Добрый день.

Есть обработка, которая обращается к сервису dadata.ru.
Под 8.2 работала и не грела голову.
Под 8.3 - не удается работать с апи, потому что метод ОтправитьДляОбработки дает ошибку "Удаленный узел не прошел проверку".
Погуглил что мог, но какого-либо внятного и быстрого решения проблемы не нашел. Пишут что в 8.3 изменен алгоритм проверки SSL-сертификатов и может быть такая фигня, но как лечить - не вполне понятно.
В браузере сайт показывается нормально, серт не просроченный, не дефектный.
Что можно сделать?

8.2 использовала сертификаты из папки платформы, 8.3 начиная где-то с 8.3.7 - хранилище ОС

Напиши имя хоста куда отправляешь запрос

отключи IPv6

ipv6 отключается всегда, ибо во избежание. Хост написан в теме - dadata.ru

Там ЛетсЕнкрипт. Возможно ОС про него ничего не знает.

Добавь в ОС

Импортировал серт в Личные - не помогло. Куда именно его надо добавить?
Вообще немного странная манера работы. Это мне добавлять теперь серты на все компы где эта обработка используется? А когда просрочится - опять?

чет не помогает. Пробовал его совать и для текущего пользователя, и в локальный комп - бесполезно.

https://its.1c.ru/db/metod8dev#content:5941:hdoc

(8) у тебя конфигурация если с режимом совместимости 8.3.6 или меньше, то тебе надо править файл cacert.pem в каталоге платформы

Это может быть и ошибкой платформы

https://its.1c.ru/db/metod8dev/content/5949/hdoc

(11) Это может быть чем угодно и дело даже не в сертификате

Автору проще всего выложить обработку, воспроизводящую ошибку, в открытый доступ и чтоб еще кто-нибудь у себя проверил

(10) да. УПП.

Имхо проверь на клиенте не через RDP на хер знает как и кем настроенном сервере.

Просто на обычном компе на той же версии 1С - если работает дело не в сертификате а в настройках операционки (серверной) и прочих сторонних проблемах.
Никакое "добавление сертфиката" тут не поможет, надо искать в чем проблема.

(7) >Импортировал серт в Личные - не помогло. Куда именно его надо добавить?
(8) >Пробовал его совать и для текущего пользователя, и в локальный комп - бесполезно.

Сча пошло пошучу плиз не обижаться: А в одно месте еще не пробовали засунуть? Вдруг поможет...

Какой сертификат, куда и зачем пробовали совать? С чего взяли что это может помочь?

(17)+ Ну подучить же уже теорию криптографии и всех этих сертфикатов и (К)ЭП. Там же все довольно просто и банально.

(15) кинь почту свою, я тебе кейс отправлю, по аналогии сделаешь - может поможет

http://itnan.ru/post.php?c=1&p=347486 тут немного теории

(19) pvladix/gmail/com

(20)+ Короче от чьего имени запускается сеанс 1С где код сбоит, вот от этого же на том же компе запустить ie и попробовать зайти на dadata.ru а еще через curl обратиться к сервису dadata.ru

(22) вы, видимо, читать не хотите. Сайт в браузере - открывается. Запросы в курле - делаются, я в нем и отлаживался.
В 8.2 - все отлично работает.
Проблема возникла ТОЛЬКО в 8.3.
Эффект устойчивый на нескольких компах.

(21) отправил, попробуй - может поможет.

(23) Сайт в браузере открывается на том же компе, той же операционке и от имени того же пользователя?

Где и от чьего имени выполнятся код 1С который сбоит?

(25) да, на том же компе, той же операционке и под тем же пользователем.
Под ним же открывается файловая 8.3 - в ней не пашет.

(24) спасибо, поймал, сейчас попробую сделать

Так не пашет в файловой или к-с?

(28) сначала поймали юзеры в к-с. Потом я начал тестировать уже на локальной машине в своей файловой. Не пашет ни там, ни там.

(0) Сохрани сертификат сайта в файл. Открой его виндой. Посмотри вкладку "путь сертификации" - там всё ОК ?

(30) Да вроде да. Написано "Этот сертификат действителен."

(29) Файловая не через веб-сервер случаем?

если бы серт был кривой, dadata.ru при открытии в браузере ругалась бы. Не, не ругается, все зелененькое.

(30) В этом случае браузер бы ругался

DNS-имя=dadata.ru
DNS-имя=insales.dadata.ru
DNS-имя=suggestions.dadata.ru
DNS-имя=http://www.dadata.ru

У тебя в апи только эти адреса серверов?

(32) нет. Тупо локальная файловая.

(36) Ну если "тупо локальная файловая" 8.3 не работает, а 8.2 работает, то либо-таки в неимпортированности серта в каталог платформы, либо в разных способах доставки интернета до процессов 8.2 и 8.3.

(35)+ У них не wildcard сертификат с *.dadata.ru а перечислены какие поддомены только допустимы

Ответила поддержка дадаты
https://dadata.userecho.com/communities/1/topics/8605-1c-udalennyij-uzel-ne-proshel-proverku-dlya-dadataru

(37) Как бы и я пытался это сказать. Хрень какая то непонятная или неправильное использование.

В коде просто
Соединение = Новый HTTPСоединение(
        ИмяСервера,
        443,
        ,
        ,
        ,
        ,
       Новый ЗащищенноеСоединениеOpenSSL()
    );

?

(40) Соединение = Новый HTTPСоединение(ИмяСервера, 443, , , , , Новый ЗащищенноеСоединениеOpenSSL());

+(37) Ну и конечно же шанс (11) вовсе не ничтожен, даже на багборде как минимум две такие ошибки в разных релизах, а сколько их не дошедших до туда...

(39) "возня с cacert.pem" нужна только когда сертификат самоподписанный а не от центра и с проверкой цепочки от корневого.

Покажи сервер в апи какой вызываешь, может это косяк дадаты то там другой серт или не тот стоит

Причина найдена. В Новый HTTPСоединение () было опущено Новый ЗащищенноеСоединениеOpenSSL(). После того как этот параметр добавили - все поехало. Всем спасибо!

(44) Мля...

(45)+ В смысле я думал там намудрено с https://master1c8.ru/integratsiya-i-obmen-dannmi/zashtishtennoe-soedinenie-openssl/

(39) ты мой файлик-то прочитал? )

(47) да. Но похоже, пока не понадобится.