Sberbank SSL:unable to get local issuer certificate (Thawte EV RSA CA 2018)

В цепочке 3 сертификата:

1	Sent by server 	developer.sberbank.ru
Fingerprint SHA256: 5473baba124baec92685b0fea1df57a87976777fb6b67887602b176b351fde3a
Pin SHA256: cmgIPFRGVkgDST4nB4WBc02+4HbrJCv1sUssaN8+H4k=
RSA 2048 bits (e 65537) / SHA256withRSA

2 	Extra download 	Thawte EV RSA CA 2018
Fingerprint SHA256: 93569b26aa535e3e07c891c6bd2fa9dc0939c24db4b3726ad8531edb17c497ca
Pin SHA256: LrLVqGD+UOnCQjaFUpgBUORdtTIaWwBeJtZ2JTpAm/U=
RSA 2048 bits (e 65537) / SHA256withRSA

3 	In trust store 	DigiCert High Assurance EV Root CA   Self-signed	
Fingerprint SHA256: 7431e5f4c3c1ce4690774f0b61e05440883ba9a01ed00ba6abd7806ed3b118cf
Pin SHA256: WoiWRyIOVNa9ihaBciRSC7XHjliYS9VwUGOIud4PB18=
RSA 2048 bits (e 65537) / SHA1withRSA

И второй сертификат, предполагается, клиент сам найдет (его нет на http сервере), вот у тебя и не работает.

Чекать можно на сайте ssllabs.com например

Ник кагбе говорит что должно произойти что-то ужасное, но пока ужасное происходит только на компе ТС.
Не стоит пользовать маргинальные браузеры, если любая проблема с ними заставляет пугаться.

А я что-то не обратил внимания, у него и ава тематическая. Знатный хакер шумно ворвался на яндекс браузере!

Это что навроде как тип с ником superhacker спрашивает как записать кали на флешку.

Все, и особо банки должны срочно отказался от использования https!!!

Пользовался конечно можно, но на предмет безопасности, считать уровень https как обычного http!!!

ca-certificates какой версии? обновлять пробовал? «Thawte EV RSA CA 2018» там фигурирует?

А мне почему-то хочется думать, что это админ сбера таким образом просит нас помочь с настройкой.

Не стоит пользовать маргинальные браузеры, если любая проблема с ними заставляет пугаться.

Хм. Правда?

Если посмотреть новости, то всё иначе — июль - октябрь 2019 года:

Правительство одобрило законопроект о предустановке отечественного ПО на «сложные устройства». Под технически сложными товарами имеются в виду, в частности, смартфоны, компьютеры, телевизоры с функцией «смарт-ТВ».

(1) Первый законопроект № 757423-7 — о внесении изменения в статью 4 Закона Российской Федерации «О защите прав потребителей» — гласит, что при продаже «отдельных видов технически сложных товаров» с предварительно установленными программами для электронных вычислительных машин потребителю обеспечивается возможность использования предварительно установленных российских программ для электронных вычислительных машин.

(2) Второй № 757430-7 — о внесении изменения в статью 14.8 Кодекса Российской Федерации об административных правонарушениях – устанавливает штрафы за продажу отдельных видов технически сложных товаров с предварительно установленными программами для электронных вычислительных машин «с нарушением установленного законодательством о защите прав потребителей требования о предварительной установке российских программ для электронных вычислительных машин».

Я не понял что ты хочешь мне сказать.

Не стоит пользовать маргинальные браузеры

Перекладывание с больной головы на здоровую.
Сервер не отдал промежуточный сертификат в цепи.

В каком это месте хромой наш ? Набери в своём яндекс бровзере chrome//:flags или chrome//:setting вот это вот всё и ещё много таких команд

Так в том то и соль, что не все браузеры знают как и где проверять цепочку. Очень большое количество сайтов не имеют в сертификате промежуточных цепочек, что не мешает им нормально открываться в современных браузерах.

По этой логике все реализации ssl обязаны регулярно отыскивать все промежуточные сертификаты в мире и впихивать их в свой бандл.

Это на уровне «зачем гонять html через валидатор, если браузер и так показывает?» и обвинять те, которые не распарсили говнокод, маргинальными.

https://www.ssllabs.com/ssltest/analyze.html?d=developer.sberbank.ru

Чего сказать то хотел ?
По ссылке видно, что нормальные браузеры умеют в extra download цепочек с известных центров сертификации. Считаешь зря умеют ?

Считаешь зря умеют ?

Да.

такс, а предустановленные root ca тоже зло ?

Это же снижает нагрузку по трафику, так как c твоего сервера не всю портянку качают, а только последний. Плюс, получается, защита от BruteForceSSL. А кто хочет чтоб его ssl брутфорсили?

Очевидно, что схема доверия предполагает наличие корневых.

Это же снижает нагрузку по трафику, так как c твоего сервера не всю портянку качают, а только последний. Плюс, получается, защита от BruteForceSSL. А кто хочет чтоб его ssl брутфорсили?

Это не вопрос трафика (а даже если бы и был, то он копеечный), а вопрос кто должен обеспечивать всю цепочку промежуточных сертификатов для конкретного ресурса. Ресусрс, или реализация ssl?

Да, браузеры, как и всегда, ради доли рынка пошли на поводу и по возможности заткнули щели в корытах, которые наделали сайтоклепатели.

Я не согласен, что это надо ставить в пример и называть остальные реализации плохими.

защита от BruteForceSSL

Тут поподробнее, пожалуйста.

защита от BruteForceSSL

Тут поподробнее, пожалуйста.

Это ник ТС, который не смог)

А так да, временами на мобилках не работает всякое из-за неполной цепочки.

Давно как-то на одном местном казахстанском бухгалтерском форуме умные люди мне подсказали, что, нужно, чтобы был эксперт-компьютерщик-безопасник…

Это не вопрос трафика (а даже если бы и был, то он копеечный), а вопрос кто должен обеспечивать всю цепочку промежуточных сертификатов для конкретного ресурса. Да, браузеры, как и всегда, ради доли рынка пошли на поводу и по возможности заткнули щели в корытах.

Согласен.

Я просто не понимаю подхода к безопасности у Сбербанка.

Как будто JFF люди работают. У них была конфа на Yammer, но на security-reports они либо не отвечали, либо отказывались от денежной компенсации тому, кто нашёл дыру. И это было во всём. Я удивляюсь, что до сих пор так. Уже более десяти лет прошло.