LINUX.ORG.RU

Сбербанк России перешёл на российский сертификат

 , ,


7

5

Срок действия сертификата SSL, используемого ПАО Сбербанк для защиты своих сервисов, истёк сегодня. Поскольку все корневые сертификаты контролируются США, а также из-за политики санкций, удостоверяющие центры, имеющие право выпустить новый сертификат, отказали ПАО Сбербанк в продлении.

Поэтому с сегодняшнего дня ПАО использует новый сертификат выданный от имени «Russian Trusted Sub CA». Загрузить его можно с сайта госуслуг. По указанной ссылке доступны файлы сертификата и инструкции для популярных ОС (Linux в списке отсутствует). Сайт госуслуг удостоверяется сертификатом, выданным Sectigo и поэтому пока доступен в любых браузерах.

Также новый сертификат уже встроен в браузеры Яндекс.браузер и Атом.

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: maxcom (всего исправлений: 4)
Ответ на: комментарий от fsb4000

Американский товарищ майор

Так я и говорю, товарищи майоры разные. А так, ничем больше не отличается.

no-such-file ★★★★★
()
Ответ на: комментарий от sagittarius

так-то будет вообще не до интернета скоро. что там как будет уже не важно.

Thero ★★★★★
()
Ответ на: комментарий от hobbit

Только прошу, давайте не будем опять делить страны на «правильные» и «неправильные», как в удалённой ветке. Мне кажется, здесь есть что обсудить и не выходя за грань 5.3 :)

Это зависит от того, какой философии ты придерживаешься: Томаса Гоббса, Джона Локка или Иммануила Канта. Поклонники последнего из перечисленных занимаются как раз этим и устанавливают чёткую грань.

iZEN ★★★★★
()
Последнее исправление: iZEN (всего исправлений: 1)
Ответ на: комментарий от iZEN

Когда я пытался осилить «Критику чистого разума», я понял, что просто для понимания того, о чём речь, надо сначала прочесть ещё пару десятков книг более ранних авторов. На сём знакомство с Кантом пока и закончилось…

hobbit ★★★★★
()
Ответ на: комментарий от One

Потому что это может превратить весь остальной HTTPS трафик в тыкву и товарищ майор сможет осуществлять MITM.

Meyer ★★★★★
()
Ответ на: комментарий от arrecck

это не совсем Снегов. я затрудняюсь точно перевести, Сгорыкатов, как-то так.

mumpster ★★★★★
()
Ответ на: комментарий от cashalot

Разве сервер не должен предложить клиенту Сбера https соединение по умолчанию???

вообще не обязан. Этот редирект надо специально настраивать в реверс-прокси или в самом веб-приложении.

AVL2 ★★★★★
()
Ответ на: комментарий от maxcom

Тут вопрос не в том будет это заметно или нет, а в том что по большому счету ничего не помешает использовать этот CA для mitm. Особенно когда он будет установлен у большого процента пользователей.

Как и любой ЦА.

Этим он отличается от тех сертификатов, которые идут в комплекте и ОС или браузером. Потому что в случае такого их использование доверие к ним будет оперативно отозвано.

Да тоже не так чтобы быстро отзывали. Симантек, по моему год мурыжили за митм.

В реальности в комплекте с браузером идет просто проплаченый сертификат. Мы просто привыкли и считаем это нормой. Никто и ничего нам не гарантировал, это договоренности между госорганами и капиталистами.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Как и любой ЦА.

Подумалось: wasm есть, что мешает собственный шифровальщик трафика и собственный публичный ключ в браузер отдавать? Он (wasm) как раз для таких числодробилок и сделан.

dimgel ★★★★★
()
Последнее исправление: dimgel (всего исправлений: 1)
Ответ на: комментарий от Thero

дык любому сертификату ты веришь на честное слово производителей бравзеров и осей, которые впиховывают тебе пакет корневых сертификатов :)
ну а любая политическая система может «корректировать» условия подконтрольных людей.
что у нас что в америке :) линус помнится спросили «обращались ли к нему гос.спец.структуры» он в ответ только поулыбался и промолчал.

pfg ★★★★★
()
Ответ на: комментарий от iZEN

Браузеры используют библиотеки nss, как мозилла так и хром, openssl или gnutls используют так называемые поделки.

Но ГОСТ из коробки есть в Яндекс Браузере, остальное придется проходить увлекательный квест по включению поддержки

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

Но ГОСТ из коробки есть в Яндекс Браузере, остальное придется проходить увлекательный квест по включению поддержки

Нет его там из коробки. Чтобы он там заработал нужен еще КриптоПро.

maxcom ★★★★★
()
Ответ на: комментарий от maxcom

Если только он сам его находит при этом автоматически.
ГОСТ был нужен только на одном ноутбуке, где КриптоПро как раз есть.
А я как-то обхожусь без него и даже сайт не припомню гост-only чтобы проверить

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

Браузеры используют библиотеки nss, как мозилла так и хром

Ага — libnss3.so, libnssutil3.so, libssl3.so.

iZEN ★★★★★
()
Последнее исправление: iZEN (всего исправлений: 1)

Linux в списке отсутствует

Если кому надо, по-быстрому с утра наговнокожено собственный велосипед, для линуксов, тупо из лени добавлять руками. Ошибки, а-ля пробелы в путях, обрабатывать также лень, сорян.

SkyMaverick ★★★★★
()
Ответ на: комментарий от pfg

твой личный ключ будет работать только в товоих личных машинах :)

Я про отдачу публичного ключа сервера клиентам. По крайней мере трафик от клиента серверу (логин-пароль) таким образом шифровать без проблем. А как от сервера клиенту - туплю. Вроде слышал краем уха, что клиентский сертификат создаётся на лету, но это ж долго.

dimgel ★★★★★
()
Ответ на: комментарий от dimgel

Это недолго. Совсем.
И сервер и клиент создают свои ключи ecdsa (rsa можно забыть уже на данном этапе тк поддержка ECDHE есть уже везде)

Одна или обе стороны обязаны авторизоваться, поэтому сервер (обычно) подписывает эфемерный ключ ключом сертификата,

С использованием эфемерных ключей согласуется ключ симметричного шифрования aes или chacha

На современных железках это все достаточно быстро


И да, траффик расшифровать как правило не удастся, это называется perfect forward secrecy.

Перехват и расшифровка возможны только если mitm работает как прокси и перешифровывает трафик

Sylvia ★★★★★
()
Последнее исправление: Sylvia (всего исправлений: 1)

А может кто-нибудь нормально объяснить, почему нужно ставить два сертификата, а не один?

Xenius ★★★★★
()

Midori спокойно переадресует на http, ставя пометку «неизвестный уровень безопасности».

Vudod ★★★★★
()
Ответ на: комментарий от dimgel

гибридное шифрование. несимметричное шифрование очень медленное и затратное, но зато удобное изза наличия пары открытый/закрытый ключ.
симметричное шифрование очень быстрое и имеет возможности аппаратного ускоренния. но минус - ключ шифрации и дешифрации один.
гибридное аккурат совмещает оба плюса и исключает оба минуса :)

pfg ★★★★★
()
Ответ на: комментарий от question4

Нет:

Не удалось найти страницу, находящуюся по адресу “sbrf.ru”. Проверьте адрес на наличие ошибок и попробуйте снова.

Unacceptable TLS certificate

Vudod ★★★★★
()
Ответ на: комментарий от Xenius

один «корневой», второй «рабочий».
рабочих обычно несколько и создаются на короткие сроки. через рабочий подписываются сертификаты пользователей. ну или другие рабочие сертификаты.
любой рабочий проверяется через корневой. корневой можно проверить только вручную.
рабочий можно досрочно забанить через списки доверия корневого. корневой забанить сложнее и будут большие репутационные потери.

pfg ★★★★★
()
Ответ на: комментарий от Xenius

ставить надо только корневой сертификат минцифры

промежуточный сертификат должен быть предоставлен сервером

цепь доверия

корень - промежуточный сертификат - сертификат сервера

напрямую корневым подписывают только в колхозе :D

Sylvia ★★★★★
()
Ответ на: комментарий от grem

Можно подумать,что провайдер или работодатель тебе сертификат подменить со своей стороны не могут.

Это как?????

Если корневой не установить, конечно...

Shadow ★★★★★
()
Ответ на: комментарий от maxcom

Да, но для работы с сайтами достаточно демо режима

AVL2 ★★★★★
()
Ответ на: комментарий от Sylvia

Я использую Хромиум ГОСТ Под windows можно использовать рутокен коннект

AVL2 ★★★★★
()
Ответ на: комментарий от Sylvia

напрямую корневым подписывают только в колхозе :D

А вот это было обидно. Для небольших СА сопровождать лишний слой смысла нет. Про национальные или большие корпоративные цс, конечно, речь не идёт.

AVL2 ★★★★★
()
Ответ на: комментарий от Rost

вангую гугл с мозиллой внесут его в свой ЧС

Мозиллу можно будет пересобрать с переносом сертификата из ЧС в доверенные корневые.

tiinn ★★★★★
()
Ответ на: комментарий от MozillaFirefox

Хех. Я так живу уже лет десять. Специальный профиль для ФФ, Банк называется. Юнити даже умеет его отдельно от остального ФФ отслеживать в лончере, по иконке в его.desktop.

AlexM ★★★★★
()
Ответ на: комментарий от MozillaFirefox

Звучит очень увлекательно. А в рамках какой процессуальной процедуры этот ваш майор будет проводить вот это вот все и с чьей санкции?

aiqu6Ait ★★★★
()
Последнее исправление: aiqu6Ait (всего исправлений: 1)
Ответ на: комментарий от Aceler

А откуда уверенность, что Internet Security Research Group, стоящая за Letsencrypt, возьмётся иметь дело с лицом/организацией из санкционных списков? Так-то, несмотря на отсутствие денежного вознаграждения, это вполне себе предприятие, находящееся в правовом поле США...

AlexM ★★★★★
()
Ответ на: комментарий от grem

Ну, без согласия - нет, не могут. Но знаю, что в некоторых местах этот самый митм - единственный способ выполнять свои повседневные производственные обязанности. Так что, добровольно и с песнями ставишь этот сертификат себе и не жужжишь.

AlexM ★★★★★
()
Ответ на: комментарий от Sylvia

напрямую корневым подписывают только в колхозе

В сертификатах безопасности вообще-то отсутствует секретный ключ, присутствует только публичный ключ, заверенный цифровой подписью с использованием секретного ключа. Пользователям сертификата доступен публичный ключ, с помощью которого (и пользовательского секретного ключа, если нужно) формируется сеансовый ключ и канал потокового шифрования с сервером. В этом вся суть сертификации и асимметричного шифрования.

iZEN ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.