Исправление MozillaFirefox, (текущая версия) :
Доверие со стороны сайтов тут вообще не при чём.
После установки корневого сертификата, твой браузер начинает доверять всем сертификатам, выпущенным отечественным УЦ. Товарищ майор получает у этого отечественного УЦ сертификат на домен linux.org.ru (т.к. товарищу майору отечественный УЦ не откажет), дальше с помощью оборудования DPI (которое стоит почти у каждого провайдера, а вдобавок на сетях стоит ещё и такое же оборудование, принадлежащее Роскомнадзору) товарищ майор получает возможность осуществлять MitM-атаку, расшифровывая трафик между тобой и ЛОРом. Твой браузер будет считать, что всё ок, ведь сертификат выписан УЦ, чей корневой сертификат ты сам себе загнал в доверенные. А вот если бы не загонял, то браузер бы выдал стандартное сообщение «тут это, сертификат выпущен чёрт знает кем, я такого УЦ не знаю, давай не пойдём туда?».
Не для всех ресурсов это сработает. Во-первых, в браузерах есть жестко зашитые правила в стиле «у google.com сертификат может быть только от такого-то УЦ и ни от какого иного». И если сертификат выдан кем-то иным, браузер заходить на google.com не станет (просто откажется наотрез).
Во-вторых, сам сайт может браузеру дать такое указание. см (HTTP Public Key Pinning), но для этого надо, чтобы ты хоть раз побывал на сайте, до того, как товмайор начнёт свои грязные делишки, ну и чтобы владелец сайта это всё настроил.
Исправление MozillaFirefox, :
Доверие со стороны сайтов тут вообще не при чём.
После установки корневого сертификата, твой браузер начинает доверять всем сертификатам, выпущенным отечественным УЦ. Товарищ майор получает у этого отечественного УЦ сертификат на домен linux.org.ru (т.к. товарищу майору отечественный УЦ не откажет), дальше с помощью оборудования DPI (которое стоит почти у каждого провайдера, а вдобавок на сетях стоит ещё и такое же оборудование, принадлежащее Роскомнадзору) товарищ майор получает возможность осуществлять MitM-атаку, расшифровывая трафик между тобой и ЛОРом. Твой браузер будет считать, что всё ок, ведь сертификат выписан УЦ, чей корневой сертификат ты сам себе загнал в доверенные. А вот если бы не загонял, то браузер бы выдал стандартное сообщение «тут это, сертификат выпущен чёрт знает кем, я такого УЦ не знаю».
Не для всех ресурсов это сработает. Во-первых, в браузерах есть жестко зашитые правила в стиле «у google.com сертифкат может быть только от такого-то УЦ и ни от какого иного». И если сертификат выдан кем-то иным, браузер заходить на google.com не станет. Во-вторых, сам сайт может браузеру дать такое указание. см (HTTP Public Key Pinning), но для этого надо, чтобы ты хоть раз побывал на сайте, до того, как товмайор начнёт свои грязные делишки.
Исправление MozillaFirefox, :
Доверие со стороны сайтов тут вообще не при чём.
После установки корневого сертификата, твой браузер начинает доверять всем сертификатам, выпущенным отечественным УЦ. Товарищ майор получает у этого отечественного УЦ сертификат на домен linux.org.ru (т.к. товарищу майору отечественный УЦ не откажет), дальше с помощью оборудования DPI (которое стоит почти у каждого провайдера, а вдобавок на сетях стоит ещё и такое же оборудование, принадлежащее Роскомнадзору) товарищ майор получает возможность осуществлять MitM-атаку, расшифровывая трафик между тобой и ЛОРом. Твой браузер будет считать, что всё ок, ведь сертификат выписан УЦ, чей корневой сертификат ты сам себе загнал в доверенные. А вот если бы не загонял, то браузер бы выдал стандартное сообщение «тут это, сертификат выпущен чёрт знает кем, я такого УЦ не знаю».
Не для всех ресурсов это сработает. Во-первых, в браузерах есть жестко зашитые правила в стиле «у google.com сертифкат может быть только от такого-то УЦ и ни от какого иного». И если сертификат выдан кем-то иным, браузер заходить на google.com не станет. Во-вторых, сам сайт может браузеру это сказать. см (HTTP Public Key Pinning).
Исправление MozillaFirefox, :
Доверие со стороны сайтов тут вообще не при чём.
После установки корневого сертификата, твой браузер начинает доверять всем сертификатам, выпущенным отечественным УЦ. Товарищ майор получает у этого отечественного УЦ сертификат на домен linux.org.ru (т.к. товарищу майору отказать не имеют права), дальше с помощью оборудования DPI (которое стоит почти у каждого провайдера, а вдобавок на сетях стоит ещё и такое же оборудование, принадлежащее Роскомнадзору) получает возможность осуществлять MitM-атаку, расшифровывая трафик между тобой и ЛОРом.
Исходная версия MozillaFirefox, :
Доверие со стороны сайтов тут вообще не при чём.