З 1 січня 2019 року набув чинності новий ГОСТ 34.10-11.12, який регулює процеси створення та перевірки ключів електронного цифрового підпису (ЕЦП). На офіційному сайті провайдера (https://www.cryptopro.ru/) стали доступними дві нові версії плагіна для браузера, адаптовані під новий ГОСТ. Якщо ЕЦП куплено раніше і термін її дії ще не минув, то оновлення плагіна не є обов'язковим. Для нових підписів необхідно завантажити та налаштувати новий браузер плагін версії 2.0. під використовувану ОС.

Встановити криптопро браузер плагін просто: з офіційного сайту необхідно завантажити плагін, після чого натиснути на збережений файл і запустити автоматичний процес установки:

Коли інсталяція завершиться, потрібно натиснути кнопку «Ок» і перезапустити інтернет-браузер. Без цього зміни не набуде чинності. Для повного завершення встановлення та підстроювання процесів необхідно також перезавантажити ПК.

Процес налаштування

Подальше налаштування браузера залежить від програми, що використовується. Для IE додаткові налаштування не потрібні, і одразу після встановлення та перезавантаження можна оцінити коректність роботи плагіна. Для цього потрібно у формі, що відкрилася, дозволити операцію:

Якщо помилок немає і установка пройшла успішно, система видасть повідомлення:

Перевірка коректності роботи плагіна є обов'язковою, т.к. без неї неможливо оцінити готовність плагіна до формування ЕЦП.

Для браузера Firefox потрібно завантажити з офіційної сторінки розширення. Після цього програма встановлюється на ПК:

Браузер перезапускає та перевіряє налаштування плагіна в розділі «Додатки».

Для роботи з ЕЦП через Google Chrome браузер необхідно оновити до останньої версії. У процесі завантаження плагіна відкриється вікно, що запитує дозвіл на встановлення:

Якщо потрібно налаштувати розширення в ручному режимі, то плагін потрібно завантажити з офіційного інтернет-магазину Chrome і натиснути «Встановити». Завершення установки відбувається після перезапуску браузера. Дане розширення можна використовувати для роботи з ЕЦП в будь-яких браузерах, заснованих на Chromium, в т.ч. Yandex-браузер та Opera.

Установка плагіна на Unix

Робота з ЕЦП у системі Unix можлива з браузерами Firefox, Opera версії 35, Chromium, Chrome та Яндекс.

Попередньо потрібно встановити провайдер CSP версії вище 4.0. Завантажити його можна на офіційному сайті (https://cryptopro.ru/products/csp). Також обов'язкове попереднє встановлення cprocsp-rdr-gui-gtk і видалення (якщо є) пакета пакета cprocsp-rdr-gui.

Далі потрібно завантажити та розпакувати архів cades_linux_amd64.zip або cades_linux_ia32.zip. Потім користувач встановлює з даного архіву cprocsp-pki-2.0.0-cades.rpm cprocsp-pki-2.0.0-plugin, а в пакетах для сімейства ОС Debian попередньо необхідно провести конвертацію у формат deb. Зазвичай для цього використовують утиліту alien.

Процес налаштування

Наступне налаштування залежить від типу програмного забезпечення.

• запустити програму та дочекатися повідомлення про нове розширення;
• увімкнути розширення;
• перезапустити Chrome.

Розширення в IE зазвичай починає роботу в автоматичному режимі і не вимагає дій з налаштування користувача.

Як працювати з плагіном

Для початку роботи з розширенням необхідно перейти на демо-сторінку (https://www.cryptopro.ru/sites/default/files/products/cades/demopage/main.html) з одним із прикладів ЕЦП (CAdES BES, XML тощо) .д.). Далі слідуючи підказкам помічника сторінки вибрати сертифікат ЕЦП, ввести всі необхідні дані та натиснути «Продовжити».

Після перевірки даних розширення буде готовим до роботи.

Приклад перевіряє наявність розширення коду

Щоб активувати об'єкти розширення Browser plug-in, необхідно підключити файл cadesplugin_api.js до сторінки.

Через HTML це можна зробити так:

< language=»java»src=»cadesplugin_api.js»> < language=»java»>cadesplugin.then(function () ( // код ), function (error) ( // сповіщення про системну помилку ));

Через JavaScript роблять так // Створення об'єкта cryptopro ЕЦП Browser plug-in varoStore = cadesplugin.CreateObject («CAdESCOM.Store»); varoSigner = cadesplugin.CreateObject("CAdESCOM.CPSigner"); var oPrivateKey =cadesplugin.CreateObject("X509Enrollment.CX509PrivateKey").

Згідно з новим ГОСТом, всі власники ЕЦП зобов'язані використовувати останню версію плагіна, що відповідає вимогам безпеки ФСБ. Завантаження розширення на ОС Windows відбувається в автоматичному режимі, а наступне налаштування залежить від браузера. Робота з розширенням в системах Unix вимагає завантаження і розпакування архівів, що підходять під бітність ОС. Наступне налаштування схоже на Windows. Перед початком роботи з плагіном необхідно через демо-сторінку ввести дані користувача та сертифіката ЕЦП.

На деяких сайтах доводиться мати справу із сертифікатами та електронними ключами, і спочатку доводиться вирішувати різні проблеми, щоби все запрацювало. У цій статті йтиметься про помилку роботи CAdES plugin'у, коли він завантажений, а об'єкти не створюються.

Вирішення проблеми з плагіном

Як і випливає зі змісту помилки, сам собою CAdES plugin як завантажений, тобто. він є у системі, проте щось заважає його роботі. Зазвичай проблема виникає у старих версіях Firefox аж до версії 51 (у новіших плагін просто не працює). У цій статті як приклад взято електронний торговий майданчик, і є три способи, як можна вирішити проблему.

Спосіб 1: Включити плагін для поточного сайту

Включення плагіна тільки для поточного сайту виправдане міркуваннями безпеки, коли браузер використовується для особистих цілей та відкриття різних сторінок. А також якщо потрібно виконати завдання з електронними ключами лише один раз.

Спосіб 2: Увімкнути плагін для всіх сайтів

Якщо питання безпеки дуже турбує, т.к. комп'ютер використовується виключно для роботи на декількох сайтах, можна увімкнути CAdES plugin для всіх сайтів. Тоді він працюватиме відразу після завантаження сторінки. Це може допомогти й у тому випадку, коли неможливо знайти темно-сірий квадрат для включення плагіна.

Спосіб 3: Використання іншого браузера

Через якісь непередбачені причини CAdES plugin все одно може відмовлятися працювати. Тому ще один спосіб усунути помилку – використовувати інший браузер. Більшість браузерів засновано на движку Chromium, вони чимось схожі, тому розглянемо на прикладі Google Chrome.

Висновок

Як видно, є кілька способів вирішити проблему з некоректною роботою плагіна. Залежно від переваг та обставин, можна вибрати для себе той, який найбільше підходить.

Криптографічні операції, такі як створення електронного підпису або розшифрування файлу, вимагають доступу до ключів та особистих даних користувача (наприклад, до сховища особистих сертифікатів). Під час виконання таких операцій веб-додатками (за допомогою КриптоПро ЕЦП Browser plug-in) плагін запитує дозвіл користувача на звернення до його ключів або особистих даних.

Дозвіл користувача буде запитаний при активації об'єктів КриптоПро ЕЦП Browser plug-in.

Довірені веб-сайти (наприклад, організації, що знаходяться в інтрамережі) можуть бути додані до списку надійних веб-вузлів. Веб-сайти зі списку надійних вузлів не будуть запитувати підтвердження користувача під час відкриття сховища сертифікатів та операцій із закритим ключем користувача.

Керування списком надійних веб-сайтів на Windows-платформах

Для керування списком надійних веб-вузлів у КриптоПро ЕЦП Browser plug-in користувач повинен запустити Пуск -> Кріпто-Про -> Налаштування ЕЦП Browser plug-in. Ця сторінка входить до складу дистрибутива КриптоПро ЕЦП Browser plug-in.

Адміністратор комп'ютера або домену також може керувати списком надійних веб-сайтів для всіх користувачів через групову політику. Налаштування здійснюється в консолі групових політик у розділі Конфігурація комп'ютера/Конфігурація користувача -> Адміністративні шаблони -> Крипто-Про -> КриптоПро ЕЦП Browser plug-in. Адміністратору доступні такі політики: Список довірених вузлів. Визначає адреси довірених вузлів. Веб-вузли, задані через цю політику, вважаються довіреними також до тих, які користувач додає самостійно через сторінку налаштувань КриптоПро ЕЦП Browser plug-in.

Сторінка зберігає під конкретного користувача
HKEY_USERS\ \Software\Crypto Pro\CAdESplugin

Політика зберігає у відповідному розділі для політик:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Crypto-Pro\CadesPlugin\TrustedSites

Керування списком надійних веб-сайтів на Unix-платформах

Для керування списком надійних веб-вузлів у КриптоПро ЕЦП Browser plug-in на Unix-платформах служить сторінка /etc/opt/cprocsp/trusted_sites.html, що входить до складу дистрибутива КриптоПро ЕЦП Browser plug-in.

Також, для перегляду списку надійних веб-сайтів можна використовувати команду:

/opt/cprocsp/sbin/ /cpconfig -ini "\local\Software\Crypto Pro\CAdESplugin\TrustedSites" -view

Для додавання веб-вузлів (наприклад, http://mytrustedsite та http://myothertrustedsite) до списку надійних можна використовувати команду:

/opt/cprocsp/sbin/ /cpconfig -ini "\local\Software\Crypto Pro\CAdESplugin" -add multistring "TrustedSites" "http://mytrustedsite" "http://myothertrustedsite"

Для очищення списку надійних веб-сайтів можна використовувати:

/opt/cprocsp/sbin/ /cpconfig -ini "\local\Software\Crypto Pro\CAdESplugin\TrustedSites" -delparam

Додавання сайтів до списку надійних-вузлів для всіх користувачів доступно за допомогою команди

/opt/cprocsp/sbin/ /cpconfig -ini "\config\cades\trustedsites" -add multistring "TrustedSites" "http://www.cryptopro.ru" "https://www.cryptopro.ru"

Браузери