Подробная инструкция по установке русских сертификатов

Нет, тут большая разница. Если настоящий trusted CA будет хоть раз пойман на том, что он выпустил сертификат на тот домен (по указке спецслужб или же по другой причине), на который не имел права выпускать, то это конец этому CA и конец его бизнесу.

ловили уже. никто не умер.

Данный CA же не имеет конкурентов в своей сфере, а так же не находится в списке trusted CA (а значит и не дорожит этим статусом, ибо нечем).

тем более. вероятность, что клиент использует хром или файрфок и внезапно gmail ругается на сертиикат просто зашкаливающая.

Можно ещё сказать что большинство trusted CA находятся в таких странах, где подобное требование со стороны спецслужб будет незаконным и CA может подать в суд и даже выиграть против государства в таком случае. Но ты скорее всего не воспримешь такой аргумент.

сноудену расскажи, китайцам.

Можно ещё сказать что большинство trusted CA находятся в таких странах, где подобное требование со стороны спецслужб будет незаконным

Ага. Особенно в странах (смотрю в FF список рутов), таких как Турция (вот тут вообще забавно), Китай, Тайвань, Гонконг, Сингапур.

Ты правда думаешь, что какое-нибудь АНБ США будет спрашивать какой-нибудь DigiCert чего он там не хочет? Серьёзно?

Нет, тут большая разница. Если настоящий trusted CA будет хоть раз пойман на том, что он выпустил сертификат на тот домен (по указке спецслужб или же по другой причине), на который не имел права выпускать, то это конец этому CA и конец его бизнесу.

Есть множество фактов, опровергающих эту логику. Из недавнего: Цукерберг открыто признался, что во время последних президентских выборов к нему пришло ФБР и попросило цензурировать в его соц. сетях кое-какую информацию, вредящую одному из кандидатов.

И что? Мир рухнул? Все подали в суд на Цукерберга? Все ушли из Facebook?

Ничего из этого не произошло. Вообще никто не заметил, и никакой волны осуждения не было. «Это норма» (C)

Почему вдруг с сертификатами должно быть иначе?

подписывается сертификатом минцифры

Удачи вам в этом. :)

Данный CA же не имеет конкурентов в своей сфере, а так же не находится в списке trusted CA (а значит и не дорожит этим статусом, ибо нечем).

Российский сертификат КОРНЕВОЙ. Он контролирует только СВОЮ цепочку доверия. Подтверждает легитимность тех ресурсов, которые находятся в юрисдикции РФ, которые прошли все необходимые проверки и выполняют требования по сертификации.

Если тебя это не устраивает, вали из страны, так как без сертификата Минцифры ты не сможешь воспользоватся сервисами Госуслуг и других российских учреждений, работающих с сертификатом Минцифры, которым наплевать на другие (зарубежные) CA.

так как без сертификата Минцифры ты не сможешь воспользоватся сервисами Госуслуг

спорим смогу?

Ты правда думаешь, что какое-нибудь АНБ США будет спрашивать какой-нибудь DigiCert чего он там не хочет? Серьёзно?

Да.

Из недавнего: Цукерберг открыто признался

Мимо. В отличие от CA, доверие - не единственный и не основной товар, которым торгует Цукерберг. Для CA отсутствие доверия - это как пустые полки в магазине.

ловили уже. никто не умер.

Давай факты на стол.

Ну и как разговаривать с человеком, который даже не слышал про скандалы со startssl, wodim, симантеком? Или делает вид?

Просто посмотри список корневых сертификатов, я там с ходу не встретил вообще ни одного знакомого названия! Всех моих ровесников вычистили, но все на месте…

По мне так это как раз в точку. Суть в том, что рубикон давно и открыто перейдён: спецслужбы открыто цензурируют информацию, указывают что можно и что нельзя говорить про кандидатов на выборах, чтобы победил заранее определенный кандидат.

От этого до фальшивого сертификата - один малюсенький шажочек. Пока его не сделали, потому что это и не нужно. Зачем, например, подделывать сертификаты, если население в основном получает информацию из соц. сетей, из Google, а они и так подчиняются товарищам майорам без сопротивления.

Если этого станет недостаточно, и понадобится фальшивый сертификат, никто и глазом не моргнёт.

startssl

Due to multiple faults on the company’s end, all StartCom certificates were removed from Mozilla Firefox in October 2016 and Google Chrome in March 2017

Despite attempts to distance itself from the controversy, on November 16, 2017, StartCom announced termination of business, and on January 1, 2018, stopped serving new certificates, effectively closing the company

wodim

Ничего не гуглится.

симантеком

Google predicted that toward the end of October, 2018, with the release of Chrome 70, the browser would omit all trust in Symantec’s old infrastructure and all of the certificates it had issued, affecting most certificates chaining to Symantec roots. Mozilla Firefox planned to distrust Symantec-issued certificates in Firefox 63 (released on October 23, 2018), but delivered the change in Firefox 64 (released on December 11, 2018). Apple has also planned to distrust Symantec root certificates. Subsequently, Symantec exited the TLS/SSL segment by selling the SSL unit to Digicert for $950 million in mid 2017

Причем обнаружится сразу, потому что гуглохром несет в себе список гугловских сертификатов и сразу стучит хозяину, если принимает чужой сертификат. Чужие браузеры сразу заверещат, например, в телефоне, в компьютере, если зайти другим браузером или в другом профиле.

Именно так поймали китайцев. Сразу на тестовом стенде, как только стажер-китайчик из тестового контура вылез в гугл посмотреть свою почту…

with the release of Chrome 70, Mozilla Firefox planned to distrust Symantec-issued certificates in Firefox 63 Apple has also planned to distrust Symantec root certificates.

Слава те госсподи! Отозвали и убрали! Так ему!

Ой, а что это у нас…

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            24:32:75:f2:1d:2f:d2:09:33:f7:b4:6a:ca:d0:f3:98
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 1 Public Primary Certification Authority - G6
        Validity
            Not Before: Oct 18 00:00:00 2011 GMT
            Not After : Dec  1 23:59:59 2037 GMT
        Subject: C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 1 Public Primary Certification Authority - G6
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)

Симантек на месте, его сертификат все там же, в твоем браузере. Даже не переименовали.

Firefox не доверяет этим сертификатам для идентификации вебсайтов.

Да даже, если не теоретизировать с шажками, с момента ввода ссанкций были случаи ОТЗЫВА коммерческих сертификатов по требованию третьей стороны. ЕМНИП DigiCert, например, был замечен. Как там с его репутацией? Всë норм? Офигенная система доверия. Офигенная система репутации.

ну апшыпся чутка, исправимся с кем не бывает. в российском сертификате политика замещена :)

Ну то есть сертификат предустановлен в доверенные центры сертификации, флаг CA установлен, назначение установлено:

Certificate Signing, CRL Signing

Но не доверяет?

Посмотрел, да, доверие только для идентификации пользователей стоит.

Ну ка давай с пруфами, будем разбираться.

https://habr.com/ru/news/t/653923/

Сертификаты vtb.ru, например . Пруфов пол-Яндекса. Я ещё понял-бы отказали в продлении. Невозможность оплаты, невозможность полноценной работы с резидентами подсанкционных стран. Это понятно и логично.

Но это был именно REVOKE по воле ТРЕТЬЕЙ стороны. О каком доверии в таком случае может идти речь? И как там поживает DigiCert? Уже закрылся?

ну во первых не digicert а thawte.

О каком доверии в таком случае может идти речь?

О таком. Лучше отозвать сертификат когда не надо, чем не отозвать когда надо.

Доверие так не работает.

Именно так и работает. Если ты доверяешь кому не попадя, то тебе никто доверять не будет.

Нет, именно DigiCert: https://crt.sh/?id=6051080112

ну во первых не digicert а thawte.

Это что-то принципиально меняет? И да, DigiCert отозвал у ЦБ. Ссылку выше кидали.

Лучше отозвать сертификат когда не надо, чем не отозвать когда надо

А ты философ. Ну т.е. вот сертификат по пожеланию СТОРОННЕГО лица они отзовут, а вот больше ни-ни, ни пальца в рот ни сантиметра … ну ты понял. Релятивистское такое доверие, ага.

В трех чтениях за полчаса.

И выход?…

Скоро рассвет
Выхода нет
Ключ поверни - и полетели
Нужно вписать
В чью-то тетрадь
Кровью, как в метрополитене:
Выхода нет
Выхода нет

Ребят, здорова!
Прочем тред до середины первой страницы.

Не нашел бы этот тред, если бы после установки русских сертификатов мне Андроид не выдал перл, что мой трафик могут просматривать.
Вот так да!..

Капец, в этой сране ничего не делается для людей, только лишь для спец-служб!..
Так что, какой способ уйти от прослушки себя россиянами?
Если меня слушает Гугл и Эпл – я ничуть не против, у уже 100 лет их с потрохами ((

Создаётся фальшивый сертификат для google.com, подписывается сертификатом минцифры

В одной ГОСТовской конторе делали криптопровайдер, который весьма хакерским способом внеднялся в механизм шифрования одной мелкомягкой операционной системы. Естественно, чтоб «бесшовно» обрадовать пользователей работой по не имеющему аналогов алгоритму шифрования. Сложно ли использовать данный механизм для MITM? Думаю, нет.

в чём опасность добавления к длинному списку сертификатов стран НАТО русского сертификата?

Используя этот сертификат тебя смогут прослушивать и подсматривать не только страны НАТО (которым на тебя пофиг), но и местные сотрудники с низкой государственной зарплатой.

Как он спалится, когда его качает российский же предустановленный браузер. Он что, сам на себя что ли стукнет?

что мой трафик могут просматривать.

А теперь внимательно посмотри, что у тебя протокол http (без s на конце)

Сбербанк России перешёл на российский сертификат (комментарий)

Или ставьте alt, сертификаты из коробки