Сертификат от сбера

1

2

Сбер переходит на отечественные сертификаты TLS (новость на хабре), так что рано или поздно ставить в систему корневой серт от сбера. Можно ли ограничить область действия этого сертификата только сайтом сбера или лучше завести отдельную виртуалку для этого непотребства?

←	Как отключить протоколы dccp sctp rds tipc на убунту?

apache2.4 не срабатывает Require host, чтоб сайт открывался у определеных хостов

→

виртуалка либо яндекс браузер

xDShot ★★★★★
(18.09.22 20:02:52 MSK)

есть еще некий chromium-GOST, говорят должен работать, вот бы еще накатить на него патчи ungoogled-chromium, было бы вобще по красоте.

BLOBster ★★★
(18.09.22 21:51:25 MSK)

Ответ на: комментарий от BLOBster 18.09.22 21:51:25 MSK

В chromium из коробки нет привязки к гугл.

https://www.opennet.ru/opennews/art.shtml?num=54417

Разве что поисковая система по умолчанию в нём может быть google.

kostik87 ★★★★★
(18.09.22 21:55:28 MSK)

Ответ на: комментарий от BLOBster 18.09.22 21:51:25 MSK

Хм, собирать браузер для сайта сбера – это перебор.

~~BadUser~~
(18.09.22 22:00:01 MSK) автор топика

А чего, отдельного профиля в браузере недостаточно?

thesis ★★★★★
(18.09.22 22:12:18 MSK)

А есть вообще какой-то особо секретный браузер, в котором можно проводить аудит сертификатов? Чтоб записывал в журнал, чтобы выводил предупреждение, если в прошлый раз сертификат был другой.

А то все эти безопасные браузеры, заботящиеся о вашей приватности только и могут, что замочек показать.

Aceler ★★★★★
(18.09.22 22:49:22 MSK)

Ответ на: комментарий от kostik87 18.09.22 21:55:28 MSK

Насколько мне известно хромиум все равно шлет какие то запросы на сервера гугла, собственно поэтому и появился проект ungoogled-chromium

BLOBster ★★★
(19.09.22 08:53:18 MSK)

Ответ на: комментарий от Aceler 18.09.22 22:49:22 MSK

не браузер но тут довольно легко дописать этот функционал, впрочем принудительный certificate pinning по конфигу там например уже есть

firkax ★★★★★
(19.09.22 10:30:04 MSK)

Ответ на: комментарий от firkax 19.09.22 10:30:04 MSK

Спасибо.

Aceler ★★★★★
(19.09.22 10:43:34 MSK)

Ответ на: комментарий от xDShot 18.09.22 20:02:52 MSK

А я.браузер не накатывает ли сертификаты в основное хранилище?

Fafhrd ★
(27.09.22 15:25:51 MSK)

Ответ на: комментарий от Fafhrd 27.09.22 15:25:51 MSK

дык глянь чего он ставит в /etc/ssl/cert

pfg ★★★★★
(27.09.22 17:03:54 MSK)

Ответ на: комментарий от Fafhrd 27.09.22 15:25:51 MSK

Всегда можно посмотреть содержимое пакета и install скрипт и чтобы от рута или через pkexec в систему не срало, и чтобы права были в пределах юзера. Виртуалка это для самых параноиков.

xDShot ★★★★★
(27.09.22 18:21:36 MSK)

Ответ на: комментарий от Aceler 18.09.22 22:49:22 MSK

Для этого есть certificate transparency. Возможно, есть расширения, которые дают возможность посмотреть CT-запись для сертификата текущего сайта.

Но, разумеется, у ~~помойки~~ удостоверяющего центра Минсвязи никакого CT нет.

ivlad ★★★★★
(29.09.22 07:51:44 MSK)

←	Как отключить протоколы dccp sctp rds tipc на убунту?

Security

apache2.4 не срабатывает Require host, чтоб сайт открывался у определеных хостов

→

Похожие темы