Защищаемся от российского TLS-сертификата в сбербанке и других гос. сайтах

думается, с анализом легко справится что-то распределенное, например свора инфицированных определенной дрянью компов/серверов)))

Харэ троллить, я тож паранойик))

Чушь не пори, банки технически не могут использовать Let’s Encrypt. Как и многие другие. Где нужно что-то более чем бложик на TLS повесить.

all right, имхо

Но держать отдельный браузер для банков и вообще важного, не открывая в нём всякое разное хрен пойми чегошное хорошо и было хорошо ещё до государственного серта. Так что в принципе ничего не изменилось.

Sic!

Гораздо интереснее был бы мануал как склонировать Firefox для Android и добавить в него сертификат для Сбербанка не устанавливая его в систему.

моего нет(

официально сберапп не работает с root на андроиде. это не запрещает работать ему не официально. на счет огрызка не скажу..

сберапп на 4пда лежит с защитой от замечания рутования. ставил на предыдущем рутованном телефоне - работал.

Ведь с таким сертификатом весь ваш трафик как на ладони

Как и с теми 50+ сертификатами которые вшиты в «кошерные» браузеры. Сорта говна, ничего более

А ты не из робкого десятка. Ставить банковские приложения с помоек это смело.

А есть расширения которые визуализируют цепочеку сертификатов для конкретной страницы?

В статьи может перенести?

Об этом мы еще поговорим

Вот только угрожать не надо. Своё «экспертное» мнение держи при себе.

Ещё раз повторяю для умственно усталых: это проблема проверки разрешений в Android

Это проблема не андройд, а криворуких программистов, не осиливших обработку отказов разрешений.

LE для шарашек. Банкам нужен сертификат с именем организации в нём.

Не нужен. Даже EV уже никому не нужен, потому, что браузеры перестали сигнализировать об их использовании, а уж от OV вообще никогда пользы не было.

Это сарказм такой? Были же обсуждения с техничискими подробностями, а не с накидыванием про тов. майора.

А ты можешь на это с другой стороны поглядеть без теорий заговоров. Ну ок, ты продвинутый пользователь, запретил камеру и фотки, приложение запустилось, работаешь с ним и знаешь, что часть функционала недоступна.

Но есть тысячи тысяч других пользователей, которые откажут в предоставлении доступа и потом будут ныть, мол, QR не сканируется, номера для перевода не подтягиваются, чеки не сохраняются, приложение говно, плак-плак.

3 вариант. Не заходить на эти калосайты

В раздел «шапочки из фольги».

Для защиты российской экономики и госструктур от неправомерных действий стран НАТО и недружественных структур США и Евросоюза выпущены корневой и «промежуточный» сертификат Минцифры РФ, доступный для скачивания с сайта Госуслуги.

Сфера доверия этих сертификатов - только российские сайты. Никакие иностранные сайты не имеют сертификатов, заверенные подписями Минцифры РФ.

Для избегания внесения в стоп-лист этих сертификатов со стороны браузеров, созданных за пределами РФ, и, как следствие, утери цепочки доверия при взаимодействии с российскими сайтами государственных органов РФ и банками РФ, находящихся под санкционной политикой Запада, рекомендуется использовать для доступа на такие ресурсы российские сборки браузеров Яндекс.Браузер или Атом.

хых, я разумный. если сотня людей до меня установили и проблемм не возникло значит норм. да и ломали его известные на 4пда люди.
я, о ужас, без антивирусника, антирекламщика и прочей смузи-защиты на компуктере живу уж который десяток лет !!!111

ну а коль разумность на уровне топикстартера, то стоит боятся даже собственной тени, а вдрух там вампиры набросятца !!!!1111

стоит боятся даже собственной тени, а вдрух там вампиры набросятца

Пока ты в своём жилище и никого не приглашал - не набросятся, они без разрешения не могут войти. На улице же или в чужом доме и правда стоит остерегаться - спрячутся в твой тени и потом накинутся всем скопом.

Magisk в режиме zygisk и добавить нужный апп в DenyList. И всё работает

А потом начнётся: «всё, что нажито непосильным трудом… три портсигара отечественных…»

Надо бы вас таких приводить в состояние, в котором вы попали в страну, и выкидывать за границу. Голыми. Ты же голым родился? Вот голым и выкидывать.

маджиск на тот момент еще не был распространен :)

Можно подумать, этот российский TLS-сертификат нападает на кого-то. Про использование Let’s Encrypt, вообще отдельная степень нутости.

Серт не нападает, но позволяет товарищу майору сделать атаку по типу ‘мужик посередине’. Но это если атакуемый не является Неуловимым Джо.

Что в очередной раз доказывает что Android — кривое поделие.

Не такие уж и большие. По теме - только виртуалки, браузер устанавливается с правами администратора, а значит тоже может творить что угодно, а если уж не доверяешь, то не доверяй до самого конца.

А вдруг maxcom на 1 апреля «подпишет» LOR этим сертификатом :)

А вдруг maxcom на 1 апреля «подпишет» LOR этим сертификатом :)

А разве они предоставляют такую услугу?

Одного желания тут мало.

Если у maxcom есть ИП (ну или любое другое юр.лицо), то для того, чтобы выписать сертификат, достаточно только ЭЦП юр.лица и Госуслуги. Всё. Отчёт о том, как используются и задействуются не требуется (лично спрашивал), можно хоть на харде хранить и гордиться что он есть.

… есть ИП (ну или любое другое юр.лицо), то для того, чтобы выписать сертификат, достаточно только ЭЦП юр.лица и Госуслуги. Всё.

Спасибо за разъяснение.

Но значит ли это что любое юр. лицо с ЭЦП может выписать себе сертификат через который осуществит MITM? Пусть и одноразово.

Там есть вот такая история. Сложно будет, подтвердить, что ты - Сбербанк.

upd. Ссылку закосячил, исправил.

И что измениться кроме информации о безопасном подключении с использованием не подписанного сертификата от Let’s Encrypt, а от Минцифры РФ? Я как-то поменяю к нему своё отношение?

Там есть вот такая история. Сложно будет, подтвердить, что ты - Сбербанк.

Значит такой детский трюк не сработает. Хорошо!

Разве что визуально похожий URL для фишинга. Но это наверное можно и с Let’s Encrypt проделать, и даже без Госуслуг.

Значит был не прав, может таки ЛОР перейти на отечественный сертификат.

Спасибо что объяснили.

Почему банки не могут использовать letsencrypt?

Во-первых, это не пройдёт по ИБ, во-вторых, LE, скорее всего, просто не даст сгенерить сертификат для тех, кто в SDN list.

«Срок действия понедельник, 2 января 2023 г., 05:15:56»

подходит к концу и не факт, что продлят.

Во-первых, ИБ.

Во-вторых, банки, как правило, трепетно относятся к тому, с кем они ведут отношения и какие обязательства у контрагента (т.е. к договорам за подписью). Вести отношения с некоммерческой структурой, с мутными учредителями и не дающей никаких юридически обязывающих гарантий никто из серьёзных не будет.

А какие у ИБ могут быть вопросы к LE?

Стандартно продлевают за месяц до истечения. Если не продлят, будет неделя на реакцию и 3 недели на смену поставщика.

А если Entrust не продлит?

Хочешь сказать, что в node_modules банковского фронтэнда 100% зависимостей с договорами? Или в чём принципиальное отличие left-pad от letsencrypt?

что в node_modules банковского фронтэнда 100% зависимостей

Хочу сказать, что если какой-то сказочный персонаж в прод притащил модули напрямую из npm, то его надо 3.14здить всем отделом разработки до полного просветления.

Уже ответили, причин много, есть нормативы и правила. Как технические так и нет.

Непонятно, почему бесплатно и непонятно кому, в случае чего, претензии выставлять, это в больших структурах не любят. У продавцов сертификатов есть различные бюрократические процедуры и неплохая страховка в случае компрометации сертификата по вине ЦС.

Зачем тащить в систему Яндекс браузер? Мне это не кажется разумным.

использовать Let’s Encrypt видимо религия не позволяет

Что мешает сделать российский Let’s Encrypt - вот что непонятно.

Если является, то не позволяет? :)

Чтобы сделать российский Let’s Encrypt, нужно подать челобитную западным боярам сделать аудит организации, только после этого сертификат могут принять в общий репозиторий. Кто будет делать аудит в 2022 российской организации? А без всего этого идиотизма Минцифры и так серты выдаёт.