LINUX.ORG.RU

Сбербанк России перешёл на российский сертификат

 , ,


7

5

Срок действия сертификата SSL, используемого ПАО Сбербанк для защиты своих сервисов, истёк сегодня. Поскольку все корневые сертификаты контролируются США, а также из-за политики санкций, удостоверяющие центры, имеющие право выпустить новый сертификат, отказали ПАО Сбербанк в продлении.

Поэтому с сегодняшнего дня ПАО использует новый сертификат выданный от имени «Russian Trusted Sub CA». Загрузить его можно с сайта госуслуг. По указанной ссылке доступны файлы сертификата и инструкции для популярных ОС (Linux в списке отсутствует). Сайт госуслуг удостоверяется сертификатом, выданным Sectigo и поэтому пока доступен в любых браузерах.

Также новый сертификат уже встроен в браузеры Яндекс.браузер и Атом.

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: maxcom (всего исправлений: 4)
Ответ на: комментарий от ex-kiev

С магазина самсунг не удалили, обновляюсь с него, а там посмотрим.

garik_keghen ★★★★★
()
Ответ на: комментарий от AndrK189100

Доверие со стороны сайтов тут вообще не при чём.

После установки корневого сертификата, твой браузер начинает доверять всем сертификатам, выпущенным отечественным УЦ. Товарищ майор получает у этого отечественного УЦ сертификат на домен linux.org.ru (т.к. товарищу майору отечественный УЦ не откажет), дальше с помощью оборудования DPI (которое стоит почти у каждого провайдера, а вдобавок на сетях стоит ещё и такое же оборудование, принадлежащее Роскомнадзору) товарищ майор получает возможность осуществлять MitM-атаку, расшифровывая трафик между тобой и ЛОРом. Твой браузер будет считать, что всё ок, ведь сертификат выписан УЦ, чей корневой сертификат ты сам себе загнал в доверенные. А вот если бы не загонял, то браузер бы выдал стандартное сообщение «тут это, сертификат выпущен чёрт знает кем, я такого УЦ не знаю, давай не пойдём туда?».

Не для всех ресурсов это сработает. Во-первых, в браузерах есть жестко зашитые правила в стиле «у google.com сертификат может быть только от такого-то УЦ и ни от какого иного». И если сертификат выдан кем-то иным, браузер заходить на google.com не станет (просто откажется наотрез).

Во-вторых, сам сайт может браузеру дать такое указание. см (HTTP Public Key Pinning), но для этого надо, чтобы ты хоть раз побывал на сайте, до того, как товмайор начнёт свои грязные делишки, ну и чтобы владелец сайта это всё настроил.

MozillaFirefox ★★★★★
()
Последнее исправление: MozillaFirefox (всего исправлений: 4)
Ответ на: комментарий от thegoldone

ну так у них там обычный rsa сертификат. При чем тут гост?

Кстати, есть интересный продукт rutoken connect. Вроде как позволяет любой браузер ходить по сайтам с сертифкатами гост. Под линукс не работает, только под вин и мак вроде.

AVL2 ★★★★★
()
Ответ на: комментарий от mx__

огрничить это юзером и браузером

Вот сюда +1. Хотя, как говорится, всякая проблема дизайна безопасности решается введением дополнительного слоя юзера и браузера. Кроме проблемы чрезмерного количества слоёв юзеров и браузеров.

pr849
()
Ответ на: комментарий от maxcom

ну так и тут тоже мгновенно вылезет.

Хромы точно контролируют отпечатки гуглосервисов и при попытке открыть гуглопочту, например, с левым сертификатом, сразу настучат.

AVL2 ★★★★★
()
Ответ на: комментарий от maxcom

И еще хорошо платят.

Но в этой части поддержу. Свой ЦС должен был быть уже лет десять как и должен уже давно проходить аудит, как все.

AVL2 ★★★★★
()

Ну, пользователям сбера не привыкать страдать. Интересно как скоро этот серт заблэклистят :)

KillTheCat ★★★★★
()

о а кстати этож получается что и вэбапп сберовский перестанет работать?

Thero ★★★★★
()
Ответ на: комментарий от vbr

так казахстан же вроде даже не скрывал что целью сертификата является возможность товарищу майору читать переписку киберпреступников и прочих подозреваемых, под типа честное слово что без злоупотреблений..

Thero ★★★★★
()
Ответ на: комментарий от Aceler

не там при открытии говорят у сайта сертификат от лысого хрена, ты говоришь да я доверяю этому сертификату и до конца сессии появляется у браузера ограниченное доверие к сертификату.

Thero ★★★★★
()
Ответ на: комментарий от maxcom

Любой CA который выпишет левый сертификат мгновенно со скандалом вылетит из доверенных.

Ну-ну, не стоит так драматизировать… Может и со скандалом, но точно не мгновенно - кому надо, тот воспользоваться успеет. Да еще может и простят - мало ли, ошиблись люди.

BydymTydym
()
Ответ на: комментарий от Sylvia

Зато CNNIC, который явно спалился на MITM, долго был в списке доверенных

TheAnonymous ★★★★★
()
Ответ на: комментарий от Thero

так казахстан же вроде даже не скрывал что целью сертификата является возможность товарищу майору читать переписку киберпреступников и прочих подозреваемых, под типа честное слово что без злоупотреблений..

Нет. Тот сертификат, который хотели добавить в браузер, используется совсем для других целей. Для удостоверения государственных сайтов, для работы многих госорганов и тд.

Собственно по факту он стоит у большинства казахстанцев, т.к. требуется для работы с государственными сайтами. Тут вопрос в удобстве и независимости .

Был другой сертификат, который использовали для выборочной блокировки некоторых запрещённых страниц на сайтах, чтобы дать возможность пользователям посещать остальные страницы. Его добавлять в доверенные никто не предлагал.

Читать переписку никаким сертификатом никто не хотел.

vbr ★★★★
()
Последнее исправление: vbr (всего исправлений: 1)
Ответ на: комментарий от R_He_Po6oT

Домохозяйки вполне могут установить Yandex Browser потому что Chrome ввёл санкции и больше не показывает российские сайты.

fsb4000 ★★★★★
()
Ответ на: комментарий от firkax

Ввожу в хромиум на смартфоне без протокола - открывается http, открыть по https не даёт. Ввожу в яндекс.браузере на смартфоне без протокола - сразу открывает по https.

grem ★★★★★
()
Ответ на: комментарий от maxcom

В https может и нет, зато в браузере возможность перенаправить на http без действительного для самого браузера сертификата запросто.

Вон осенью прошлого года куча необновлённых до определённой степени windows 7 фактически остались без интернета из-за слишком старого корневого сертификата.

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 2)

В AUR уже завезли

aur/ca-certificates-russian-root 20220926-1 (1) (1,00)
    Russian root certificates
greenman ★★★★★
()
Ответ на: комментарий от firkax

Есть мнение, что ov/ev - ненужные свистелки.

После того, как получил ov на компанию, используя только свой гражданский паспорт - это и моё мнение тоже.

muon ★★★★
()
Ответ на: комментарий от mx__

Не смущает, что у тебя уже установлены 100500 CA?

ЗЫ Народ, хватит ныть! Так или иначе скоро перейдем для всех внутренних ресурсов на свои сертификаты. Смеритесь с этим. Штаты так или иначе отрубят все как бы независимые let’s encrypt и ему подобные.

sagittarius
()
Ответ на: комментарий от Thero

удолил яндекс браузер

Белкам-истеричкам нужно ещё мозг удалить.

sagittarius
()
Ответ на: комментарий от MozillaFirefox
  1. В обычном случае они не откажут противоположной стороне.

  2. И что ? Что мы скрываем ? Странно как то.

mx__ ★★★★★
()
Ответ на: комментарий от MozillaFirefox

Можно подумать,что провайдер или работодатель тебе сертификат подменить со своей стороны не могут.

grem ★★★★★
()
Ответ на: комментарий от Sylvia

Для хромых браузеров

Спасибо, в chromium тоже работает, пишет тут, что «Сертификаты установлены».

novus ★☆
()
Последнее исправление: novus (всего исправлений: 3)

В firefox 102.3.0esr в отдельном профиле сделал так:
1. Скачал https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer
2. Настройки->Приватность и защита->Сертификаты, Просмотр сертификатов->Центры сертификации->Импортировать...->Открыть russian_trusted_root_ca.cer

Вроде, работает.

P.S. Использую отдельный профиль firefox для банков/покупок и т.п.

Покритикуйте.

novus ★☆
()
Последнее исправление: novus (всего исправлений: 1)
Ответ на: комментарий от R_He_Po6oT

А как вы скачаете браузер не имея браузера? :)

я тебе написал о том как будут действовать домохозяйки по моему мнению. То есть будут устанавливать браузер который работает, а не разбираться с сертификатами.

сайт яндекса пока доступен из всех браузеров без установки каких-либо сертификатов.

А даже если не будет доступен, в русских дистрибутивах Linux будет всё предустановлено и в РФ просто победит Linux, если там нужно будет меньше красноглазить чем с Windows или Mac.

fsb4000 ★★★★★
()
Ответ на: комментарий от mx__

Я бы запускал firefox в виртуалке.

Странно мне, что нет howto от сбера для firefox.

novus ★☆
()
Последнее исправление: novus (всего исправлений: 1)
Ответ на: комментарий от fsb4000

сайт яндекса пока доступен из всех браузеров

Редиректит на dzen.ru, где нет упоминаний о браузере.
Без конкретной ссылки на скачивание бедная домохозяйка ничего не найдёт.

novus ★☆
()
Ответ на: комментарий от thegoldone

ещё один недопонявший. там расписаны варианты для всех распространённых систем кроме Линукса.

mumpster ★★★★★
()
Ответ на: комментарий от thegoldone

нет, там rsa:4096, гостовские во всяких рутокенах для юриков.

arrecck ★★★
()
Ответ на: комментарий от MozillaFirefox

ну, то есть АНБ и американских корпорациям ты доверяешь больше? ;-)

а ты смешной…

ладно бы так думать ещё до Сноудена и Ассанжа…

mumpster ★★★★★
()
Ответ на: комментарий от R_He_Po6oT

Если венда 10 то там как минимум IE11 & Edge. Если раньше - то iexplore ftp.mozilla.org.

dv76 ★★★★
()
Ответ на: комментарий от AVL2

ничего. парень просто боится, что выпустят серт подменку для какого-нить гугла или лора чтобы вычислять по айпи. но как только это случится единожды доверие будет подорвано навсегда, его просто удалят и забудут. проще банк сменить, чем рисковать баблом без шифрования.

bernd ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.