LINUX.ORG.RU

Подробная инструкция по установке русских сертификатов

 , , ,


1

3

Автор темы Сбербанк России перешёл на российский сертификат ограничил возможность комментирования двумя звёздочками, что странно вельми, я 17 лет тут, но пишу мало:

Необходимо уточнить, что ни в коем случае не следует рассматривать рейтинг как показатель некой личной крутизны. Это лишь показатель активности человека на форуме.

Странное ограничение

Без паники господа! Качаете сертификат для OS Windows и добавляете в корневые сертификаты в браузер и всё работает, по крайней мере в chromium, если нужна подробная инструкция пишите, хотя их очень много в интернете.

На https://www.gosuslugi.ru/crt лежат сертификаты для Android, OS Windows, MacOS, iOS.

а. В обсуждении много раз упоминается опасность установки корневых сертификатов, но я так и не понял в чём опасность добавления к длинному списку сертификатов стран НАТО русского сертификата?

б. Как установить сертификат, возможна ли выборочная установка для разных профилей и режимов запуска ( инкогнито )?

в. Установка сертификатов удалённо?

★★

но я так и не понял в чём опасность добавления к длинному списку сертификатов стран НАТО русского сертификата?

Это дает возможность нашим спецслужбам без каких либо проблем посмотреть весь твой трафик. На зарубежные спецслужбы как бы пофиг. А вот это уже напрягает.

Zhbert ★★★★★
()
Ответ на: комментарий от xmikex

выпустить свой «левый» сертификат на основе русского корневого сертификата для произвольного сайта, к примеру, для гугл.ком и тем самым прочитать твое https-общение с гуглом. или иным сайтом.

pfg ★★★★★
()
Ответ на: комментарий от xmikex

Весь. Создаётся фальшивый сертификат для google.com, подписывается сертификатом минцифры, и устраивается MITM. Если такое обнаружится, правда, то будет большой шум и потеря репутации минцифры навсегда.

TeopeTuK ★★★★
()
Ответ на: комментарий от flant

Даже не то, чтобы все равно. Скорее зависит от указа сверху, думаю. Будет приказ все расшифровывать — будут расшифровывать. «Репутация» тут не играет особой роли уже.

Zhbert ★★★★★
()

а) многие почему-то иностранным спецслужбам доверяют больше чем нашим, и поэтому больше допускают установку подконтрольных им сертификатов чем наших

б) about:preferences, там вкладка «приватность и защита», листаешь вниз до раздела «сертификаты», кнопка «просмотр сертификатов», в открывшемся новом окна вкладка «ццентры сертификации», кнопка «импортировать», выбираешь файл, ставишь галочку «для идентификации веб-сайтов», подтверждаешь.

в) что значит удалённо?

firkax ★★★★★
()

Я бы советовал добавлять не корневые сертификаты, а конечные. Да, это надо делать для каждого сайта и повторять при перевыпуске, но при этом не создаётся рисков перехвата трафика. По крайней мере пока распространённость сертификатов, подписанных этим корневым сертификатом, не высока.

vbr ★★★
()

На https://www.gosuslugi.ru/crt лежат сертификаты для Android, OS Windows, MacOS, iOS. Как установить сертификат,

На для Linux, если очень надо. Скачает, поставит. Подели моё, для внутреннего пользования.

но я так и не понял в чём опасность добавления к длинному списку сертификатов стран НАТО русского сертификата?

В жопоголизме. Докладываю, если товарищу майору даст задание товарищ полковник, то любого username и без MitM-а найдут. У ведомств есть ещё куча оперативных методов. С другой стороны, если username не представляет оперативного интереса, то товарищу майору на него класть большим прибором. У него и так дел дохрена, а тут ещё санкцию прокурора получать на оперативную разработку (внезапно).

возможна ли выборочная установка для разных профилей и режимов запуска ( инкогнито )

man firefox -p

Установка сертификатов удалённо?

Корневые сложно.

SkyMaverick ★★★★★
()
Последнее исправление: SkyMaverick (всего исправлений: 1)
Ответ на: комментарий от TeopeTuK

Создаётся фальшивый сертификат для google.com, подписывается сертификатом минцифры, и устраивается MITM.

Физически невозможно — в сертификате Минцифры нету секретного ключа, которым можно было бы подделать электронную подпись фальшивого сертификата.

iZEN ★★★★★
()

К вышесказанному добавлю ещё, что rogue CA выставивший поддельный сертификат в ту же секунду палится (поэтому и надо было закопать способный выявить подобные манипуляции SSL Observatory и заместить его переусложнённой Certificate Transparency, которая кого надо transparency), из-за чего даже в том же Казахстане никакой MiTM не производился.

Такие вещи никогда не делаются без ведома и охотного согласия сервисов.

token_polyak ★★★★
()
Последнее исправление: token_polyak (всего исправлений: 1)
Ответ на: комментарий от token_polyak

как палиться поддельный сертификат если у клиента нет certicate pinning, а на сервер стучится mitm под видом обычного клиента.

кстати как вытащить сертификат сайта сбербанка который подписан российским сертификатом ?? если сейчас он раздает подпись от имени америкосов ??

$ echo -n | openssl s_client -connect online.sberbank.ru -servername online.sberbank.ru | openssl x509 > ./test.cert
depth=2 OU = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
verify return:1
depth=0 businessCategory = Private Organization, serialNumber = 1027700132195, jurisdictionC = RU, jurisdictionST = Moscow, C = RU, ST = Moscow, L = Moscow, O = Sberbank of Russia PJSC, CN = online.sberbank.ru
verify return:1
DONE
pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

если сейчас он раздает подпись от имени америкосов ??

online.sberbank.ru ещё не потух. sberbank.ru (не поддомен online) уже заменили на минцифровый

SkyMaverick ★★★★★
()
Последнее исправление: SkyMaverick (всего исправлений: 1)
Ответ на: комментарий от vbr

Я бы советовал добавлять не корневые сертификаты, а конечные. Да, это надо делать для каждого сайта и повторять при перевыпуске, но при этом не создаётся рисков перехвата трафика.

Сайтов слишком много чтобы каждому индивидуально сертификат одобрять. А вот для важных (лор, например), можно и сделать принудительный cert pinning и следить, да.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от Lrrr

В отличие от.

Вопрос «нахрен конкретно ты сдался спец.службам, чтобы вместо выполнения работы, запускать конкретно по тебе ОРД», я так понимаю, не стоит от слова вообще?

SkyMaverick ★★★★★
()
Ответ на: комментарий от Lrrr

Вот пока ты им не доверяешь - ничего не сделают. А если ты им сам даришь mitm-доступ то очень даже могут им воспользоваться для вредительства. А нашим как раз mitm не нужен, у них есть физический.

firkax ★★★★★
()
Ответ на: комментарий от vbr

Какая разница чей сертификат они используют штатно, если mitm делается с нештатным подложным сертификатом? cert pinning надо делать именно тем сайтам, которые ты хочешь защитить от mitm-а добросовестными CA, вне зависимости от их юрисдикции.

firkax ★★★★★
()
Ответ на: комментарий от TeopeTuK

Если такое обнаружится, правда, то будет большой шум и потеря репутации минцифры навсегда.

Теперь расскажи скорее про большой шум и потерю репутации навсегда когда обнаружилось что этим занимался например CNNIC.

Ничего не будет. Корневой сертификат минцифры ещё и в Trusted CA добавят. Эти CA называются Trusted совсем не потому что они для юзеров Trusted.

Stanson ★★★★★
()
Ответ на: комментарий от firkax

Cert pinning не мешает подмене сертификата теми CA, которые добавлены вручную пользователем. По крайней мере на основных популярных браузерах.

maxcom ★★★★★
()
Последнее исправление: maxcom (всего исправлений: 1)
Ответ на: комментарий от Lrrr

лол, а что они тебе сделают в случае чего? Правильно, ничего. В отличие от.

Какая незамутненность!

Поищи в интернетах по ключевым словам:

Олег Тищенко Eagle Dynamics Грузии F-16

ex-kiev
()

К чему все эти споры, пока что достаточно установить яндекс браузер или иное ПО с встроенным сертификатом, прям так, в чрут, виртуалку и всё. Это даже будет оч хорошо что для всяких банков/госуслуг и прочего будет отдельный изолированный браузер где не будут открываться левые сайты из интернетов. И всё.

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от Stanson

Не могу найти у себя в списке корневых сертификатов никакого сертификата от CNNIC. Если он был там когда-то, то наверное перестал быть trusted.

Эти CA называются Trusted совсем не потому что они для юзеров Trusted.

А для кого они trusted по твоему? С какой целью и что они удостоверяют?

TeopeTuK ★★★★
()
Ответ на: комментарий от eternal_sorrow

Погоди, дай подумать…

Походу, я хотел сказать, что есть два понятия (по крайней мере в странах, где боятся не исполнить «закон», каким бы он ни был). Первое — репутация. На нее работают, о ней беспокоятся, ее берегут. Но это все в «мирное» время, пока не прилетело сверху. Когда прилетает указ что-то сделать, за неисполнение которого могут лишить аккредитации, не дать пройти аудит, наложить «санкции» и так далее, то репутация как таковая отходит на второй план. Да, можно попытаться ее сохранить всеми доступными способами, но если зажали в очень жесткие рамки, то сам понимаешь.

То есть может внезапно встать выбор: либо ты немного отодвигаешь планку своей репутации, приговаривая «Ну а что мы могли сделать, а?», либо теряешь все.

Zhbert ★★★★★
()
Последнее исправление: Zhbert (всего исправлений: 2)
Ответ на: комментарий от SkyMaverick

Регулярно всплывают всевозможные базы данных с информацией о гражданах, которая не должна была быть публично доступна. Добавление центра доверия с сомнительной степенью прилежности открывает новые каналы сбора информации недобросовестными личностями.

i-rinat ★★★★★
()
Ответ на: комментарий от Zhbert

Это всё понятно и очевидно. Собственно об этом и речь. Может быть создатели этого сертификата и дорожат своей репутацией и даже хотят чтобы их CA однажды попал в список Trusted CA и был установлен в каждом браузере и каждой OS. Но если к ним придут люди в погонах, то они выпустят ровно такой серт, какой им прикажут и ничего не смогут с этим сделать. Или даже отдадут закрытый ключ. Поэтому репутация тут просто нерелевантна.

Это если длинно. А если коротко - этому CA нельзя доверять.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от SkyMaverick

Государственный mitm будет направлен не на отдельных лиц, а на «неприятные» сайты. С помощью ТСПУ и НСДИ у провайдеров перехватываются обращения, ну допустим, к сайту умного голосования и содержимое трафика будет зависеть только от фантазии тов.майора.

shtain
()
Ответ на: комментарий от i-rinat

Ну не без этого, да. Впрочем, не мне же рассказывать, что подавляющее число инцидентов ИБ - банальный инсайд, от которого технические методы помогают слабо.

с сомнительной степенью прилежности

Ну я бы ещё сомневался, если бы сертификат выпускала какая-нибудь контора на подряде. Но, вроде как, министерством официально выпущен. В любом случае, ИМХО система доверия, после отзывов сертификатов по обращению третьей стороны, умерла нафиг окончательно. Так что, теорема о двух стульях.

SkyMaverick ★★★★★
()
Ответ на: комментарий от shtain

а на «неприятные» сайты

Ну так, в общем, это какбы сейчас мейнстрим. Кто-то ещё до сих пор верит в свободный и общедоступный интернет, в любой хоть сколько нибудь серьёзной стране? Это я так обтекаемо намекаю, например, на Parler, чтобы не напороться на правила ЛОРа.

будет зависеть только от фантазии тов.майора

Ну вот конкретно этой тусовке бездельников из примера я бы тоже заглушку с тунцом во весь экран нарисовал, не без этого, да :)

SkyMaverick ★★★★★
()
Ответ на: комментарий от TeopeTuK

Не могу найти у себя в списке корневых сертификатов никакого сертификата от CNNIC

Они теперь называются GDCA. Те же самые персонажи с другим названием. Были добавлены в список Trusted CA сразу после того, как CNNIC «выкинули».

А для кого они trusted по твоему?

Для государств.

С какой целью и что они удостоверяют?

Они удостоверяют, что являются законопослушными организациями которые выполнят любой приказ государства.

В списке Trusted CA нет ни одной независимой от какого-либо государства организации. Следовательно, такие Trusted СA совершенно бессмысленны и не являются Trusted для пользователя.

Stanson ★★★★★
()
Ответ на: комментарий от Aber

Лучше опубликуйте инструкцию как запускать бразуер с этим MITM сертификатом в firejail, чтоб пользоваться этим трояном только для госуслуг или некоторых банков.

Троян может быть в самом браузере или вообще в системе. Нужен проверенный браузер и операционная система.

superuser ★★★★★
()
Ответ на: комментарий от Stanson

В списке Trusted CA нет ни одной независимой от какого-либо государства организации.

Сбербанк России перешёл на российский сертификат :

Поскольку все корневые сертификаты контролируются США, а также из-за политики санкций, удостоверяющие центры, имеющие право выпустить новый сертификат, отказали ПАО Сбербанк в продлении.

А вот с DNS такой фигни не вышло!

jia ★★
() автор топика
Последнее исправление: jia (всего исправлений: 1)
Ответ на: комментарий от LINUX-ORG-RU

К чему все эти споры, пока что достаточно установить яндекс браузер или иное ПО с встроенным сертификатом

Святая простота! Ну, будут читать весь твой трафик в офисе Яндекса, от этого лучше будет? Нет. Будет только хуже.

Нужно использовать независимо от интерессантов собранный браузер, в который импортировать доверенные сертификаты удостоверяющих центров (CA) и промежуточные сертификаты, подписанные CA, для продолжения цепочек доверия до сертификатов конечных точек (сайтов или пользователей, имеющих сертификаты). Только так будет возможна работа всей системы PKI.

iZEN ★★★★★
()
Последнее исправление: iZEN (всего исправлений: 1)
Ответ на: комментарий от iZEN

Да, но я сомневаюсь что ты лично всё это проделываешь для каждого сайта который посещаешь.

Этих CA херова гора и хрен пойми кто все эти люди вообще и схерали я им доверяю (а куда деваться? ). Суть в том что эти CA тупо отозвали серты у сбера так что они выпали в обычный http и подобных именно поэтому родился CA у нас.

А так да,согласен, собрать независимый фф или хром, добавить в него серификаты подписанные CA нашим и пользоваться и всё это отдельно жить будет только для определённых сайтов. Сказать этому всему НЕТЪ значит перестать пользоваться онлайн услугами этих ресурсов. Ну, пожалста.

Опять же, а каждый сможет собрать браузер, мы да мы задроты можем и потом сам браузер изолировать тоже можем, а вот бабуля/тётя/дядя не может, она умеет платёжку онлайн оплатить что-бы старые, больные колени не мять и не ходить. Ей нужно готовое решение и ей полевать слушает ли её яндекс или нет. Я тебя прекрасно понимаю, но и ты должен понять тех сотен миллионов людей которым всё это невбумбум вообще. И благо есть варианты, да не идеальные, но без пердолинга.

Ты прав, но, но, но, но. =)

Вот был бы действительно независимый CA вне государств, вне всего, остров в который провод вошёл и вышел. Всем смотреть можно, трогать нельзя, если что-то менять то сразу всем и вместе. Тогда да, тогда всё было бы хорошо и всей этой ситуации не было бы. А так мы имеем просто тех кто берёт и отзывает сертификаты, попутно полюбому часть СА свои секретные ключики передала кому надо и всё там читается как хочется. Ладно последнее, но первое просто нарушает работу интернета, завтра letsencrypt просто по приколу лор поломает и ещё пол интернета и чё? ))))) А чего ты сделаешь?

Так что для работы стратегически важных вещей и есть СА свой, да будут слушать. Но работоспособность важных штук сохранится и эти штуки не только банки, хрен с ними, есть куча всего ещё. Эх, ладо. А так, да я святая простота, отформатировался в домохозяйку, красноглазик во мне почти загнулся =)

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 1)
Ответ на: комментарий от LINUX-ORG-RU

мусьё ваш гентушник покасал штоль ?? :) «собрать свой браузер» с блекджеком и причитающимся….
и хромиум и огнелис позволяют отдельно от системе поставить сертификаты.
а огнелис (про хром не слышал) еще и разделяет сертификаты между пользователями. т.е. можно запустить отдельный огнелис с отдельным профилем, в котором будет сертификат минцифры.

pfg ★★★★★
()
Ответ на: комментарий от AVL2

Нет, тут большая разница. Если настоящий trusted CA будет хоть раз пойман на том, что он выпустил сертификат на тот домен (по указке спецслужб или же по другой причине), на который не имел права выпускать, то это конец этому CA и конец его бизнесу.

Данный CA же не имеет конкурентов в своей сфере, а так же не находится в списке trusted CA (а значит и не дорожит этим статусом, ибо нечем).

Можно ещё сказать что большинство trusted CA находятся в таких странах, где подобное требование со стороны спецслужб будет незаконным и CA может подать в суд и даже выиграть против государства в таком случае. Но ты скорее всего не воспримешь такой аргумент.

eternal_sorrow ★★★★★
()
Последнее исправление: eternal_sorrow (всего исправлений: 2)