromium-gost в отечественных дистрибутивах:
Браузер Сhromium с протоколом TLS, плагин Госуслуг и плагин КриптоПро https://redos.red-soft.ru/base/other-soft/szi/install-chromium-tls/ Chromium-gost — ALT Linux Wiki https://www.altlinux.org/Chromium-gost Chromium-gost, который имеется в штатном репозитории Astra Linux sudo apt install chromium chromium-gost https://easyastra.ru/Article/ЭЦП/ЭЦП.pdf ROSA FRESH DESKTOP 12(CHROME Workstation) Chromium из репозитория поддерживает ГОСТ TLS через КриптоПро https://github.com/deemru/Chromium-Gost/releases
Рекомендации по использованию браузеров при работе в ГИС ЕИС
Напоминаем, что с 15 июня 2022 года разработчики Internet Explorer прекращают поддержку браузера, что может повлиять на работу пользователей в единой информационной системе в сфере закупок (далее – ГИС ЕИС) при использовании данного браузера.
goszakaz.admin-smolensk.ru
Напоминаем, что с 15 июня 2022 года разработчики Internet Explorer прекращают поддержку браузера, что может повлиять на работу пользователей в единой информационной системе в сфере закупок (далее – ГИС ЕИС) при использовании данного браузера.
Рекомендуется использовать браузеры, поддерживающие протоколы безопасности с использованием российских криптографических стандартов. В частности, для работы в ГИС ЕИС может использоваться Яндекс.Браузер.
Для настройки рабочего места пользователи могут воспользоваться автоматическим настройщиком, размещенным на официальном сайте ГИС #ЕИС в «Документы» — «Материалы для работы в ЕИС» — «Файлы для настройки рабочего места» — «Автоматизированная настройка».
Также обращаем Ваше внимание на браузеры Спутник и chromium-gost, которые прекрасно работают с ЕИС в сфере закупок.