- Что нужно для работы ГОСТ/TLS на клиенте
- Шаг 1. Включите поддержку ГОСТ в Яндекс.Браузере
- Шаг 2. Убедитесь, что в Windows включены TLS 1.2/1.3
- Шаг 3. Проверьте КриптоПро и при необходимости обновите/переустановите
- Шаг 4. Проверьте, что сертификат доверия стоит правильно
- Шаг 5. Отключите антивирус и проверьте, не он ли ломает подпись
- Шаг 6. Уточните криптопровайдер и уберите конфликт провайдеров
- Шаг 7. Если нужно - включите/переуточните настройки сертификата и TLS-1.3 режим
- Как действовать пошагово, чтобы не прыгать по кругу
- Если коротко: самая частая причина именно в Яндекс.Браузере
- Полезные источники для понимания TLS с российскими алгоритмами и КриптоПро
Если при попытке зайти на АРМ/портал с ГОСТ/TLS вы видите сообщение вида «Нет поддержки российских криптоалгоритмов при использовании TLS», значит браузер не смог задействовать нужный криптопровайдер и цепочку доверия. Чаще всего проблема упирается в настройки ГОСТ в самом браузере, версии/компоненты КриптоПро, а иногда - в блокировку антивирусом.
Ниже - рабочий порядок действий именно под Яндекс.Браузер в сценариях, где на сервере нужен TLS с российскими алгоритмами.
Что нужно для работы ГОСТ/TLS на клиенте
Минимальный набор, без которого Яндекс.Браузер обычно не «дотягивает» до российских алгоритмов:
| Компонент | Что проверить | Типичная проблема |
|---|---|---|
| сертификат | Корневые/промежуточные сертификаты установлены и актуальны | сертификат не в том хранилище или цепочка доверия неполная |
| браузер | Включена опция ГОСТ/TLS в системных настройках | опция «Подключаться к сайтам, использующим шифрование по ГОСТ» не включена |
| КриптоПро (CSP) | Установлена и не устарела нужная версия | старая версия CSP или поврежденные компоненты |
| КриптоПро EЦП Browser plug-in (если требуется) | Плагин установлен и корректно работает | плагин не подписывает/не подтверждает |
| криптопровайдер | Правильно выбран провайдер (при наличии нескольких) | конфликт провайдеров |
| антивирус | Не блокирует модули | после установки антивируса появляется ошибка подписи (ошибка вида 0x80070057) |
| TLS 1.2/1.3 | В ОС включены нужные протоколы | отключенные версии TLS |
Шаг 1. Включите поддержку ГОСТ в Яндекс.Браузере
- Откройте Настройки.
- Перейдите в раздел Системные.
- В блоке Сеть включите: «Подключаться к сайтам, использующим шифрование по ГОСТ» (в связке с КриптоПро CSP, если этого требует настройка).
После включения выйдите из настроек и попробуйте повторно открыть страницу проверки.
Шаг 2. Убедитесь, что в Windows включены TLS 1.2/1.3
- Нажмите Win + R.
- Введите:
inetcpl.cplи нажмите ОК. - Откройте вкладку Дополнительно.
- Найдите параметры, связанные с TLS.
- Включите TLS 1.2 и TLS 1.3 (и примените изменения).
Если у вас отключены современные версии TLS, часть серверов просто не договорится по протоколу.
Шаг 3. Проверьте КриптоПро и при необходимости обновите/переустановите
Самая частая причина - несовпадение версий или «битые» компоненты после обновлений ОС/антивируса.
Что сделать:
- Установите актуальную версию КриптоПро CSP.
- Если используется плагин для браузера, переустановите его вместе с актуальными модулями.
- Перезагрузите компьютер после установки/обновления.
Если раньше проверка проходила, а потом сломалась после появления антивируса - переходите к шагу 5 (там обычно корень проблемы).
Шаг 4. Проверьте, что сертификат доверия стоит правильно
Симптомы, похожие на «нет поддержки российских криптоалгоритмов», иногда вызваны не CSP, а тем, что цепочка доверия (корневые/промежуточные) неполная или повреждена.
Быстрая логика:
- если после переустановки CSP и плагина проблема осталась - проверьте установку корневых и промежуточных сертификатов;
- при подозрении на проблему со структурой - переустановите сертификат через штатную процедуру КриптоПро (или восстановите установку цепочки).
Практичный индикатор: если тест АРМ продолжает выдавать «нет поддержки…», а CSP/плагин переустанавливались - чаще всего виноваты сертификаты или блокировка антивирусом.
Шаг 5. Отключите антивирус и проверьте, не он ли ломает подпись
Очень распространенный кейс: до установки антивируса всё открывалось и подписывалось, после установки - браузер перестает проходить проверку, при этом даже после выключения антивируса иногда проблема не уходит мгновенно, потому что в системе остаются правила/фильтры/драйверы.
Что сделать:
1. Перед повторной проверкой полностью отключите сторонний антивирус (по возможности - до перезапуска браузера).
2. Снова зайдите на страницу проверки.
3. Если ошибка пропала - добавьте нужные домены/модули в исключения или временно отключите глубокую проверку для криптомодулей.
4. После настройок перезагрузите браузер (а иногда и ПК).
Если у вас после антивируса всплывает ошибка вроде «Не удалось создать подпись… (0x80070057)», это сильно похоже на блокировку/конфликт именно на стороне защитного ПО.
Шаг 6. Уточните криптопровайдер и уберите конфликт провайдеров
Если на компьютере несколько криптопровайдеров (или подключены разные устройства/токены), важно чтобы был выбран тот, который реализует нужные российские алгоритмы.
Что проверить:
- откройте настройки криптопровайдера в КриптоПро;
- убедитесь, что используется корректный провайдер для сценария (а не «дефолтный» из другого стека, который может конфликтовать).
Шаг 7. Если нужно - включите/переуточните настройки сертификата и TLS-1.3 режим
Иногда проблема проявляется только на конкретной связке TLS-версий/настроек сертификата.
Дополнительные варианты, которые могут помочь:
- проверить, что включен TLS 1.3 (и не отключены нужные шифронаборы) в ОС;
- проверить параметры используемого сертификат и его цепочку;
- убедиться, что актуальная версия CSP поддерживает TLS 1.2 и TLS 1.3 с ГОСТ.
Как действовать пошагово, чтобы не прыгать по кругу
| Порядок | Действие | Зачем |
|---|---|---|
| 1 | Включить ГОСТ-опцию в Яндекс.Браузер | без этого браузер часто не использует нужный криптомодуль |
| 2 | В ОС включить TLS 1.2/1.3 | сервер может не принимать соединение по отключенному протоколу |
| 3 | Обновить CSP и (если нужно) плагин | устаревшие/поврежденные компоненты ломают работу |
| 4 | Проверить сертификат и цепочку доверия | без доверия соединение может считаться неподдерживаемым |
| 5 | Тест с отключенным антивирусом + исключения | частая причина, особенно после установки защитного ПО |
| 6 | Убедиться, что криптопровайдер не конфликтует | неправильный провайдер дает те же симптомы |
| 7 | Повторить тест на странице АРМ | убедиться, что именно проблема решена |
Если коротко: самая частая причина именно в Яндекс.Браузере
1) Не включена системная опция ГОСТ/TLS в Яндекс.Браузер.
2) Параллельно антивирус блокирует плагин/модуль подписи (особенно если проблема появилась после установки защиты).
3) Реже - устарела версия CSP/плагина или сломалась цепочка сертификатов.
Если пройти по шагам выше по порядку, обычно удается стабильно избавиться от ошибки «нет поддержки российских криптоалгоритмов при использовании TLS» и вернуть работу нужных сайтов.
Полезные источники для понимания TLS с российскими алгоритмами и КриптоПро
- Документация по TLS и ГОСТ у КриптоПро: https://cryptopro.ru/products/csp/tls
- Описание включения поддержки ГОСТ/TLS в Яндекс.Браузер (системные настройки): https://lumpics.ru/how-to-enable-tls-in-yandex-browser/