Как настроить ГОСТ TLS при обмене с сервисами СФР СЭДО и ЭЛН

В целях обеспечения требований к информационной безопасности информационных систем гос. органов, сервисы СФР СЭДО и ЭЛН с 10 ноября 2025 планируют полностью перейти на криптографический протокол TLS (Transport Layer Security) с шифрованием по алгоритмам ГОСТ. HTTP Клиенты, не поддерживающие TLS (ГОСТ), не смогут взаимодействовать с данными сервисами.

Чтобы Контур-Зарплата могла подключаться к сервисам СЭДО и ЭЛН с использованием ГОСТ TLS необходим криптопровайдер, поддерживающий ГОСТ TLS соединения (CryptoPro CSP или ViPNet CSP) и в системе должны быть установлены корневые сертификаты Российских УЦ (Минцифры).

Криптопровайдер

При обмене с сервисами СЭДО и ЭЛН Контур-Зарплата уже использует криптопровайдер (CryptoPro CSP или ViPNet CSP) для подписания/шифрования/дешифрования/проверки ЭЦП ЭЛН и СЭДО сообщений. Этот же криптопровайдер обеспечивает установление ГОСТ TLS https соединений. Для корректной работы ГОСТ TLS соединений требуется CryptoPro CSP не ниже 4.0 R4 или ViPNet CSP не ниже 4.4.4 (на Windows 7 может быть корректная работа и с версиями ViPNet 4.2.8 и 4.4.2). Лучше использовались самые свежие сертифицированные версии криптопровайдеров, по состоянию на октябрь 2025 года это CryptoPro CSP 5.0 R3 и ViPNet CSP 4.4.8 (4.4.4 для Windows 7).

Если по каким либо причинам на ПК пользователя есть необходимость установить оба криптопровайдера (и CryptoPro CSP и ViPNet CSP) - скорее всего потребуется их тонкая настройка (чтобы они не мешали друг другу), которая выходит за рамки данной статьи.

Установка и настройка CryptoPro CSP

На первой странице установщика должен быть отмечена галка "Установить сертификаты УЦ". В последних версиях установщиков CryptoPro CSP эта галка по умолчанию установлена и снять её нельзя. Дополнительные настройки установленного криптопровайдера, как правило, не нужны.

Установка и настройка ViPNet CSP

При установке ViPNet нужно убедиться, что помимо прочего, будут установлены компоненты  "Базовые компоненты CSP" → "Корневые сертификаты ГУЦ" и "Поддержка работы ViPNet CSP через Microsoft Crypto API" → "Поддержка протокола TLS". После установки криптопровайдера нужно убедиться что в его настройках на вкладке "Дополнительно" установлены галки "Поддержка работы ViPNet CSP через Microsoft Crypto API", "Поддержка алгоритмов 2012 года в TLS-сессиях", "Поддержка TLS 1.2".

Корневые сертификаты Российских УЦ

Если в системе не установлены корневые сертификаты Российских УЦ, либо корневые сертификаты были установлены очень давно, например инсталятором старой версии криптопровайдера, и уже устарели - Контур-Зарплата показывает сообщение с ошибкой вида:

Необходимо установить актуальные корневые сертификаты. Это можно сделать, например, обновив криптопровайдер до последней сертифицированной версии (обязательно установив компонент "Установить сертификаты УЦ"/"Корневые сертификаты ГУЦ").

Либо можно это сделать с помощью Контур.Диагностики.

Установка корневых сертификатов с помощью Контур.Диагностики

Нужно в браузере перейти на адрес https://help.kontur.ru/ , "Проверить для Экстерна", в показанном списке снять все галки и Оставить только галку "Установка сертификатов УЦ" , и нажать "Начать настройку".

Если вы заходите на сайт https://help.kontur.ru/ в самый первый раз - сначала нужно Скачать расширение и установить , Скачать Диаг.плагин и установить (потребуются права Администратора), затем можно будет "Проверить для Экстерна".

Если Контур.Диагностика отказывается работать в устаревшем браузере (например, в устаревшем Chrome на Windows 7) - можно установить, например, Яндекс.Браузер и воспользоваться Контур.Диагностикой в нём (работает на Windows 7).