LINUX.ORG.RU

Сбербанк России перешёл на российский сертификат

 , ,


7

5

Срок действия сертификата SSL, используемого ПАО Сбербанк для защиты своих сервисов, истёк сегодня. Поскольку все корневые сертификаты контролируются США, а также из-за политики санкций, удостоверяющие центры, имеющие право выпустить новый сертификат, отказали ПАО Сбербанк в продлении.

Поэтому с сегодняшнего дня ПАО использует новый сертификат выданный от имени «Russian Trusted Sub CA». Загрузить его можно с сайта госуслуг. По указанной ссылке доступны файлы сертификата и инструкции для популярных ОС (Linux в списке отсутствует). Сайт госуслуг удостоверяется сертификатом, выданным Sectigo и поэтому пока доступен в любых браузерах.

Также новый сертификат уже встроен в браузеры Яндекс.браузер и Атом.

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: maxcom (всего исправлений: 4)
Ответ на: комментарий от AVL2

небольшие ЦА свои корневые сертификаты пропихнуть никуда не смогут, балабаса не хватит :)
поэтому они подписывают свои «рабочие» сертификаты у больших ЦА, которые уже пропиховывают свои корневые сертификаты в бравзеры и оси.
получается цепочка чуть длиннее. но полностью доверенная.

pfg ★★★★★
()
Ответ на: комментарий от iZEN

ты это к чему? я знаю (хотя бы «на пальцах») как это работает, хоть и не могу ответить также, как ответил в суде мистер Диффи :D

Sylvia ★★★★★
()
Ответ на: комментарий от pfg

не на честное слово, а на обоснованные и в достаточной степени прозрачные механизмы их работы. и не верю, вера для людей. шизовые газлайт тейки игнорируем.

Thero ★★★★★
()

Видимо, пришла пора разобраться что такое профили в FireFox.

Вот только я не понял такую вещь: независимо от того, в каком интерфейсе происходит управление профилями (встроенный в FireFox или по ключу -p), переключиться на другой профиль без перезапуска FireFox невозможно. Можно только установить профиль «по умолчанию», перезрузить FireFox, и тогда браузер начнет использовать заданный профиль.

Я правильно понимаю?

Xintrea ★★★★★
()
Ответ на: комментарий от Thero

угу, все описанные механизмы красиво описаны.
но вот конкретно ты перепроверял сертификаты хоть раз по указанным параметрам ?? :) или хотя бы вникал в алгоритмы работы красивого описания
или просто веря на слово мозилле и ее аудиту просто берешь и ставишь сертификаты в систему ??
сильно думаю второе.

pfg ★★★★★
()
Ответ на: комментарий от Sylvia

к этой фразе:

напрямую корневым подписывают только в колхозе

Если что-то подписывают, то это что-то (документ) подписывают цифровой подписью, которая есть математическая комбинация секретного ключа, публичного ключа (из сертификата) и хэша (подписываемого документа), чтобы подпись невозможно было подделать, расшифровав секретный ключ.

В цифровых сертификатах присутствует: имя владельца (основной атрибут), его публичный ключ, заверенный его же цифровой подписью (самоподписанный) или цифровой подписью удостоверяющего центра (CA), имя удостоверяющего центра и политику использования сертификата.

iZEN ★★★★★
()
Ответ на: комментарий от maxcom

Согласен, это большая проблема. Если сертификат будет скомпрометирован - любым способом — он не будет автоматически отозван. Ставили вручную, удаляйте вручную.

С другой стороны, угроза, при которой подобный сертификат, будучи установленный как корневой прямо у производителей браузеров, будет отозван просто потому что он русский, куда более вероятна.

P.S. Думаю, новость о компрометации появится на ЛОРе в числе первых, и мы в безопасности. Также в безопасности те, кто ставит сертификат через механизмы дистрибутивов, отзыв или замена прилетят автоматически.

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Xintrea

Вот только я не понял такую вещь: независимо от того, в каком интерфейсе происходит управление профилями (встроенный в FireFox или по ключу -p), переключиться на другой профиль без перезапуска FireFox невозможно. Можно только установить профиль «по умолчанию», перезрузить FireFox, и тогда браузер начнет использовать заданный профиль.

Я правильно понимаю?

-new-instance

Open new instance, not a new window in running instance, which allows multiple copies of application to be open at a time.

firefox -new-instance -P "Another Profile"

https://wiki.mozilla.org/Firefox/CommandLineOptions#User_profile

https://support.mozilla.org/en-US/questions/1231994

Кроме того, следует учитывать, что

-no-remote and -new-instance are now largely pointless and may be removed at some point. See https://groups.google.com/forum/#!topic/mozilla.dev.platform/Vz-L_of5WZE

MozillaFirefox ★★★★★
()
Последнее исправление: MozillaFirefox (всего исправлений: 10)
Ответ на: комментарий от Aceler

В Казахстане же пытался. Или где? Либо я вообще с чем-то другим путаю.

grem ★★★★★
()
Ответ на: комментарий от Aceler

Если очень кратко - оборудование провайдера «перепаковывает» https-трафик.

https://habr.com/post/303736/

Как это устраивается с технической стороны - гугли «HTTPS MitM», например, можно у себя локально поиграться с https://earthly.dev/blog/mitmproxy/

MozillaFirefox ★★★★★
()
Последнее исправление: MozillaFirefox (всего исправлений: 7)
Ответ на: комментарий от MozillaFirefox

Ага, только для этого провайдеру надо засунуть свой сертификат мне в доверенные. Я и спрашиваю: как?

Aceler ★★★★★
() автор топика
Ответ на: комментарий от Aceler

Как в Казахстане: «мы начали MitM, если хотите дальше пользоваться интернетом, поставьте сертификат себе сами, иначе вам будет тяжко пользоваться интернетом».

MozillaFirefox ★★★★★
()
Последнее исправление: MozillaFirefox (всего исправлений: 1)
Ответ на: комментарий от MozillaFirefox

Ну это слишком очевидно.

Aceler ★★★★★
() автор топика

Тему не читал, а что уже есть фичреквест на «ручной» контроль сертификатов в браузере - подтверждать при первом обращении к ресурсу и при каждой смене ресурсом сертификата (как ssh)?

vvn_black ★★★★★
()
Последнее исправление: vvn_black (всего исправлений: 1)

В топку вместе с Сбером, Яндыхом и прочим мусором…

cheez ★★★
()

Для добавления в сертификат браузера Opera (в gentoo, но скорее подойдёт и для других chromium-based браузеров), я сделал сделующее:

  • скачал корневой сертификат russian_trusted_root_ca.cer с сайта госуслуг;
  • сконвертировал его из бинарного в Base64: openssl x509 -inform DER -in russian_trusted_root_ca.cer -out russian_trusted_root_ca.crt;
  • в настройках браузера opera://settings/certificates (chrome://settings/certificates) перешёл на вкладку Authorities и импортировал сконвертированный сертификат russian_trusted_root_ca.crt, выбрав для него опцию проверки сайтов.

В списке сертификатов на вкладке Authorities он отображается как

org-The Ministry of Digital Development and Communications
    Russian Trusted Root CA

Там же, при необходимости, его можно удалить.

P.S.
Возможно, конвертация и не нужна, не проверял.
Google Chrome после импорта через Opera тоже видит этот сертификат.

После конвертации сожержимое для корневого сертификата совпадает с содержимым из файла russiantrustedca.pem для MacOS, который заодно содержит «выпускающий сертификат» - кстати, для чего он нужен? При попытке импортировать .pem, содержащий оба сертификата, «выпускающий» не может быть импортирован, о чём вываливается ошибка, но «корневой» при этом импортируется успешно.

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 3)
Ответ на: комментарий от aiqu6Ait

У меня приложение было установлено из play market. Какими-то образом я, проигнорировав первоначальное предложение обновить, позже нашёл в самом приложении нашёл предложение проверить обновление - скачалось с сайта. После этого приложение уже само обновляется без перехода на сайт в явном виде.

grem ★★★★★
()
Последнее исправление: grem (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.