ГОСТ TLS не работает в Windows и браузере — как включить и настроить (2026)

1) Устанавливаем необходимое ПО

• КриптоПро CSP — официальный сайт
• Браузерный модуль/расширение для Edge/Chrome — ставьте только из официальных источников.

2) Добавляем ГОСТ‑корневые и промежуточные УЦ

Без доверенных УЦ связь может устанавливаться, но сайт останется «недоверенным» или не увидит Вашу подпись.

Командная строка (Администратор) — выполнять по одной:

certutil -addstore root C:\certs\gost-root.cer
certutil -addstore CA   C:\certs\gost-intermediate.cer

3) Включаем журналирование SCHANNEL

Это поможет понять причину обрыва рукопожатия (несовместимый набор шифров, недоверие к сертификату, проблема с ключом).

PowerShell (Администратор) — вставить целиком:

New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL" -Force | Out-Null
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL" -Name "EventLogging" -PropertyType DWord -Value 7 -Force | Out-Null
wevtutil sl "Microsoft-Windows-Schannel/Operational" /e:true
"Журналирование SCHANNEL включено. Смотрите события в «Просмотре событий» → Журналы приложений и служб → Microsoft → Windows → Schannel."

4) Браузер: расширение, native host и кэши

• Убедитесь, что расширение «КриптоПро ЭЦП» активно и не заблокировано политиками.
• Переустановите native host из дистрибутива плагина.
• Очистите кэш/куки и перезапустите браузер.

5) Версии TLS и фильтрующий софт

В «Параметры интернета → Дополнительно» включите TLS 1.2. Антивирусы с «проверкой HTTPS» могут мешать ГОСТ-TLS — временно отключите инспекцию шифрованного трафика или добавьте сайт в исключения.

6) Диагностика и типовые ошибки

• «Сертификат недоверен» — не хватает корневых/промежуточных УЦ.
• «Не найден подходящий сертификат клиента» — проверьте, что клиентский сертификат действителен и привязан к закрытому ключу на токене.
• «Установите плагин» — расширение или native host не установлены/заблокированы.