11.05.2023г. вышла актуальная сборка КриптоПро CSP 5.0.12800 (предварительная, несертифицированная версия от 08.04.2023г.). Визуальных изменений в новой версии 5.0.12800 по сравнению с 5.0.12600 нет. Однако теперь поддержка работы на Windows XP прекращена, минимально требуется Windows Vista/2008. Учитывайте это при обновлении.
Как обычно, все основные улучшения и исправления ошибок криптопровайдера «под капотом» и скрыты от глаз пользователя. Список изменений и известных проблем мы опубликуем ниже. Независимо от того, сталкивались вы с ошибками в работе КриптоПро или нет, мы настоятельно рекомендуем обновиться всем пользователям КриптоПро 5 версии. Пользователям версии КриптоПро 4 версии может потребоваться приобретение лицензии по истечении пробного периода в 90 дней после обновления.
Наша инструкция поможет Вам обновить КриптоПро CSP до версии 5.0.12800.
Если у вас не получается обновить КриптоПро CSP или вы по-прежнему сталкиваетесь с ошибками при работе с ЭЦП, можете обратиться к нашим специалистам. Мы обновим КриптоПро, устраним возникшие ошибки и настроим ваш компьютер.
Изменения в версии 5.0.12800 «Ra» (от 08.04.2023г.)
- android: На Android стали доступны API curl и SSPI (CPCSP-4589, CPCSP-12841).
- audit: Добавлена возможность включать логгер для запущенных процессов (CPCSP-13425).
- audit: Расширено логирование в журнал аудита HSM (CPCSP-13391).
- capilite: Добавлена поддержка флагов CERT_RDN_ANY_TYPE и CERT_RDN_FORCE_UTF8_UNICODE_FLAG в CERT_RDN_ATTR для заполнения структуры CERT_NAME_INFO и передачи в CryptEncodeObject (CPCSP-10929).
- capilite: Добавлена поддержка флага CERT_NAME_STR_FORCE_UTF8_DIR_STR_FLAG для функции CertStrToName (CPCSP-12022).
- capilite: Добавлена поддержка флага CERT_FIND_ISSUER_OF для функции CertFindCertificateInStore (CPCSP-12451).
- capilite: Улучшено логирование для CryptFindOIDInfo (CPCSP-13389).
- capilite: Добавлена поддержка флага CMSG_SIGNER_HASH_ALGORITHM_PARAM для функции CryptMsgGetParam (CPCSP-13392).
- capilite: Исправлена логика выбора варианта кодирования в CertStrToName, сделана как Windows (CPCSP-13416).
- capilite: В минипровайдер добавлены функции CertOpenServerOcspResponse, CertGetServerOcspResponseContext, CertFreeServerOcspResponseContext, CertCloseServerOcspResponse (CPCSP-12949).
- capilite: Исправлены возможные ошибки многопоточной работы функции CertOpenServerOcspResponse с флагом CERT_SERVER_OCSP_RESPONSE_ASYNC_FLAG (CPCSP-13188).
- capilite: Добавлена возможность задания в config.ini SrvOcspRespMinValiditySeconds — минимальное время жизни OCSP ответа функции CertOpenServerOcspResponse (CPCSP-13327).
- capilite: Если параметр pszInnerContentObjID == szOID_RSA_data функции CryptMsgOpenToEncode, то перед кодированием сообщения будет удален ASN1 префикс корректного CMS сообщения (CPCSP-9698).
- capilite: Добавлено кэширование параметров конфига по типам криптопровайдера (CPCSP-13218).
- capilite: Кэшируем успешно загруженный дефолтный криптопровайдер (CPCSP-13219).
- capilite: Уточнены описания OID-ов 1.2.643.100.113.1-6 (CPCSP-12872).
- capilite: Упрощена проверка цепочки с CERT_CHAIN_REVOCATION_CHECK_CACHE_ONLY (CPCSP-12851).
- capilite: если сертификат отозван согласно хранилищам и кэшу, то не проверяем его с доступом к сети (CPCSP-11553).
- capilite: Добавлена поддержка CryptRetrieveObjectByUrl(CRYPT_HTTP_POST_RETRIEVAL) (CPCSP-12910).
- capilite: Добавлена поддержка CryptRetrieveObjectByUrl(CONTEXT_OID_OCSP_RESP) (CPCSP-12910).
- capilite: CryptDecryptMessage обрабатывает параметр ppXchgCert (CPCSP-13103).
- capilite: Реализация CryptSignAndEncryptMessage, CryptDecryptAndVerifyMessageSignature (CPCSP-13103).
- capilite: Исправлены мелкие ошибки в CryptHashCertificate, CryptHashPublicKeyInfo, CryptHashToBeSigned (CPCSP-13106).
- capilite: Исправлены ошибки многопоточной работы функции CertOpenServerOcspResponse с флагом CERT_SERVER_OCSP_RESPONSE_ASYNC_FLAG (CPCSP-13188).
- capilite: При запросе CMSG_COMPUTED_HASH_PARAM не сверяем хэши (CPCSP-13247).
- capilite: Поддержка создания подписанных сообщений с алгоритмом szOID_PKIX_NO_SIGNATURE (CPCSP-13247).
- capilite: Поддержка проверки хэша на месте подписи через CMSG_VERIFY_SIGNER_NULL (CPCSP-13247).
- capilite: При поточном расшифровании CMS ряд параметров доступен до получения всего сообщения (CPCSP-13248).
- capilite: Исправлен ряд ошибок при поточном разборе CMS-сообщений (CPCSP-13248).
- capilite: CertGetServerOcspResponseContext работает через CryptRetrieveObjectByUrl (CPCSP-13258).
- capilite: Исправлены ошибки при кодировании OCSP-структур (CPCSP-13258).
- capilite: Добавлен кэш результатов CryptRetrieveObjectByUrl(CONTEXT_OID_OCSP_RESP) (CPCSP-13260).
- capilite: Добавлены функции CryptMemAlloc, CryptMemFree (CPCSP-13281).
- capilite: При CMSG_CTRL_ADD_CMS_SIGNER_INFO дополняем список используемых хэш-алгоритмов (CPCSP-13285).
- capilite: Исправлены текстовые описания нескольких OID-ов (CPCSP-13290).
- capilite: Правильно вычисляем CMSG_COMPUTED_HASH_PARAM при кодировании подписанного CMS-сообщения с подписанными атрибутами (CPCSP-13291).
- capilite: Добавлено кодирование TIMESTAMP_REQUEST, TIMESTAMP_RESPONSE, TIMESTAMP_INFO (CPCSP-13325).
- capilite: Исправлено кодирование времени при работе с OCSP_BASIC_RESPONSE (CPCSP-13325).
- capilite: Поддержано поле dwHttpStatusCode структуры CRYPT_RETRIEVE_AUX_INFO (CPCSP-13379).
- capilite: Исправлены ошибки многопоточной работы CryptRetrieveObjectByUrl при включённом кэше (CPCSP-13387).
- capilite: Оптимизировано расшифрование CMS-сообщений (CPCSP-13411).
- capilite: Исправлены ошибки закодирования X509_BITS (CPCSP-13422).
- capilite: Исправлены ошибки закодирования X509_KEY_USAGE, szOID_KEY_USAGE (CPCSP-13422).
- capilite: Добавлено кодирование X509_BITS_WITHOUT_TRAILING_ZEROES (CPCSP-13422).
- capilite: При проверке цепочки хранилища Root и CA открываются гораздо реже (CPCSP-13431).
- capilite: Добавлена частичная поддержка CERT_STORE_SHARE_CONTEXT_FLAG (CPCSP-13513).
- capilite: Исправлена работа CERT_STORE_CTRL_AUTO_RESYNC (CPCSP-13513).
- capilite: если не смогли проверить на отзыв по кэшу и по кэшу с докачиванием из сети, то пробуем всё качать из сети (CPCSP-13525).
- capilite: Добавлено сохранение срока действия закрытого ключа в PFX (CPCSP-12232).
- capilite: Реализована поддержка CryptEncodeObject/CryptDecodeObject CRYPT_RSA_SSA_PSS_PARAMETERS на Unix (CPCSP-11969).
- capilite: Возвращена возможность создания запроса на сертификат с атрибутами INNLE, OGRN, записанными латинницей (CPCSP-13306).
- capilite: В CertVerifyCertificateChainPolicy(CERT_CHAIN_POLICY_SSL) у CERT_E_REVOCATION_FAILURE самый низкий приоритет (CPCSP-13591).
- certmgr: Добавлен вывод Key Usage в расширенном режиме (CPCSP-13359).
- certmgr: Исправлен редкий случай некорректного возврата кода ошибки (CPCSP-13225).
- certmgr: При экспорте сертификатов или CRL в base64 добавляются соответствующие заголовки (CPCSP-13377).
- certmgr: Добавлен вывод URL дельта CRL при его наличии (CPCSP-13405).
- certmgr: Добавлен вывод номера CRL и числа отозванных сертификатов (CPCSP-13526).
- cloud: Улучшена визуализация при RSA-подписи на Cloud (CPCSP-13130).
- cng: Исправлено создание запроса на сертификат для наших зарубежных криптопровайдеров (CPCSP-13180).
- cng: Поправлена обработка ошибок в cpext (CPCSP-13437, CPCSP-12518).
- cng: Исправлено формирование CMS-подписи с использованием алгоритма RSA (CPCSP-13429).
- cng: Улучшена работа с HSM через CNG (CPCSP-13435).
- cng: Уменьшено потребление памяти и время работы некоторых операций (CPCSP-13199).
- core: На Авроре поддержана возможность изменения глобальных настроек и лицензии администратором устройства (CPCSP-13053).
- core: На Эльбрусе повышена производительность алгоритмов на эллиптических кривых (CPCSP-13268).
- core: В основном дистрибутиве для ia32/amd64 минимально поддерживаемая версия Linux теперь RHEL/CentOS 7: glibc 2.17, gtk 3.22 (CPCSP-13478, CPCSP-13545).
- core: Исправлен вид указателей при их печати в журнал (CPCSP-13381).
- core: Переработан код AES-шифрования с использованием aesni-инструкций (CPCSP-11074).
- core: Улучшена совместимость с ПО SentinelOne (CPCSP-13266).
- core: Исправлена работа зарубежного шифрования в блочных режимах с некратными данными (CPCSP-13477).
- core: Улучшена стабильность при использовании функций GetUserKey и SignHash (CPCSP-11633).
- core: Усилены проверки случайности при импорте закрытого ключа (CPCSP-13385).
- core: Ускорено восстановление открытого ключа из compressed-представления для ed25519 (CPCSP-12356).
- core: Добавлена поддержка операций экспорта/импорта ключей в формате SIMPLEBLOB, зашифрованных с помощью ключей ГОСТ Р 34.12-2015 (CPCSP-13337).
- core: Добавлена возможность согласования ключей ГОСТ Р 34.12-2015 (CPCSP-13311).
- core: Добавлена возможность проверки значения HMAC при формировании подписи (CPCSP-12967).
- core: Добавлена возможность проверки значения разрешающей подписи при формировании подписи (CPCSP-13238, CPCSP-13239, CPCSP-13312, CPCSP-13353, CPCSP-13401).
- core: Удалено использование DB_CRUCIAL и документация о нём (CPCSP-13372).
- core: Если на машине больше 128 ГБ ОЗУ, то требуется серверная лицензия (CPCSP-13587).
- core: Демонстрационная лицензия больше не позволяет пользоваться серверными функциями, например, серверным TLS (CPCSP-13588).
- cpanel: Автоматический переход на следующую страницу мастера при выборе контейнера только если CPanelAutoPlay == 1 (CPCSP-13363).
- cpconfig: Отформатирован вывод справки (CPCSP-10699).
- cproctrl: Не контролируем Isolated User Mode (ISM) процессы (CPCSP-13354).
- cptools: Добавлен вывод сообщения о некорректной подписи в случае ошибки при проверке подписи некорректным сертификатом (CPCSP-13044).
- cptools: На вкладке «Зашифровать файл» отображаются сертификаты только с подходящим Key Usage (CPCSP-13358).
- cptools: wxWidgets обновлены до версии 3.2.1 на большинстве платформ (CPCSP-13305).
- cptools: Улучшено отображение QR-кодов в тёмной теме для упрощения считывания (CPCSP-13420).
- cptools: На вкладках с возможностью выбора файла исправлена ошибка, при которой нажатие Enter приводило к повторному показу диалоговых окон (CPCSP-13490).
- cptools: Добавлена возможность изменять ширину левого меню перетаскиваем разделителя (CPCSP-13519).
- cptools: Исправлен расчёт размеров диалоговых окон, в результате чего все элементы управления в диалогах должны помещаться в окне без обрезки (CPCSP-13561).
- cptools: Исправлена редкая ситуация, когда при выборе языка по умолчанию язык названия продукта «КриптоПро CSP» мог не соответствовать остальному интерфейсу (CPCSP-13565).
- cptools: Улучшена поддержка тёмной темы в cptools для macOS (CPCSP-13489).
- cptools: Улучшено отображение вкладок при разных размерах окна (CPCSP-13523).
- cptools: Теперь на вкладке «Общее» в блоке «Обновление» предлагается установить корневой сертификат при его отсутствии (CPCSP-13168).
- cptools: Расширена информация о сертификате при проверке подписи (CPCSP-13336).
- cptools: Добавлена поддержка перетаскивания файлов на cptools, на разных вкладках разный функционал (CPCSP-13366).
- cptools: Добавлена возможность форсировать OID алгоритма шифрования (CPCSP-13454).
- cptools: Добавлена возможность форсировать OID алгоритма хэширования (CPCSP-13455).
- cptools: Теперь после выбора файла на вкладках про подпись и шифрование фокус будет на текстовом поле, а по Enter нажимается кнопка основного действия (CPCSP-13485).
- cptools: Добавлена возможность экспорта pfx в виде глубинных ссылок (CPCSP-13208).
- cptools: Исправлена некорректная работа поиска (CPCSP-13299).
- cptools: Улучшена работа cptools, если КриптоПро CSP установлен на Windows без галки «совместимость с продуктами Microsoft» (CPCSP-13479).
- cptools: Внесены доработки под GTK 3 (CPCSP-13570).
- cptools: Исправлено возможное некорректное отображение иконки cptools в панели задач (CPCSP-13576).
- cpverify: Добавлен новый ключ подписи дистрибутивов (CPCSP-7912).
- cpverify: Исправлен крэш при попытке подписи несуществующего файла (CPCSP-13600).
- cryptcp: Добавлено сообщение об ошибке при неизвестном типе идентификатора сертификата (CPCSP-13144).
- cryptcp: Добавлена возможность зашифрования и расшифрования нескольких файлов за один вызов (CPCSP-13376).
- cryptcp: Исправлена ошибка, когда при проверке подписи с указанием КПС целевые подписи были верны, но возвращалась ошибка (CPCSP-13465).
- cryptcp: Добавлена возможность автоматически проставлять расширение со сроком действия закрытого ключа при создании запросов (CPCSP-9458).
- cryptcp: Исправлена ошибка обрезания OID в подписанном сообщении при задании по ключам -attr/-authattr на Windows (CPCSP-13335).
- cryptcp: На Windows исправлена ошибка при попытке выпуска сертификата на УЦ, для которого установлены не все действующие корневые сертификаты (CPCSP-13361).
- cryptcp: Упрощён режим -sn (CPCSP-13374).
- cryptcp: При использовании -addsign добавлена проверка, не вложен ли уже данный сертификат (CPCSP-13524).
- cspclean: Восстановление дефолтных системных криптопровайдеров (CPCSP-13275).
- csptest: Режим -sfse добавлен на *nix (CPCSP-13196).
- csptest: В minica добавлена возможность выпуска сертификатов с алгоритмом открытого ключа RSA-PSS (CPCSP-12352).
- csptest: Сделана короткая справка — man (CPCSP-11335).
- detours: ГОСТ-Authenticode включена по умолчанию. AUTHENTICODEVALUE=#0 для выключения (CPCSP-13153).
- detours: Поддержка работы mstsc со Smart Card Local Serivce (CPCSP-13340).
- detours: Отключён функционала кэширования цепочек в Windows (CPCSP-13444).
- detours: Поддержаны вложенные группы безопасности для сервиса ScardLocal (CPCSP-13558).
- devel: Устранены утечки памяти в примере EncryptKey (CPCSP-13394).
- doc: Добавлен параметр CRYPT_PIN_CLEAR в описание PP_PIN_INFO (CPCSP-13286).
- driver: В драйверном модуле устранены редкие проблемы при освобождении дескрипторов объектов (CPCSP-13373).
- gui: На ОС Аврора реализован диалог выбора ключевого контейнера (CPCSP-13043).
- gui: На Авроре исправлена проблема отображения иконки приложения в некоторых ситуациях (CPCSP-13113).
- gui: Улучшена вёрстка графических диалогов на Linux (CPCSP-13516).
- gui: Графические компоненты на Linux на ряде платформ (AMD64, Эльбрус, ARM64, x86) теперь используют GTK 3 для отрисовки интерфейса (CPCSP-13518).
- gui: Улучшен ввод лицензии на Авроре (CPCSP-13263).
- gui: Улучшена верстка графических диалогов (CPCSP-13516).
- gui: Добавлена возможность ввода в GUI на Авроре глобальной лицензии (CPCSP-13412).
- installer: Инициализация ПДСЧ физическим датчиком при установке CSP+Plugin (CPCSP-12921).
- installer: NOSSPAP=1 отключает установку модулей TLS на ОС Windows (CPCSP-12995).
- installer: Добавлена возможность скачать установить Я.Браузер после установки CSP+Plugin (CPCSP-13230).
- installer: Поддержка совместного с Dr Web функционирования (CPCSP-13274).
- installer: Перемещены настройки: \global\KeyDevices\LicErrorLevel => \config\Parameters\LicErrorLevel и \global\KeyDevices\dialog_timeout => \config\Parameters\dialog_timeout (CPCSP-13297).
- installer: Убраны права на чтение у Settings\KeyDevices и метка LowIntegrity перемещена на Settings\Users (CPCSP-13298).
- installer: Модули поддержки работы со смарт-картами не устанавливаются по умолчанию на ОС семейства Windows Server. Для установки можно использовать дополнительные опции в установщике или параметры установки REGPNPPCSC=1 REGPNPCRYPTOKI=1 (CPCSP-13330).
- installer: Актуализированы корневые сертификаты в установщиках (CPCSP-13404).
- installer: Улучшена совместимость SSL CNG с schannel (CPCSP-13414).
- installer: Поле «Серийный номер» заменено на «Серийный номер (лицензионный ключ) КриптоПро CSP» (CPCSP-13514).
- internal: (CPCSP-13276, CPCSP-13293, CPCSP-13296, CPCSP-10629, CPCSP-12612, CPCSP-13158, CPCSP-13163, CPCSP-13173).
- internal: (CPCSP-13181, CPCSP-13201, CPCSP-13204, CPCSP-13220, CPCSP-13226, CPCSP-13220, CPCSP-13236, CPCSP-13237).
- internal: (CPCSP-13255, CPCSP-13276, CPCSP-13011, CPCSP-13035, CPCSP-13056, CPCSP-13060, CPCSP-7657, CPCSP-9415).
- internal: (CPCSP-13098, CPCSP-13109, CPCSP-13125, CPCSP-13190, CPCSP-13216, CPCSP-12984, CPCSP-13085, CPCSP-13500).
- internal: (CPCSP-13183, CPCSP-13300, CPCSP-13418, CPCSP-13473, CPCSP-13522, CPCSP-13540, CPCSP-13541, CPCSP-5651).
- internal: (CPCSP-12933, CPCSP-12949, CPCSP-13465, CPCSP-13302, CPCSP-13378, CPCSP-13495, CPCSP-9733, CPCSP-6689).
- internal: (CPCSP-13484, CPCSP-13339, CPCSP-10202, CPCSP-10220, CPCSP-10251, CPCSP-12732, CPCSP-12930, CPCSP-12982).
- internal: (CPCSP-9409, CPCSP-13504, CPCSP-13240, CPCSP-12986, CPCSP-13166, CPCSP-13174, CPCSP-12633, CPCSP-13562).
- internal: (CPCSP-11070, CPCSP-13497, CPCSP-13533, CPHSM-943, CPCSP-13434, CPCSP-12985, CPCSP-13289, CPCSP-6891).
- internal: (CPCSP-13307, CPCSP-13323, CPCSP-12723, CPCSP-402, CPCSP-4816, CPCSP-13352, CPCSP-10357, CPCSP-7326).
- internal: (CPCSP-13517, CPCSP-13371, CPCSP-12747, CPHSM-952, CPHSM-956, CPCSP-13050, CPCSP-8782, CPCSP-13550).
- ios: Улучшена совместимость библиотеки libcsp_cryptoki (CPCSP-13475).
- ios: Исправлена инструкция по сборке iOS-приложений с поддержкой Рутокен NFC-карт (CPCSP-12993).
- license: Уточнено поведение для просроченных лицензий в ActiveX (CPCSP-13468).
- pkg: Приложение на Авроре разделено на служебное приложение для показа диалоговых окон и запускаемое из графического интерфейса приложение «КриптоПро CSP» (CPCSP-13433).
- pkg: На Авроре сервис, отвечающий на D-Bus запросы, вынесен в отдельный бинарник (CPCSP-13365).
- pkg: Из пакета cprocsp на Авроре убрана папка с заголовочными файлами (CPCSP-13234).
- pkg: В состав дистрибутива добавлены deb-пакеты cprocsp-rdr-cryptoki для некоторых платформ (CPCSP-11362).
- pkg: Исправлена ошибка в сборке пакетов для моделей поддержки ISBC (CPCSP-13324).
- pkg: cades-пакеты на macOS теперь полностью удаляются деинсталлятором КриптоПро CSP (CPCSP-13172).
- pkg: При установке системных пакетов по зависимостям больше не возникает ошибок о недоступности библиотек из них (CPCSP-13390).
- pkg: Если ранее был установлен наш compat-пакет, то установка по install.sh также его установит (CPCSP-13399).
- pkg: Неполная реализация yum на Альт 10 больше не мешает установке (CPCSP-13400).
- pkg: При установке пакета cptools возводим флаг dynamic_readers, позволяющий сразу подцеплять вставляемые USB-флешки (CPCSP-13480).
- pkg: В install.sh добавлена возможность fallback-а к старому режиму установки — без разрешения зависимостей из репозиториев (CPCSP-13510).
- pkg: Улучшено поведение при обновлении с просроченной лицензии на 4.0 на просроченную лицензию на 5.0 (CPCSP-13397).
- pkg: Для режима КС1 для rpm-систем ослаблены требования LSB-совместимости (CPCSP-13511).
- random: Улучшена совместимость модуля поддержки Соболь с устройствами, строго ограничивающими порции при получении случайных чисел (CPCSP-13503).
- reader: Улучшена поддержка новых карт Alioth (CPCSP-11641).
- reader: Исправлена опечатка в скрипте установки еТокен Pro32 (CPCSP-12207).
- reader: Исправлена работа флешек exfat на Astra Linux при монтировании по белому списку (CPCSP-12383).
- reader: Обновлен и переработан модуль поддержки JaCarta: поддержка ФКН и биометрии (CPCSP-12959).
- reader: Добавлены модули поддержки ESmart для macOS под M1/M2 (CPCSP-13202).
- reader: Добавлена поддержка новых версий токенов Инфокрипт (CPCSP-13203).
- reader: Изменена логика выбора апплета при создании контейнера в Silent при явно отключенных режимах работы (CPCSP-13215).
- reader: Проведен ряд оптимизаций модуля cryptoki (CPCSP-13329).
- reader: Улучшена интеграция в Winlogon при разных вариантах регистрации модулей поддержки (CPCSP-13450).
- reader: Загрузка библиотек модулей поддержки смарт-карт выполняется отложенно (CPCSP-4645).
- reader: Окончательно удалена поддержка Gemalto FKC (CPCSP-8799).
- reader: Добавлена поддержка в cryptoki совпадающих имен для произвольных токенов в разных слотах (CPCSP-13308).
- reader: Добавлена возможность отключения с помощью настройки кэш контекста смарт-карт в SharedSmartcardsManager (CPCSP-13520).
- reader: Добавлена поддержка новых карт Bingma и Castle от АО НоваКард (CPCSP-13543).
- reader: Добавлена поддержка токенов ESmart Token 192k (CPCSP-13313).
- reader: Добавлена возможность указания переменных окружения в пути считывателя DIR под Windows (CPCSP-13508).
- reader: Добавлена поддержка exfat на macOS (CPCSP-13491).
- tests: (CPCSP-12963, CPCSP-13085, CPCSP-13144, CPCSP-13162, CPCSP-13392, CPCSP-13407, CPCSP-10992, CPCSP-12783).
- tests: (CPCSP-12665, CPCSP-12471, CPCSP-12890, CPHSM-957, CPCSP-13417, CPCSP-8426, CPCSP-13219, CPCSP-7036).
- tests: (CPCSP-12123, CPCSP-13427, CPHSM-582).
- tls: Проверяем запрошенную версию протокола при взаимодействии с сервером. Для отключения: tls_client_disable_strict_tls_version_check = 1 (CPCSP-11131).
- tls: Добавлено кэширование hChainEngine (CPCSP-13319).
- tls: Улучшена стабильность schannel при установленном CSP (CPCSP-13424).
- tls: Улучшена работа cptools, если КриптоПро CSP установлен на Windows без галки «совместимость с продуктами Microsoft» (CPCSP-13479).
- tls: Улучшена стабильность работы при включенном контроле хэндлов HANDLE_CHECK_USER (CPCSP-12837).
- tls: Исправлены ошибки при формировании второго Client Hello в случае Hello Retry Request (CPCSP-13458).
- tls: Server Random в TLS 1.3 больше не содержит метку времени (CPCSP-13496).
- tls: Добавлена поддержка ECDHE_ECDSA сюит (CPCSP-13362).
- tls: Добавлена аутентификация по ECDSA-сертификату (CPCSP-13396).
- tls: Исправлено указание версии при повторном Client Hello (CPCSP-13486).
- tls: Добавлена возможность аутентификации сервера по ECDSA-сертификату после установки без перезагрузки (CPCSP-13532).
- tls: Исправлено заполнение поля SignatureAlgorithm атрибута SECPKG_ATTR_KEY_INFO (CPCSP-13482).
- tls: Скорректирован список отправляемых сюит для клиента, поддерживающего только TLS 1.3 (CPCSP-13556).
- tls: Отключены TLS-сюиты, использующие RSA Key Exchange. Для включения: tls_server_disable_rsa_key_exchange = 0, tls_client_disable_rsa_key_exchange = 0 (CPCSP-13512).
- tls: Исправление заполнение поля Key exchange strength в SECPKG_ATTR_CONNECTION_INFO для зарубежных TLS 1.3 сюит (CPCSP-13445).
- tls: Улучшена обработка расширения extended master secret (CPCSP-10649).
- tls: Улучшена обработка расширения ALPN (CPCSP-12532).
- tls: Улучшена обработка расширения RenegotiationInfo (CPCSP-12662).
- tls: Улучшена обработка finished-сообщений в TLS 1.3 (CPCSP-13448).
- tls: Параметризован паддинг, используемый для записей в TLS 1.3 (CPCSP-12340).
- tls: Исправлена работа дефолтных клиентских на Windows (CPCSP-13573).
- tls: Исправлена отправка цепочек сертификатов для случая трёх и более различных цепочек (CPCSP-13585).
- tls: Более лояльное поведение при разборе цепочек сертификатов второй стороны (CPCSP-13586).
- tls: В комплект дистрибутива для Linux для ia32/amd64 добавлен пакет с nginx (CPCSP-10372, CPCSP-13375, CPCSP-13380, CPCSP-13542).
Известные ошибки
- license: Начиная с КриптоПро CSP 5.0.11635 Golem требуются лицении от КриптоПро CSP 5.0 (начинаются на 50): от КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания. Это поведение не будет исправлено (CPCSP-10478).
- license: Начиная с КриптоПро CSP 5.0.11944 Jackalope для TLS-сервера на *nix требуются особенные лицензии (CPCSP-11021).
- license: Начиная с КриптоПро CSP 5.0.12800 Ra демо лицензия перестала быть серверной (CPCSP-13588).