Форум НУЦ РК
Главный раздел
Для разработчиков

Проблема загрузки нового апплета knca_applet.jar
(0 чел.) 
  • Страница:
  • 1
  • 2
  • 3

ТЕМА: Проблема загрузки нового апплета knca_applet.jar

Проблема загрузки нового апплета knca_applet.jar 4 года, 1 мес. назад #1670

  • vprokof
  • Осваиваюсь на форуме
  • Постов: 28
  • Репутация: 0
Обращаемся к Вам с просьбой оказать техническую поддержку. Для того чтобы задать вопрос на интернет – ресурсе министерства www.mzsr.gov.kz/ требуется предоставить ЭЦП. Требование обновить апплет knca_applet.jar из последнего SDK размером 2416624 байта мы выполнили.
Некоторое время процесс подтверждения ЭЦП шёл нормально.
Начиная с 23 июня нам стали поступать жалобы на невозможность подтверждения ЭЦП.

Проблема следующая:
- Если сайт www.mzsr.gov.kz установлен на локальной машине, то апплет загружается и подтверждение ЭЦП происходит нормально
- Если апплет скачивается firefox’ом www.mzsr.gov.kz идёт ошибка JavaScript о слабой подписи SHA-1 и затем ошибка
java.lang.ClassNotFoundException: kz.gov.pki.knca.applet.MainApplet
at sun.plugin2.applet.Applet2ClassLoader.findClass(Unknown Source)
at sun.plugin2.applet.Plugin2ClassLoader.loadClass0(Unknown Source)
at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
at java.lang.ClassLoader.loadClass(Unknown Source)
at sun.plugin2.applet.Plugin2ClassLoader.loadCode(Unknown Source)
at sun.plugin2.applet.Plugin2Manager.initAppletAdapter(Unknown Source)
at sun.plugin2.applet.Plugin2Manager$AppletExecutionRunnable.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)

У нас возникло два вопроса.

1) Вопрос локальный.
В аттестации сайта указан протокол https.
В конфигурационном файле web-сервера стоит перманентный редирект на https.
Указание другого сайта для скачивания апплета по протоколу http проблему не устраняет.
Можно ли будет решить проблему при помощи нового криптопровайдера с поддержкой SHA-2.
указанного в документации, и если да, то на какой срок можно ориентироваться ?

2) Вопрос глобальный.

Известно, что Google принял решение отказаться от поддержки NPAPI (Netscape Plugin Application Programming Interface), для внедрения плагинов в браузеры, используемого в том числе в Java, Silverlight, Unity Web Player, Flash Player.
API было разработано в 1995 году для Netscape Navigator 2.0.

В результате получается, мы вынуждены информировать о невозможности использования Chrome и Opera для подтверждения ЭЦП. Теперь Firefox перестал запускать апплет.
Проверили Explorer и Safari - тоже не запускают.

Можно ли разработать технологию подтверждения электронной подписи в браузере без загрузки апплетов и решить общую проблему?

Если нет, планируется ли выпуск полнофункциональных браузеров с поддержкой соответствующей криптографии.
Изменено: 4 года, 1 мес. назад от vprokof.

Re: Проблема загрузки нового апплета knca_applet.jar 4 года, 1 мес. назад #1676

  • ugotbug
  • Завсегдатай
  • Постов: 225
  • Репутация: 14
По вашей проблеме.
Не совсем все ясно по вашей проблеме. Можете ли вы скинуть полный лог Java консоли, а также информацию по используемой версии браузера, который был задействован.

По вопросам:

1) Отправьте нам скриншоты, веб ресурса на котором должны работать Java апплеты и
полный лог Java консоли. Либо более детальнее распишите проблему.

2) Мы в курсе по решению компании Google о прекращении поддержки NAAPI. Сейчас мы прорабатываем этот вопрос. Есть определенные подвижки в данном направлении. Пока не можем точно сказать, как мы поступим, но мы постараемся сделать простое и универсальное решение.
Могущественный обладатель кольца Знаний

Re: Проблема загрузки нового апплета knca_applet.jar 4 года, 1 мес. назад #1683

  • vprokof
  • Осваиваюсь на форуме
  • Постов: 28
  • Репутация: 0
Показать особо нечего.

Скрипт запуска апплета взят из последнего SDK из каталога knca_applet_example_is
размер knca_applet.jar - 2 416 624
- Открываем по F12 консоль отладки javascript в Firefox.

---------------------------------------------------------------------------
Запускаем скрипт проверки ЭЦП на боевом сайте по защищённому протоколу https
например по адресу нашего интернет - ресурса: www.mzsr.gov.kz/node/add/question


в консоли отладки javascript читаем предупреждение
Этот сайт использует сертификат SHA-1; рекомендуется использовать сертификаты с алгоритмами подписи, использующими более сильные хеш-функции, чем SHA-1.

Тем не менее Firefox предлагает разрешить использование Java.
- Разрешаем использование Java
Дальше ничего не происходит.
Крутится сообщение: Подождите, идёт загрузка Java - апплета.


---------------------------------------------------------------------------
Переходим на тестовый сайт, который работает по протоколу http.
запускаем аналогичный скрипт проверки ЭЦП
Появляется диалог
Do you want to run this Application
Жмём Run
Появляется форма на которой можно нажать кнопку с выбором директория, где хранится ЭЦП
Жмём кнопку выбора директория
Появляется предупреждение Allow Access to the following application from this web site ?
Жмём Allow
Появляется стандартный диалог с возможность указания директория где хранится ЭЦП.


Боевой и тестовый сайт абсолютно одинаковые,
Боевой - работает по протоколу https и аттестуется по этому протоколу.
тестовый - работает по протоколу http


Наше предположение. апплет не грузится по https из-за текущей волны ужесточений использования алгоритма SHA-1.
Мы надеемся, что скоро выйдет вариант апплета, который не будет давать предупреждений в консоли JavaScript по F12 на слабый SHA алгоритм и всё заработает по https.

Chrome не грузит плагин ни по https ни по http и пишет:
This site uses а plugin (Java(TM)) that is unsupported.
Поэтому мы предполагаем поместить рекомендацию использовать только Firefox.
Изменено: 4 года, 1 мес. назад от vprokof.

Re: Проблема загрузки нового апплета knca_applet.jar 4 года, 1 мес. назад #1684

  • margulan
  • Модератор
  • Постов: 166
  • Репутация: 12
vprokof написал:
Показать особо нечего.



В полном логе из Java консоли возможно указана конкретная причина.

Re: Проблема загрузки нового апплета knca_applet.jar 4 года, 1 мес. назад #1685

  • vprokof
  • Осваиваюсь на форуме
  • Постов: 28
  • Репутация: 0
Загрузили пример из SDK на один и тот же сервер.
Доступ свободный без паролей.
Приглашаем рассмотреть проблему из первоисточника.

Это работает (http)
ktszm.mzsr.gov.kz/knca_applet_example_is/index.html


Это не работает (https) (Запускается только один раз)
www.mzsr.gov.kz/knca_applet_example_is/index.html


------------------------------------------------------------------------
Выполнили добавочный эксперимент


У нас есть ключи *.enbek.kz
Реализовали:
- локальный домен enbek.kz
- тестовый сайт server.enbek.kz (https)
- клиентскую машину client.enbek.kz (https)

На машине client.enbek.kz апплет запускается в браузере по протоколу (https)
server.enbek.kz/knca_applet_example_is/index.html

Известно, что в локальном домене требования к запуску апплетов снижены.

Нет ли проблемы в подписи апплета ?
Изменено: 4 года, 1 мес. назад от vprokof.

Re: Проблема загрузки нового апплета knca_applet.jar 4 года, 1 мес. назад #1686

  • ololo
  • Живу я здесь
  • Постов: 464
  • Репутация: 57
Если немного поисследовать, ваш сервер возвращает SSL3 alert read:warning:unrecognized name
Это значит клиент в расширениях TLS пишет www.mzsr.gov.kz, а ваша серверная конфигурация не распознает.

Cогласно RFC 3546 Transport Layer Security (TLS) Extensions


3.1. Server Name Indication tools.ietf.org/html/rfc3546#section-3.1


If the server understood the client hello extension but does not recognize the server name, it SHOULD send an “unrecognized_name" alert (which MAY be fatal).


То есть для некоторых это может оказаться стоп-ошибкой. Получается браузеры у вас игнорируют, но java не может и ломается.


Об этом говорится тут bugs.java.com/bugdatabase/view_bug.do?bug_id=7127374 , что это не баг.

Вам нужно либо правильно сконфигурировать сервер, либо отдавать библиотеки по http.
gg wp
Спасибо сказали: vprokof
  • Страница:
  • 1
  • 2
  • 3
Форум НУЦ РК
Главный раздел
Для разработчиков
FaLang translation system by Faboba