Почему браузеры в Linux игнорируют глобальное хранилище сертификатов

Вон российские банки уже давно пугают, что скоро будут требовать специальный сертификат.

Сертификатов бояться — в интернет не ходить. Другие сертификаты-то ничем не лучше будут.

Последние годы показали, что что угодно может

А что может происходить?

Как по мне, так последние годы показывают (как-минимум у нас, в чужие правоприменительные практики мне лезть неохота), что ВНЕЗАПНО в интернетах стали спрашивать «за базар». Не сказал-бы, что это плохо. А что ещё страшного приключилось в рунете, что мимо меня прошло?

А что ещё страшного приключилось в рунете, что мимо меня прошло?

Речь не только о рунете, а в целом о новых законах. Многие из них затрагивают и рунет, конечно, но не только его. Суть в том, что многое, что было законным буквально недавно, внезапно стало правонарушением. И предсказать, что именно постигнет та же участь, я не берусь.

Ну а насчёт хорошо-плохо давай лучше не будем. В этой теме, да и в принципе на ЛОРе это оффтоп, да и практически неизбежно ведёт к 5.3 в конечном итоге.

Оперативная разработка по желанию левой пятки не открывается.

Но открывается по небольшому проценту совпадения с фотороботом, т.е. практически по броску кубика.

Дело не в этом.

На сегодня - Минсвязи открыто просить установить их сертификат в качестве корневого. Можно этого не делать, а можно и поставить. Решает юзер. При этом, даже не добавляя этот CA можно пользоваться всеми сервисами сертификаты которых подписаны этим CA. Просто для каждого домена придётся добавить исключение. (по крайней мере в firefox такая возможность ещё есть) Это полностью исключает возможность MitM для левых сайтов.

А вот всякие рога и копыта типа VeriSign или Amazon даже не думают ничего у тебя спрашивать, их CA сертификаты насильно засыовывают тебе в глотку мозиллы с гуглями.

А самое забавное, это то, что если будет подменён «некошерный» сертификат для домена которому юзверем добавлено исключение, то юзер обязательно будет об этом уведомлен браузером, с кучей воплей и т.п. Но вот если сертификат для домена подписанный «Trusted» CA будет заменён на сертификат для MitM, тоже подписанный рогами и копытами из списка «Trusted» CA, то браузер даже не пикнет об этом.

Но открывается по небольшому проценту совпадения с фотороботом

И зачем для этого сношаться с расшифровкой траффика и запросами всего этого у провайдера, а потом долго вникать в нахрен не упавшую сетевую жизнь?

Есть такой боевой юнит под названием участковый, которому можно: выдать фейс, обозначить задачу, опционально взбодрить бдительность, если поляну не сечёт, и с весомым процентом вероятности уже к вечеру совпадающий с фотомордием будет найден и опрошен.

Это куда проще, быстрее и дешевле. И согласований не требуется.

Минсвязи открыто просить установить их сертификат в качестве корневого

Ну это просто потому что гуглы их динамят по известным причинам. А вот Яндекс-Браузер вполне себе всё ставит автоматом.

Ну это просто потому что гуглы их динамят по известным причинам.

Вообще причины не очень известные. список Trusted CA существуют давно. И примерно столько же всякие рога и копыта из РФ, абсолютно точно такие же как и рога и копыта уже имеющиеся в этом Trusted CA безуспешно пытались туда попасть.

А вот Яндекс-Браузер вполне себе всё ставит автоматом.

Заметь - опять, сцуко, браузер.

Интересно, если и когда NetSurf станет минимально юзабельным - он тоже в такою же мразоту скатится, как и все остальные? Браузеры прокляты?

всякие рога и копыта из РФ, абсолютно точно такие же как и рога и копыта уже имеющиеся в этом Trusted CA

Орнул. Ну ладно раньше можно было в такое верить, но последние несколько лет ты где был?

Если они это сделают, то никто не хочет его ставить в систему,

Перестань употреблять никто, все, везде и им подобные без точных данных!

У меня один из домашних компьютеров с установленным сертификатом от Минцифры, а сколько ещё таких как я, которые не из группы «белки-истерички с шапочкой из фольги»?

ЗЫ Смешно читать сообщение выше от человека, который использует софт от Microsoft, Google, Apple и других (нужное подчеркнуть), а ещё доверяет как бы независимым центрам сертификации)

Да где я только не был. И что интересно, начинаю думать что рога и копыта там, гораздо более рога и копыта чем наши. Чем ссаный VeriSign, например, не «рога и копыта»? Мало того, что рога и копыта, так ещё и с большой озотой выполняет все указивки всяких госорганов. Отечественные рога и копыта нашим правителям приходится заставлять выполнять всякие указивки, и то не очень получается, а верисайны всякие с айбиэмами и прочими гуглями выполняют указивки своих власть имущих по собственной воле, с охоточкой и радостно. Так кто поганее из этих рогов и копыт?

Перестань употреблять никто, все, везде и им подобные без точных данных!

Употребил в переносном значении. Но да, согласен, самому не нравится такая неточность, перестану.

А вот если гугл начнёт митмить какой-нить российский гос сервис это намного хуже.

Это бред, у заграницы нет возможности (если ты не пускаешь трафик через какой-нибудь их сервер специально), маршрутизация трафика внутри страны полностью подконтрольна, левому митме’ру просто негде прислонить свою ухо. Нужны не только сертификаты, но и контроль за сетью/провайдерами. У кого есть сертификаты, контроль за ТВОЕЙ сетью и сомнительная репутация? Так-так, надо подумать, ЮАР? Ямайка? Камбоджа? Даже не знаю, вопрос сложный …

Я так понимаю, что про репутацию ты вообще ничего и никогда не слышал? В детстве тебе не рассказывали, что не надо связываться с «плохой компанией». С твоей точки зрения, одинаково рискованно выпить вина в приличном заведении и приятной компании, и епнуть боярышник с четкими пацанами в подворотне, вероятность очнуться после нокаута без денег и болью в попе - примерно равна.

… вариант существования нормального государства.

Вот когда такое государство будет, тогда и поговорим. Ставить сертификат территории, где понятия вместо законов - удовольствие сомнительное.

Это бред, у заграницы нет возможности

Пока что есть, и даже несколькими способами. Но подсказывать не буду, а то вдруг соучастником получусь, хотя мне кажется они и так эти способы знают.

Я так понимаю, что про репутацию ты вообще ничего и никогда не слышал?

Слышал, конечно. У гугла репутация коммерческой фирмы, торгующей своими посетителями, то есть ниже некуда.

https://blog.mozilla.org/security/2019/02/14/why-does-mozilla-maintain-our-own-root-certificate-store/

Потому что они сами хотят контролировать какие CA туда попадут, чтобы у всех браузер работал примерно одинаково и давал хороший уровень безопасности. Системное хранилище это хорошо, но туда может прописаться кто-нибудь ещё, они приводят в пример антивирусы с функцией фильтрации веба.

Слышал, конечно. У гугла репутация коммерческой фирмы, торгующей своими посетителями, то есть ниже некуда.

Не пользуйся гуглом, делов то. Что он продаст? Что искал «гей порно full hd»? При чем здесь МИТМ?

С гуглом он свою репутацию сравнивает)). Уровень угроз вообще не соотносишь? Да твои органы будут тупо грепать расшифрованный, накопленный в цодах трафик по ключевым словам, и с пародией на суд и следствие делать с тобой что угодно.

А от гугла ты чего ждешь? Что тебе какое-нибудь ненужно начнут предлагать? Да, уровень рисков прям аналогичный

ниже некуда

Ниже есть куда - ездить в КНДР и называться друзьями. Скажи кто твой друг …

Да твои органы будут тупо грепать расшифрованный, накопленный в цодах трафик по ключевым словам

И когда такое станет раельностью, которую утаить уже нельзя, ты скажешь: «все нормально, хорошему человеку нечего бояться, просто следи за языком». Даже сидя на бутылке, ты подметишь, что она наполовину полная))

Ниже есть куда - ездить в КНДР и называться друзьями. Скажи кто твой друг …

Не знаю о чём ты, КНДР весьма уважаемая страна.

Тебе ваньку валять не надоело? И чего это ты в былые времена санкции против весьма уважаемой страны накидывал, а тут с языком целоваться полез. Да уж, от любви до ненависти…

Я никаких санкций на КНДР не накидывал, всегда положительно к ним относился. То что российские власти шли на поводу у запада с их санкциями - осуждаю. Они так не только с КНДР делали, ещё Югославия сразу вспоминается которую жёстко подставили в 90-е.

Спасибо! Именно такой официальный ответ от разработчиков браузера я искал.

Вот в тему системного хранилища сертификатов: развернул домашний инстанс Matrix. Никакого доступа извне, никакой федерации. На реверс-прокси (NGINX) поставил сертификат выпущенный домашним центром сертификации, который указан как доверенный на десктопе. В итоге клиент (Element) не считает сертификат доверенным, потому что он на электроне и сертификаты системы не учитывает.