LINUX.ORG.RU

Сбербанк России перешёл на российский сертификат

 , ,


7

5

Срок действия сертификата SSL, используемого ПАО Сбербанк для защиты своих сервисов, истёк сегодня. Поскольку все корневые сертификаты контролируются США, а также из-за политики санкций, удостоверяющие центры, имеющие право выпустить новый сертификат, отказали ПАО Сбербанк в продлении.

Поэтому с сегодняшнего дня ПАО использует новый сертификат выданный от имени «Russian Trusted Sub CA». Загрузить его можно с сайта госуслуг. По указанной ссылке доступны файлы сертификата и инструкции для популярных ОС (Linux в списке отсутствует). Сайт госуслуг удостоверяется сертификатом, выданным Sectigo и поэтому пока доступен в любых браузерах.

Также новый сертификат уже встроен в браузеры Яндекс.браузер и Атом.

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: maxcom (всего исправлений: 4)
Ответ на: комментарий от router

letsencrypt

Я в курсе, ровно как и прекрасно понимаю что в айн момент он так же превратится в тыкву.

rukez ★★★★
()

Поскольку все корневые сертификаты контролируются США

Вообще-то нет. Там даже какие-то банановые республики вроде были.

Пользователи без сертификата перенаправляются на версию сайта без https.

Тоже нет, если сертификата нет то перенаправить с https никуда нельзя, можно только зафейлить коннект.

firkax ★★★★★
()
Ответ на: комментарий от AndrK189100

Может, кто-то внятно объяснить, чем грозит установка корневого сертификата…?

Ничем кроме того что твой браузер начнёт принимать сертификаты «выданные» этим корнем.
По факту так работает дофига внутрисетевых энтерпрайзнутых сервисов и многое из того что использует https в локалках (где тупо нет возможности привязать неуникальный ойпи к глобальному сертификату но сам сертификат надо иногда обновлять)

rukez ★★★★
()
Последнее исправление: rukez (всего исправлений: 1)
Ответ на: комментарий от firkax

Тоже нет, если сертификата нет то перенаправить с https никуда нельзя, можно только зафейлить коннект.

Ну нельзя так нельзя, а в FF у меня открывается версия по http. Но нельзя.

UPD: А нет, это в мобильной версии. Видимо, она лезет на http при недоступности https.

Aceler ★★★★★
() автор топика
Последнее исправление: Aceler (всего исправлений: 1)
Ответ на: комментарий от AndrK189100

Может, кто-то внятно объяснить, чем грозит установка корневого сертификата…? Насколько понимаю, возможность расшифровки/деанонимизации и т. д. грозит только на сайтах, которые этому CA доверяют…

Нет, установка корневого сертификата обозначает что ты полностью доверяешь ему идентифицировать любой сайт. Это, теоретически, позволяет поднять mitm и влезть в любой трафик.

Пассивно (без mitm) вскрыть трафик у CA не выйдет, даже если у него есть приватные ключи.

maxcom ★★★★★
()
Ответ на: комментарий от Aceler

Ты вводишь https и открывается http? Думаю ты вводишь без протокола и оно дефолтится на http, а сертификат и редиректы тут ни при чём.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 2)
Ответ на: комментарий от vbr

Надо по-хорошему свой браузер выпускать, для ЕАЭС

Диды без браузеров и сертификатов жили. И ты живи.

Tigger ★★★★★
()
Ответ на: комментарий от Aceler

letsencrypt сертифицирует только домен, а тут нужно юрлицо, со всей бюрократией. Типы сертификатов: DV - домен, OV - организация, EV - усиленная проверка организации. LE выдаёт только DV.

firkax ★★★★★
()

Пользователи без сертификата перенаправляются на версию сайта без https.

Вот это утверждение звучит крайне сомнительно, потому что нет в HTTPS такого механизма, который бы позволил сайту без доверяемого сертификата кого-то куда-то перенаправить.

maxcom ★★★★★
()
Ответ на: комментарий от xmikex

Потому что у него гуглоподелие вместо браузера.

firkax ★★★★★
()
Ответ на: комментарий от AndrK189100

Может, кто-то внятно объяснить, чем грозит установка корневого сертификата…? Насколько понимаю, возможность расшифровки/деанонимизации и т. д. грозит только на сайтах, которые этому CA доверяют…

Этот CA может выпустить сертификат для любого домена, который захочет. Хоть для gmail.com, хоть для usa.gov.

Feonis ★★★
()
Последнее исправление: Feonis (всего исправлений: 1)
  1. Ставишь Крипто Про.
  2. Ставишь корневой стеритфикат
$ sudo /opt/cprocsp/bin/amd64/certmgr -i -store mroot -f russian_trusted_root_ca.cer
  1. Используешь curl поставляемый с Крипто Про.
$ /opt/cprocsp/bin/amd64/curl -i https://www.sberbank.ru/ru/certificates && echo
HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Cache-Control: no-store, must-revalidate, no-cache
Pragma: no-cache
Connection: close
Content-Type: text/html
Content-Length: 563
Set-Cookie: f5avraaaaaaaaaaaaaaaa_session_=IKIIGNCMMJDFMCEDMPBOPOGCJKGJIAENKEEDIOKLJHINLMHOBMFOCCIMELCMGGCGMEKDFOIDJOEMNMAACJMAAFIBJOIOOGHLHHNLGHHPOPMKLIDFEEIMHBJLMLIDCKHB; HttpOnly; secure

<html><head><title>Нельзя войти на сайт Сбербанка в этом браузере.</title></head><br><br>Нельзя войти на сайт Сбербанка в этом браузере.<br><br><body>Пожалуйста, попробуйте другой браузер. Если не получится, позвоните нам по номеру 900 или +7 495 500-55-50, если вы за границей.<br><br>Ваш support ID: <18391432149938190072><br><br><a href='javascript:history.back();'>[Назад]</body></html>
  1. Осознаёшь, что curl так себе браузер.
  2. Думаешь как использовать stunnel (но лень)…
thegoldone ★★
()
Ответ на: комментарий от Feonis

Этот CA может выпустить сертификат для любого домена, который захочет.

Чем это отличаются от любого другого удостоверяющего центра из 60? Даже какой-то турецкий национальный есть, вот нахера он мне в firefox?

Xi_Jingping
()
Ответ на: комментарий от Belkrr

Завести в Firefox отдельный профиль для сбера и добавить сертификат в нем поможет? Оставшиеся профили останутся нетронутыми?

Дело не в сертификате, а в гостовской криптографии. Которую ФФ не поддерживает. Её поддерживают Яндекс-браузер, Хромиум-ГОСТ, Спутник и ещё что-то там, Атом какой-то.

thegoldone ★★
()
Ответ на: комментарий от annerleen

осталось законодательно запретить российским сайтам и серверам использовать ЦС отличный от одобренного партией, и да здравствует пресловутый Чебурнет.

Чебурнет – это когда государственные сайты используют сертификаты выданные зарубежными коммерческими компаниями. Вот это и есть чебурнет. А точнее что-то похуже.

thegoldone ★★
()
Ответ на: комментарий от mx__

И что ? Как будто других СА у Вас нет.

Любой CA который выпишет левый сертификат мгновенно со скандалом вылетит из доверенных. Это такая вещь которую скрыть не возможно. Кроме того, есть механизм Certificate Transparency, который позволяет контролировать действия CA и он обязателен для включения его во многие ОС и браузеры.

По этому да, теоретически любой из сотни CA может выпустить левый сертификат, но это ему (и его владельцам) будет очень дорого стоить.

maxcom ★★★★★
()

а также из-за политики санкций, удостоверяющие центры, имеющие право выпустить новый сертификат, отказали ПАО Сбербанк в продлении.

Нда… Нет слов…

X-Pilot ★★★★★
()
Ответ на: комментарий от thegoldone

Дело не в сертификате, а в гостовской криптографии. Которую ФФ не поддерживает. Её поддерживают Яндекс-браузер, Хромиум-ГОСТ, Спутник и ещё что-то там, Атом какой-то.

Для доступа к Сберу сейчас не нужна ГОСТ криптография, нужно только решить вопрос с доверием к сертификату. Криптография там обычная.

maxcom ★★★★★
()
Ответ на: комментарий от Xi_Jingping

Чем это отличаются от любого другого удостоверяющего центра из 60? Даже какой-то турецкий национальный есть, вот нахера он мне в firefox?

Тем, что CA которые есть в Firefox выполняют большое количество требований управляющих их работой и проходят аудит. Вот почитай: https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/

maxcom ★★★★★
()
Ответ на: комментарий от maxcom

Для доступа к Сберу сейчас не нужна ГОСТ криптография, нужно только решить вопрос с доверием к сертификату. Криптография там обычная.

Да, действительно. Странно чего они тогда свои браузеры впаривают попутно.

Для получения защищённого доступа ко всем сайтам и онлайн-сервисам используйте браузеры с поддержкой российских сертификатов: Яндекс Браузер или Атом

thegoldone ★★
()
Ответ на: комментарий от maxcom

Я в курсе про это. Не думаю что этим будут всякую левизну подписывать.

mx__ ★★★★★
()

Вот читаю инструкцию для Windows и даже я сам (линупсоид со стажем) «чешу репу» от таких названий как «выпускающий сертификат». Хоть бы пояснения где добавили для чего «корневой сертификат» и для чего «выпускающий сертификат». Вообще не по русски написано! Как сертификат может выпускать? Выпускает орган же, а не сертификат!

superuser ★★★★☆
()
Последнее исправление: superuser (всего исправлений: 1)
Ответ на: комментарий от thegoldone

чего они тогда свои браузеры впаривают попутно

Потому что «их» браузеры начинают задавать неудобные вопросы и высказывать сомнения относительно того этого СА. А «свои» взяли под козырек и сделали, без всяких вопросов.

hippi90 ★★★★★
()
Ответ на: комментарий от maxcom

Любой CA который выпишет левый сертификат мгновенно со скандалом вылетит из доверенных

Да, вспомним Symantec и Digicert и что с ними стало.

Fafhrd
()
Ответ на: комментарий от Belkrr

Ну если Вам так нужен Сбер, то в Лисе, можно просто добавить в исключения неверный сертификат выпущенный для конкретного сайта. Ставить корень совершенно необязательно…

QsUPt7S ★★
()
Ответ на: комментарий от superuser

потому что объяснить как поставить данный сертификат в любой бравзер сильно труднее, чем поставить их с десяток.
я иногда плачу, когда вытаскивают в соседний офис «посмотреть комп» женщины-бухгалтера…

pfg ★★★★★
()

Странно. У меня пишет, что там сертификат от GlobalSign. Даже несколько, ближайший закончится «25 Jan 2023».

th3m3 ★★★★★
()
Ответ на: комментарий от superuser

хужеее, невозможно написать инструкцию которую поймут все.
особенно в случаях когда не различают клавиатуру и монитор. про системник вообще…

pfg ★★★★★
()
Ответ на: комментарий от Fafhrd

даже боюсь представить. с позором были изгнаны из числа доверенных и никогда им больше не доверяли ?? :)

pfg ★★★★★
()

Что-то мне будущее в Яндекс-браузере не нравится... Тем более, пока будут другие варианты, я в здоровом уме никогда не буду юзать глючный Атом... :(

xwicked ★★☆
()
Ответ на: комментарий от mx__

не поняла вопроса,
по ссылке команды wget - корневой сертификат,
далее как и положено для ЦС - промежуточный сертификат, подписанный корневым, ну а промежуточным уже подписывается сертификат сайта.


Не по-колхозному же делать, надо соблюдать какие-то нормы и приличия, тем более нашли аж целых 2 браузера в хранилища которых они добавили корень минцифры

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

а куда ж вы денетесь, тем более если требуется ГОСТ-криптография

😢😢😢

xwicked ★★☆
()

А в чём вообще была проблема делать свои корневые центры сертификации, если есть свой браузер (Яндекс.Браузер)?

Shushundr ★★★★
()
Ответ на: комментарий от maxcom

WebTrust auditors MUST be listed as enrolled WebTrust practitioners on the CPA Canada website

Ну такое

upcFrost ★★★★★
()
Ответ на: комментарий от thegoldone

Странно чего они тогда свои браузеры впаривают попутно.

Как ни странно бы это звучало, но некоторым людям будет проще поставить браузер с уже вшитым сертификатом, чем качать сертификат и ставить его в уже стоящий браузер.

imul ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.