LINUX.ORG.RU

Подробная инструкция по установке русских сертификатов

 , , ,


1

3

Автор темы Сбербанк России перешёл на российский сертификат ограничил возможность комментирования двумя звёздочками, что странно вельми, я 17 лет тут, но пишу мало:

Необходимо уточнить, что ни в коем случае не следует рассматривать рейтинг как показатель некой личной крутизны. Это лишь показатель активности человека на форуме.

Странное ограничение

Без паники господа! Качаете сертификат для OS Windows и добавляете в корневые сертификаты в браузер и всё работает, по крайней мере в chromium, если нужна подробная инструкция пишите, хотя их очень много в интернете.

На https://www.gosuslugi.ru/crt лежат сертификаты для Android, OS Windows, MacOS, iOS.

а. В обсуждении много раз упоминается опасность установки корневых сертификатов, но я так и не понял в чём опасность добавления к длинному списку сертификатов стран НАТО русского сертификата?

б. Как установить сертификат, возможна ли выборочная установка для разных профилей и режимов запуска ( инкогнито )?

в. Установка сертификатов удалённо?

★★
Ответ на: комментарий от eternal_sorrow

Нет, тут большая разница. Если настоящий trusted CA будет хоть раз пойман на том, что он выпустил сертификат на тот домен (по указке спецслужб или же по другой причине), на который не имел права выпускать, то это конец этому CA и конец его бизнесу.

ловили уже. никто не умер.

Данный CA же не имеет конкурентов в своей сфере, а так же не находится в списке trusted CA (а значит и не дорожит этим статусом, ибо нечем).

тем более. вероятность, что клиент использует хром или файрфок и внезапно gmail ругается на сертиикат просто зашкаливающая.

Можно ещё сказать что большинство trusted CA находятся в таких странах, где подобное требование со стороны спецслужб будет незаконным и CA может подать в суд и даже выиграть против государства в таком случае. Но ты скорее всего не воспримешь такой аргумент.

сноудену расскажи, китайцам.

AVL2 ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Можно ещё сказать что большинство trusted CA находятся в таких странах, где подобное требование со стороны спецслужб будет незаконным

Ага. Особенно в странах (смотрю в FF список рутов), таких как Турция (вот тут вообще забавно), Китай, Тайвань, Гонконг, Сингапур.

Ты правда думаешь, что какое-нибудь АНБ США будет спрашивать какой-нибудь DigiCert чего он там не хочет? Серьёзно?

SkyMaverick ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Нет, тут большая разница. Если настоящий trusted CA будет хоть раз пойман на том, что он выпустил сертификат на тот домен (по указке спецслужб или же по другой причине), на который не имел права выпускать, то это конец этому CA и конец его бизнесу.

Есть множество фактов, опровергающих эту логику. Из недавнего: Цукерберг открыто признался, что во время последних президентских выборов к нему пришло ФБР и попросило цензурировать в его соц. сетях кое-какую информацию, вредящую одному из кандидатов.

И что? Мир рухнул? Все подали в суд на Цукерберга? Все ушли из Facebook?

Ничего из этого не произошло. Вообще никто не заметил, и никакой волны осуждения не было. «Это норма» (C)

Почему вдруг с сертификатами должно быть иначе?

emorozov
()
Последнее исправление: emorozov (всего исправлений: 1)
Ответ на: комментарий от TeopeTuK

подписывается сертификатом минцифры

Удачи вам в этом. :)

frunobulax ★★★
()
Ответ на: комментарий от eternal_sorrow

Данный CA же не имеет конкурентов в своей сфере, а так же не находится в списке trusted CA (а значит и не дорожит этим статусом, ибо нечем).

Российский сертификат КОРНЕВОЙ. Он контролирует только СВОЮ цепочку доверия. Подтверждает легитимность тех ресурсов, которые находятся в юрисдикции РФ, которые прошли все необходимые проверки и выполняют требования по сертификации.

Если тебя это не устраивает, вали из страны, так как без сертификата Минцифры ты не сможешь воспользоватся сервисами Госуслуг и других российских учреждений, работающих с сертификатом Минцифры, которым наплевать на другие (зарубежные) CA.

iZEN ★★★★★
()
Ответ на: комментарий от iZEN

так как без сертификата Минцифры ты не сможешь воспользоватся сервисами Госуслуг

спорим смогу?

eternal_sorrow ★★★★★
()
Ответ на: комментарий от SkyMaverick

Ты правда думаешь, что какое-нибудь АНБ США будет спрашивать какой-нибудь DigiCert чего он там не хочет? Серьёзно?

Да.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от emorozov

Из недавнего: Цукерберг открыто признался

Мимо. В отличие от CA, доверие - не единственный и не основной товар, которым торгует Цукерберг. Для CA отсутствие доверия - это как пустые полки в магазине.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Ну и как разговаривать с человеком, который даже не слышал про скандалы со startssl, wodim, симантеком? Или делает вид?

Просто посмотри список корневых сертификатов, я там с ходу не встретил вообще ни одного знакомого названия! Всех моих ровесников вычистили, но все на месте…

AVL2 ★★★★★
()
Ответ на: комментарий от eternal_sorrow

По мне так это как раз в точку. Суть в том, что рубикон давно и открыто перейдён: спецслужбы открыто цензурируют информацию, указывают что можно и что нельзя говорить про кандидатов на выборах, чтобы победил заранее определенный кандидат.

От этого до фальшивого сертификата - один малюсенький шажочек. Пока его не сделали, потому что это и не нужно. Зачем, например, подделывать сертификаты, если население в основном получает информацию из соц. сетей, из Google, а они и так подчиняются товарищам майорам без сопротивления.

Если этого станет недостаточно, и понадобится фальшивый сертификат, никто и глазом не моргнёт.

emorozov
()
Ответ на: комментарий от AVL2

startssl

Due to multiple faults on the company’s end, all StartCom certificates were removed from Mozilla Firefox in October 2016 and Google Chrome in March 2017

Despite attempts to distance itself from the controversy, on November 16, 2017, StartCom announced termination of business, and on January 1, 2018, stopped serving new certificates, effectively closing the company

wodim

Ничего не гуглится.

симантеком

Google predicted that toward the end of October, 2018, with the release of Chrome 70, the browser would omit all trust in Symantec’s old infrastructure and all of the certificates it had issued, affecting most certificates chaining to Symantec roots. Mozilla Firefox planned to distrust Symantec-issued certificates in Firefox 63 (released on October 23, 2018), but delivered the change in Firefox 64 (released on December 11, 2018). Apple has also planned to distrust Symantec root certificates. Subsequently, Symantec exited the TLS/SSL segment by selling the SSL unit to Digicert for $950 million in mid 2017

eternal_sorrow ★★★★★
()
Ответ на: комментарий от TeopeTuK

Причем обнаружится сразу, потому что гуглохром несет в себе список гугловских сертификатов и сразу стучит хозяину, если принимает чужой сертификат. Чужие браузеры сразу заверещат, например, в телефоне, в компьютере, если зайти другим браузером или в другом профиле.

Именно так поймали китайцев. Сразу на тестовом стенде, как только стажер-китайчик из тестового контура вылез в гугл посмотреть свою почту…

AVL2 ★★★★★
()
Ответ на: комментарий от eternal_sorrow

with the release of Chrome 70, Mozilla Firefox planned to distrust Symantec-issued certificates in Firefox 63 Apple has also planned to distrust Symantec root certificates.

Слава те госсподи! Отозвали и убрали! Так ему!

Ой, а что это у нас…

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            24:32:75:f2:1d:2f:d2:09:33:f7:b4:6a:ca:d0:f3:98
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 1 Public Primary Certification Authority - G6
        Validity
            Not Before: Oct 18 00:00:00 2011 GMT
            Not After : Dec  1 23:59:59 2037 GMT
        Subject: C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 1 Public Primary Certification Authority - G6
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)

Симантек на месте, его сертификат все там же, в твоем браузере. Даже не переименовали.

AVL2 ★★★★★
()
Ответ на: комментарий от emorozov

Да даже, если не теоретизировать с шажками, с момента ввода ссанкций были случаи ОТЗЫВА коммерческих сертификатов по требованию третьей стороны. ЕМНИП DigiCert, например, был замечен. Как там с его репутацией? Всë норм? Офигенная система доверия. Офигенная система репутации.

SkyMaverick ★★★★★
()
Ответ на: комментарий от SkyMaverick

ну апшыпся чутка, исправимся с кем не бывает. в российском сертификате политика замещена :)

pfg ★★★★★
()
Ответ на: комментарий от eternal_sorrow

Ну то есть сертификат предустановлен в доверенные центры сертификации, флаг CA установлен, назначение установлено:

Certificate Signing, CRL Signing

Но не доверяет?

Посмотрел, да, доверие только для идентификации пользователей стоит.

AVL2 ★★★★★
()
Последнее исправление: AVL2 (всего исправлений: 1)
Ответ на: комментарий от eternal_sorrow

Сертификаты vtb.ru, например . Пруфов пол-Яндекса. Я ещё понял-бы отказали в продлении. Невозможность оплаты, невозможность полноценной работы с резидентами подсанкционных стран. Это понятно и логично.

Но это был именно REVOKE по воле ТРЕТЬЕЙ стороны. О каком доверии в таком случае может идти речь? И как там поживает DigiCert? Уже закрылся?

SkyMaverick ★★★★★
()
Последнее исправление: SkyMaverick (всего исправлений: 1)
Ответ на: комментарий от SkyMaverick

ну во первых не digicert а thawte.

О каком доверии в таком случае может идти речь?

О таком. Лучше отозвать сертификат когда не надо, чем не отозвать когда надо.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от DrBrown

Именно так и работает. Если ты доверяешь кому не попадя, то тебе никто доверять не будет.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от eternal_sorrow

ну во первых не digicert а thawte.

Это что-то принципиально меняет? И да, DigiCert отозвал у ЦБ. Ссылку выше кидали.

Лучше отозвать сертификат когда не надо, чем не отозвать когда надо

А ты философ. Ну т.е. вот сертификат по пожеланию СТОРОННЕГО лица они отзовут, а вот больше ни-ни, ни пальца в рот ни сантиметра … ну ты понял. Релятивистское такое доверие, ага.

SkyMaverick ★★★★★
()
Ответ на: комментарий от iZEN

Скоро рассвет
Выхода нет
Ключ поверни - и полетели
Нужно вписать
В чью-то тетрадь
Кровью, как в метрополитене:
Выхода нет
Выхода нет

DrBrown
()
14 августа 2023 г.

Ребят, здорова!
Прочем тред до середины первой страницы.

Не нашел бы этот тред, если бы после установки русских сертификатов мне Андроид не выдал перл, что мой трафик могут просматривать.
Вот так да!..

Капец, в этой сране ничего не делается для людей, только лишь для спец-служб!..
Так что, какой способ уйти от прослушки себя россиянами?
Если меня слушает Гугл и Эпл – я ничуть не против, у уже 100 лет их с потрохами ((

SerW
()
Ответ на: комментарий от TeopeTuK

Создаётся фальшивый сертификат для google.com, подписывается сертификатом минцифры

В одной ГОСТовской конторе делали криптопровайдер, который весьма хакерским способом внеднялся в механизм шифрования одной мелкомягкой операционной системы. Естественно, чтоб «бесшовно» обрадовать пользователей работой по не имеющему аналогов алгоритму шифрования. Сложно ли использовать данный механизм для MITM? Думаю, нет.

anon1984
()

в чём опасность добавления к длинному списку сертификатов стран НАТО русского сертификата?

Используя этот сертификат тебя смогут прослушивать и подсматривать не только страны НАТО (которым на тебя пофиг), но и местные сотрудники с низкой государственной зарплатой.

Shushundr ★★★★
()
Ответ на: комментарий от token_polyak

Как он спалится, когда его качает российский же предустановленный браузер. Он что, сам на себя что ли стукнет?

t184256 ★★★★★
()
Ответ на: комментарий от SerW

что мой трафик могут просматривать.

А теперь внимательно посмотри, что у тебя протокол http (без s на конце)

AlexVR ★★★★★
()

Или ставьте alt, сертификаты из коробки

novus ★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.