Решение проблемы TLS + Internet Explorer + roskazna.ru⁠⁠

Задачастояла не найти браузер по-лучше, а заставить работать тот, что строго рекомендуется разработчиком сервиса. Вот так и знал и что это в итоге выльется в срачь на тему ie - гумно. Никто не спорит с этим. Отсутствие наборов шифров лишний раз подтверждает это. Но нет, блэт, все бегают друг-другу минусы лепят. Детский сад - штаны на лямках.

Как вы лихо игнорируете слово "всяких". Речь не только про крипто про, хотя и с ним проблем хватало (не знаю как сейчас - давно сменил сферу деятельности - виноват) Но не суть, с радостью посмотрю от Вас цикл статей о том как запустить все сервисы росказны не из под ie, ибо люди в тч я страдают от недостатка этой информации и противоречивости той, что есть.

fzs на другом хосте живет и как следствие с другим набором шифров

Что не помешает  органам продолжить требовать его наличия )

Погуглите "росказна тсл" и удивитесь масштабам бедствия )

Так речь не про версию tls. А про набор шифров внутри него. Ie прекрасно работает с tls1.2. Ничто не мешает использовать доп наборы. А ie заставляют пользовать гос органы тк работа всяких крипто-про не гаранитруется. Причины таких требований - тема для блога навального - здесь исключительно описание проблемы и решение, о котором нигде не говорится.

В даном случае отключение Каспера не спасёт - только обновление винды

Да я не безрукий, могу и chrome скачать с сайта google, задача была запустить 11-й ie, как заявленный среди совместимых.

в  ie? на 7-ке? не верю

Дядя пишет про то, что в ослике на 7-й винде этот сайт не откроется никогда в принципе. Чисто по технической причине. Отсуствия наборов шифров, добавить которые может только MS - чего судя по всему последняя делать не собирается. Хоть ободобавляйся.

По одной из ссылок что я привел, перечень по версиям есть
https://docs.microsoft.com/ru-ru/windows-server/security/tls...

Пока никаких обнов, и скорее всего не будет

Если на 10-ке, надо смотреть какие протоколы включены в свойствах браузера и шифры в групповых политиках https://docs.microsoft.com/ru-ru/windows-server/security/tls...

Должны быть TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 и TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Если не помогает уже выяснять пакеты перехватывая или дебажить - openssl connect - последнее тут в коментах упоминается но я не пробовал.

Это странно, тк у меня он ни в фоксе ни в консоли не открывается, винды под рукой нет

wget -O- fzs.roskazna.ru

--2020-08-21 14:47:47-- http://fzs.roskazna.ru/

Resolving fzs.roskazna.ru (fzs.roskazna.ru)... 31.41.245.87

Connecting to fzs.roskazna.ru (fzs.roskazna.ru)|31.41.245.87|:80... ^C

~/Downloads$ wget -O- https://fzs.roskazna.ru

--2020-08-21 14:48:04-- https://fzs.roskazna.ru/

Resolving fzs.roskazna.ru (fzs.roskazna.ru)... 31.41.245.87

Connecting to fzs.roskazna.ru (fzs.roskazna.ru)|31.41.245.87|:443... connected.

OpenSSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure

Unable to establish SSL connection

Он даже на ip другом живет.

Как насчет https://moufk.roskazna.gov.ru/ ?

знаем-знаем - протухшие сертификаты, устаревшие протоколы да еще и дырявое как решето - у нас их ломать начали каждый день в какой-то момент пока впн-ом не закрыли.

ну хз, их сапорт говорить только про IE11

Ну мне как бы и приносели такой специальный ноут со словами - "чет перестало работать" ) У вас он до сих пор работает?

ну звиняй тогда ) надо 4pda пошерстить - там наветняка бурное обсуждение идет этой темы

в ie11?

Да, решение только одно - обновить ОС. Других нет и врядли появятся. На его поиск я и многе другие убили кучу времени с разной степенью успещности.  Решение я специально уложил в одну фразу и поместил в начало что бы не тратить время тех кому не интересны детали.

Зачем Пост? Странный вопрос в эпоху постомдерна ) Как я описал - люди мучаются не понимая что происходит, информации нет.  Далее привел методику, которая подтверждает мои слова, она может кому-то пригодиться.

Было время когда ie6 считался эталоном рендеринга ))

так я и написал "почти здорового" )

Так там tls 1.2

Wireshark - знаю, Nnap - знаю, openssl connect - не знаю, но запомню )

Ну так я и написал, что перехватил траф в wireshark, понял что сервак отбил все предложенные из наборов и просканил доступные наборы nmap, что бы понять какие же доступны (получить их можно только перебором). Перед этим правда безуспешно пытался их завести на 8-ке. С шифрованием постоянно какие-то проблемы - в гугле куча туфты по этой теме. Только найдя список доступных в 8-ке мне удалось понять, что к чему и то это была не самая последняя гипотеза.

Видимо дядя таки дело пишет, раз уж скрина до сих пор нет.

При чем тут fzs.roskazna.ru?
Сделай-ка для дяди такой же скрин IE+win7 но только для moufk.roskazna.gov.ru или roskazna.ru.
Раз уж только они в тексте поста упоминаются.

Известо как - патчим ттл что бы выглядел как мобильный траф и все дела )

можно средствами мобилы, если рутована, или на компе )

MTU может еще палят, там не так много признаков