LINUX.ORG.RU

Защищаемся от российского TLS-сертификата в сбербанке и других гос. сайтах

 , , , ,


1

2

Как вы знаете, недавно сбербанк и некоторые другие государственные сайты перестали открываться в нормальных браузерах. Хитрый Запад опять поднасрал, а использовать Let’s Encrypt видимо религия не позволяет. Как бы там ни было, нам важно разобраться, как теперь с этим жить. Как быть тем, кому на эти сайты заходить очень нужно. Как не стать тем лохом, который поставит себе сертификат от товарища майора и подвергнет себя MITM-атаке. Ведь с таким сертификатом весь ваш трафик как на ладони. Опыт Казахстана не забыт…

А сделать это очень просто.

  1. Ставим отдельный российский браузер (например, Яндекс-браузер) для всех сайтов с российским TLS-сертификатом. И используем этот отдельный браузер ТОЛЬКО для этих сайтов. Ни в коем случае НЕ устанавливаем российский TLS-сертификат в свой основной браузер или на уровне системы. Поскольку этот сертификат уже встроен в Яндекс-браузер - это будет самое простое и безопасное решение.

  2. Но доверять Яндекс-браузеру на 100% как-то не получается. Поэтому, для дополнительной защиты запускаем Яндекс-браузер в «песочнице». Скачиваем любое сандбокс-приложение для десктопа или мобилки, и запускаем браузер в режиме изоляции.

Товарищ майор снова в обломе.


Ответ на: комментарий от ex-kiev

Если у @maxcom есть ИП (ну или любое другое юр.лицо), то для того, чтобы выписать сертификат, достаточно только ЭЦП юр.лица и Госуслуги. Всё. Отчёт о том, как используются и задействуются не требуется (лично спрашивал), можно хоть на харде хранить и гордиться что он есть.

SkyMaverick ★★★★★
()
Ответ на: комментарий от SkyMaverick

… есть ИП (ну или любое другое юр.лицо), то для того, чтобы выписать сертификат, достаточно только ЭЦП юр.лица и Госуслуги. Всё.

Спасибо за разъяснение.

Но значит ли это что любое юр. лицо с ЭЦП может выписать себе сертификат через который осуществит MITM? Пусть и одноразово.

ex-kiev
()
Ответ на: комментарий от grem

И что измениться кроме информации о безопасном подключении с использованием не подписанного сертификата от Let’s Encrypt, а от Минцифры РФ? Я как-то поменяю к нему своё отношение?

iZEN ★★★★★
()
Последнее исправление: iZEN (всего исправлений: 1)
Ответ на: комментарий от SkyMaverick

Там есть вот такая история. Сложно будет, подтвердить, что ты - Сбербанк.

Значит такой детский трюк не сработает. Хорошо!

Разве что визуально похожий URL для фишинга. Но это наверное можно и с Let’s Encrypt проделать, и даже без Госуслуг.

Значит был не прав, может таки ЛОР перейти на отечественный сертификат.

Спасибо что объяснили.

ex-kiev
()
Ответ на: комментарий от iZEN

Для адекватных людей ничего. У неадекватных стулья прогорят.

grem ★★★★★
()
Ответ на: комментарий от ex-kiev

Список доменов, для которых выданы сертификаты, подписанные национальным центром сертификации, можно посмотреть здесь:

https://www.gosuslugi.ru/tls

Общественный аудит, как он есть. В Digicert такого не делают.

Aceler ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.