LINUX.ORG.RU

Сбербанк России перешёл на российский сертификат

 , ,


7

5

Срок действия сертификата SSL, используемого ПАО Сбербанк для защиты своих сервисов, истёк сегодня. Поскольку все корневые сертификаты контролируются США, а также из-за политики санкций, удостоверяющие центры, имеющие право выпустить новый сертификат, отказали ПАО Сбербанк в продлении.

Поэтому с сегодняшнего дня ПАО использует новый сертификат выданный от имени «Russian Trusted Sub CA». Загрузить его можно с сайта госуслуг. По указанной ссылке доступны файлы сертификата и инструкции для популярных ОС (Linux в списке отсутствует). Сайт госуслуг удостоверяется сертификатом, выданным Sectigo и поэтому пока доступен в любых браузерах.

Также новый сертификат уже встроен в браузеры Яндекс.браузер и Атом.

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: maxcom (всего исправлений: 4)

Поскольку все корневые сертификаты контролируются США, а также из-за политики санкций, удостоверяющие центры, имеющие право выпустить новый сертификат, отказали ПАО Сбербанк в продлении.

"Боже, храни Америку!"©

Сами бы они на это никогда не пошли.

ex-kiev
()

Завести в Firefox отдельный профиль для сбера и добавить сертификат в нем поможет? Оставшиеся профили останутся нетронутыми?

А разные пользователи Chromium?

Belkrr
()
Ответ на: комментарий от hobbit

А как остальные сертификаты стоят безопасно? Вот также. Всё равно какая-то цепочка есть, который ты по-умолчанию доверяешь в режиме «а что делать».

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Belkrr

Завести в Firefox отдельный профиль для сбера и добавить сертификат в нем поможет? Оставшиеся профили останутся нетронутыми?

Эксперимент показывает, что сертификат добавляется в конкретный профиль, из которого были открыты настройки, и не появляется в других профилях.

static_lab ★★★★★
()

пока хромой и остальные. привет яндекс браузер.

llirik
()

осталось законодательно запретить российским сайтам и серверам использовать ЦС отличный от одобренного партией, и да здравствует пресловутый Чебурнет.

annerleen ★★★★☆
()
Ответ на: комментарий от mumpster

забавно, что на госуслугах нет варианта сертификата под линукс.

А что такое сертификат под линукс?

AVL2 ★★★★★
()

Без паники господа! Качаете сертификат для OS Windows и добавляете в корневые сертификаты в браузер и всё работает, по крайней мере в chromium, если нужна подробная инструкция пишите, хотя их очень много в интернете.

Ruslan76
()
Ответ на: комментарий от hobbit

А как ты безопасно поставил полсотни корневых сертификатов, которые уже установлены в твоем браузере?

Ты вообще знаешь, что это за ACCV? или affaimtrust? А они безопасно установили свой сертификат в твой браузер…

AVL2 ★★★★★
()

Дичь, теперь только мобильные приложение. Раньше надо было лобировать свои са, как всегда все просрали.

garik_keghen ★★★★★
()
Последнее исправление: garik_keghen (всего исправлений: 1)

Теперь понятно, почему Сбер говорит: «Подключение прервано. Попробуйте обновить страницу сейчас или позже. [Обновить]»

А утром платёж не прошёл.

Mirage1_
()
Ответ на: комментарий от garik_keghen

Дичь, теперь только мобильные приложение. Раньше надо было лобировать свои са, как всегда все просрали.

Нужно было раньше конечно, но все равно бы ввели санкции и удалили бы.

ex-kiev
()
Ответ на: комментарий от Belkrr

Завести в Firefox отдельный профиль для сбера и добавить сертификат в нем поможет? Оставшиеся профили останутся нетронутыми?

Поможет. Останутся. Но не только для Сбера, а лучше все платежи делать в этом профиле. Т.к. рандомный магазин может через гейт Сбера работать.

MozillaFirefox ★★★★★
()
Последнее исправление: MozillaFirefox (всего исправлений: 1)
Ответ на: комментарий от MozillaFirefox

И не ставить в этот профиль никаких дополнений.

Aceler ★★★★★
() автор топика

Если что, юридические лица могут получить сертификат для сайта в том же УЦ. Только это квест на несколько недель

router ★★★★★
()
Ответ на: комментарий от mumpster

забавно, что на госуслугах нет варианта сертификата под линукс.

А он чем-то отличается от сертификата под виндовс? %) Если тебе нужен PEM, конвертируется через openssl

router ★★★★★
()

Ну наконец-то.
Осталось организовать бесплатную выдачу коротких национальных сертификатов для сограждан и мы таки сделаем шажок к интернет коммунизму!

П.с. Это не сарказм, сертификаты действительно должны быть бесплатными

rukez ★★★★
()
Ответ на: комментарий от rukez

Предлагаю не мелочиться и сразу запилить свой векторный фидонет

alex1101
()
Ответ на: комментарий от Meyer

На самом деле, гораздо хуже, когда с другой стороны доступ к документации блокируют

Я уже задолбался держать отдельный профиль браузера со своим прокси. Да и то есть подозрение, что недолго ему (прокси) осталось

router ★★★★★
()
Ответ на: комментарий от rukez

сертификаты действительно должны быть бесплатными

с разморозкой. letsencrypt и другие, работающие по протоколу ACME

router ★★★★★
()

Да, корневые сертификаты - тот ещё ракет. Казахстан тоже хотел свой корневой сертификат в доверенные добавить в своё время - отказали. Надо по-хорошему свой браузер выпускать, для ЕАЭС, в котором убрать все эти западные сертификаты и поставить отечественные.

vbr ★★★★
()

Firefox вроде позволяет сделать исключение безопасности для отдельного сайта и в итоге подключение идет по https, но достоверность сертификата сайта не проверяется? Или я что-то путаю?

DrBrown
()
Ответ на: комментарий от DrBrown

Может. Вопрос в том, не придётся ли это исключение придётся делать для каждого поддомена сбера.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от annerleen

ну, если быть честным, то вам таки следовало признать, что «Железный занавес» опускается, как и в прошлый раз, со стороны Запада.

mumpster ★★★★★
()
Ответ на: комментарий от Aceler

Потому что letsencrypt, ВНЕЗАПНО, подчиняется американским санкциям?

Xi_Jingping
()
Ответ на: комментарий от Aceler

придётся ли это исключение придётся делать для каждого поддомена

и для каждого «мошенника», но буратины ссзб

superuser ★★★★☆
()
Последнее исправление: superuser (всего исправлений: 1)
Ответ на: комментарий от Aceler

Не смотрел еще, но вообще говоря, все финучреждения обязаны использовать сертификаты EA.

Да и в принципе пора уже внедрять свои ЦС.

AVL2 ★★★★★
()
Ответ на: комментарий от Belkrr

firefox сохранит в профиль. ~/.mozilla/firefox/<profile>/cert9.db.

arrecck ★★★
()
Ответ на: комментарий от DrBrown

А внутренние правила тоже не с воздуха берутся, а потому что крупный бизнес почему-то не хочет автоматически выдаваемых сертификатов.

Aceler ★★★★★
() автор топика

Может, кто-то внятно объяснить, чем грозит установка корневого сертификата…? Насколько понимаю, возможность расшифровки/деанонимизации и т. д. грозит только на сайтах, которые этому CA доверяют…

AndrK189100
()
Ответ на: комментарий от router

не-не-не! должен быть раздел для Линукса,для всех других же платформ есть, почему для линукса нет?

mumpster ★★★★★
()
Ответ на: комментарий от Aceler

LE точно также может блокирнуть СБ как и другие.

mumpster ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.