LINUX.ORG.RU

Сбербанк России перешёл на российский сертификат

 , ,


7

5

Срок действия сертификата SSL, используемого ПАО Сбербанк для защиты своих сервисов, истёк сегодня. Поскольку все корневые сертификаты контролируются США, а также из-за политики санкций, удостоверяющие центры, имеющие право выпустить новый сертификат, отказали ПАО Сбербанк в продлении.

Поэтому с сегодняшнего дня ПАО использует новый сертификат выданный от имени «Russian Trusted Sub CA». Загрузить его можно с сайта госуслуг. По указанной ссылке доступны файлы сертификата и инструкции для популярных ОС (Linux в списке отсутствует). Сайт госуслуг удостоверяется сертификатом, выданным Sectigo и поэтому пока доступен в любых браузерах.

Также новый сертификат уже встроен в браузеры Яндекс.браузер и Атом.

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: maxcom (всего исправлений: 4)
Ответ на: комментарий от arrecck

всё так. ещё и откосил от мобика т.к. айтишнег )))))))

mumpster ★★★★★
()
Ответ на: комментарий от vbr

Нет (…) Читать переписку никаким сертификатом никто не хотел.

Конечно же мы тебе верим-верим-верим, прямо отлегло с души 🤣

IRASoldier ★★
()

Сайт госуслуг удостоверяется сертификатом, выданным Sectigo и поэтому пока доступен в любых браузерах.

Блин, а это скоро пофиксят?

kvpfs ★★
()
Ответ на: комментарий от mx__

И что ? Что мы скрываем ? Странно как то.

Если ты честный гражданин, то нагнись и раздвинь булки для осмотра, уж коли начальник сказал

khrundel ★★★★
()
Ответ на: комментарий от maxcom

Ого. Сам верховный бог спустился к нам смертным.

keeper_b ★★★★
()
Ответ на: комментарий от no-dashi-v2

Про доверие не слыхал? Майор из КНДР - ну это такой себе бренд. РФия сумела умножить на ноль этот показатель к себе за последние годы.

kvpfs ★★
()
Ответ на: комментарий от UriZzz

Ох уж этот трищМайор, спит и видет - как бы @MozillaFirefox MitM атаку устроить.

А кто по-твоему продаёт базы всяким мошенникам? Не трищПолковник же, ему не по чину, он получает долю от майора

khrundel ★★★★
()

Поставил все сертификаты. Если заходить на https://sberbank.ru/ то соединение будет защищено. А если просто sberbank.ru то открывается по http.

Разве сервер не должен предложить клиенту Сбера https соединение по умолчанию???

cashalot
()
Последнее исправление: cashalot (всего исправлений: 1)
Ответ на: комментарий от kvpfs

Как по мне, то скорее наоборот - сей показатель к себе помножили на ноль как раз таки Европа и ихние господа.

UriZzz
()
Последнее исправление: UriZzz (всего исправлений: 1)

а в чем смысл, зачем его ставить? само управление https://online.sberbank.ru/CSAFront/index.do работает на другом сертификате.

wncpw
()
Последнее исправление: wncpw (всего исправлений: 1)
Ответ на: комментарий от grem

Стало. Намного лучше чем то, что ждало его в асэшай.

imul ★★★★★
()
Ответ на: комментарий от Sylvia

а куда ж вы денетесь, тем более если требуется ГОСТ-криптография

Перестать пользоваться услугами сбера. А если уже совсем не в моготу и прям хочется-хочется, использовать виртуальную машину и виртуализацию для запуска скрепного браузера с нужным корневым сертификатом.

Feonis ★★★
()
Ответ на: комментарий от wncpw

Может это репетиция ? Потом online тоже переведут, не дожидаясь когда 23 января ему не продлят …

mx__ ★★★★★
()
Ответ на: комментарий от annerleen

осталось законодательно запретить российским сайтам и серверам использовать ЦС отличный от одобренного партией, и да здравствует пресловутый Чебурнет.

Никто не мешает делать сайты под http

tiinn ★★★★★
()
Ответ на: комментарий от kvpfs

Если введут санкции против госуслуг.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от cashalot

Видимо, оставили для тех, у кого нет сертификата.

Aceler ★★★★★
() автор топика

не пойму, когда успел у меня в хром поставиться этот сертификат с признаком действительным. Может электронная подпись и криптоCSP автоматом поставили.

One ★★★★★
()

господа админы, почистите плиз этот полит срач с выдачей бана в отдельных случаях.

ЗЫ давно надо было корневой сертификат выпускать. но, лучше поздно, чем никогда :)

ergo ★★★
()
Последнее исправление: ergo (всего исправлений: 1)
Ответ на: комментарий от hobbit

В Яндекс.Браузере есть встроенный механизм, позволяющий использовать этот новый CA не для всего веба, а только для ограниченного списка доменов: https://www.gosuslugi.ru/tls

Можно попробовать добавить что-то похожее и в другие свободные программы.

kmeaw ★★★
()

Также новый сертификат уже встроен в браузеры Яндекс.браузер

Супер, я вообще проблем не заметил

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от bernd

ну или яндекс-браузер поставить для таких сайтов.

Сертификаты имеют хеши и никто не мешает хранить таблицу хешей или даже выпустивших ЦС оригинальных сертификатов.

AVL2 ★★★★★
()
Ответ на: комментарий от I-Love-Microsoft

Этот корневой, он ведь не только для сбера? Это вообще российский корневой для всего?

для всех, кто захочет свой сертификат, заверенный этим корневым.

ergo ★★★
()
Ответ на: комментарий от garik_keghen

Дичь, теперь только мобильные приложение.

Которое надо скачивать с сайта. Отличный план, надежный как швейцарские часы.

aiqu6Ait ★★★★
()

Уже год на яндекс браузере. А ты ещё нет.

ox55ff ★★★★★
()
Ответ на: комментарий от fsb4000

Ну есть такая теория, что ближе тот майор, который дальше. То есть, если человек живёт в России, то для него безопаснее закладки от АНБ и наоборот. На ЛОРе некоторые высказывались в этом стиле.

Я к этой теории отношусь скептически, поскольку если речь не про разведчиков, а про мелкую сошку, ничто не мешает «вражеским» спецслужбам обмениваться друг с другом списками компроматов, не особо это афишируя.

Только прошу, давайте не будем опять делить страны на «правильные» и «неправильные», как в удалённой ветке. Мне кажется, здесь есть что обсудить и не выходя за грань 5.3 :)

hobbit ★★★★★
()
Ответ на: комментарий от hobbit

то для него безопаснее закладки от АНБ

АНБ тебя легко возьмёт за жопу в любой стране Европы и других подмахивающих странах как только ты выедешь погреть на заграничном пляже эту самую жопу. Тащ майор РФ тебя только по прописке будет искать. И то если не лень будет.

ox55ff ★★★★★
()
Ответ на: комментарий от MozillaFirefox

товарищ майор получает возможность осуществлять MitM-атаку

Никакой прослушки не выйдет. Прослушка это тайные действия, а твой браузер прекрасно осведомлён какой сертификат используется.

ox55ff ★★★★★
()
Ответ на: комментарий от ergo

дык этож другое !!
в голливдуских боевиках показывают, что американцам верить можно, значит это правда !!
А сноуден не прав !! это американцы сказали, значит верить ему нельзя !!

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

в голливдуских боевиках показывают

Так работает мягкая сила.

ox55ff ★★★★★
()
Ответ на: комментарий от ox55ff

браузер показывает лишь то что сертификат удовлетворяет условиям цепочки доверия.
но не показывает какой именно сертификат привязан к данном сайту и от кого он.
да и думаю ты не проверяешь какой сайт с каким сертом у тебя открыт. работаее и ладно.
ну а костыль «certificate pinning» есть только у издранных.

pfg ★★★★★
()
Ответ на: комментарий от pfg

но не показывает какой именно сертификат привязан к данном сайту и от кого он.

В браузере можно посмотреть подробности о сертификате.

да и думаю ты не проверяешь какой сайт с каким сертом у тебя открыт. работаее и ладно.

Всё так. Так я и от тащ майора не бегаю. Предполагается, что те кто бегает, а так же ит задротыэнтузиасты отслеживают тему и поднимут гвалт, если начнётся mitm. Массовый mitm скрыть будет невозможно.

ox55ff ★★★★★
()
Ответ на: комментарий от MozillaFirefox

Не для всех ресурсов это сработает. Во-первых, в браузерах есть жестко зашитые правила в стиле «у google.com сертификат может быть только от такого-то УЦ и ни от какого иного». И если сертификат выдан кем-то иным, браузер заходить на google.com не станет (просто откажется наотрез).

Я бы на это сильно не надеялся. Для сертификатов которые добавлены пользователем вручную pinning не работает.

maxcom ★★★★★
()
Ответ на: комментарий от AVL2

ну так и тут тоже мгновенно вылезет.

Тут вопрос не в том будет это заметно или нет, а в том что по большому счету ничего не помешает использовать этот CA для mitm. Особенно когда он будет установлен у большого процента пользователей.

Этим он отличается от тех сертификатов, которые идут в комплекте и ОС или браузером. Потому что в случае такого их использование доверие к ним будет оперативно отозвано.

maxcom ★★★★★
()
Ответ на: комментарий от ox55ff

и часто ты туда смотришь ?? :)
если вообще об ентом думать надо пинать джава-скрипистов, чтоб через user.js проверять совпадение сертификатов с урлами со своим кастомным списком.

кто бегает от т-ща майора использует whonix и прочее прохвессиональное, настроенное и четко продуманное :)
а вот лоровские «неуловимые джо» просто писают кипятком на сковородку что ктото узнает статистику ихнего посещения проносайтов…

pfg ★★★★★
()
Ответ на: комментарий от pfg

если вообще об ентом думать надо пинать джава-скрипистов, чтоб через user.js проверять совпадение сертификатов с урлами со своим кастомным списком.

Насколько я знаю, какого-то способа детектировать mitm из js нет. На серверной стороне можно делать какие-то выводы по соответствию списка шифров и прочих особенностей TLS версии браузера/ос, но это не слишком надежная схема.

maxcom ★★★★★
()
Последнее исправление: maxcom (всего исправлений: 1)
Ответ на: комментарий от maxcom

вот и я о том же, не знаю среды user.js и что браузер дает ей читать.
если бы были параметры соединения: хотя бы урл и свойства сертификата, то некоторый костыль формат certificate pinning уже можно сделать…

pfg ★★★★★
()
Ответ на: комментарий от Sylvia

ГОСТ-криптография в OpenSSL, а не вбраузерах. Браузеры используют OpenSSL (системный или пакетом или пакет GnuTLS — в зависимости от настроек сборки) для работы с криптографией.

iZEN ★★★★★
()
Ответ на: комментарий от pfg

Так я же написал, что меня не волнует и я сертификаты не смотрю. Это нужно тем, кто живёт в страхе в ожидании тащ майора по середине. Если случится массовый mitm, то я узнаю по гвалту со стороны хабрахабра.

ox55ff ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.