Сбербанк России перешёл на российский сертификат

Если тебе нужен PEM

то PEM лежит в версии для MacOS

letsencrypt

Я в курсе, ровно как и прекрасно понимаю что в айн момент он так же превратится в тыкву.

Поскольку все корневые сертификаты контролируются США

Вообще-то нет. Там даже какие-то банановые республики вроде были.

Пользователи без сертификата перенаправляются на версию сайта без https.

Тоже нет, если сертификата нет то перенаправить с https никуда нельзя, можно только зафейлить коннект.

Может, кто-то внятно объяснить, чем грозит установка корневого сертификата…?

Ничем кроме того что твой браузер начнёт принимать сертификаты «выданные» этим корнем.
По факту так работает дофига внутрисетевых энтерпрайзнутых сервисов и многое из того что использует https в локалках (где тупо нет возможности привязать неуникальный ойпи к глобальному сертификату но сам сертификат надо иногда обновлять)

Тоже нет, если сертификата нет то перенаправить с https никуда нельзя, можно только зафейлить коннект.

Ну нельзя так нельзя, а в FF у меня открывается версия по http. Но нельзя.

UPD: А нет, это в мобильной версии. Видимо, она лезет на http при недоступности https.

Может, кто-то внятно объяснить, чем грозит установка корневого сертификата…? Насколько понимаю, возможность расшифровки/деанонимизации и т. д. грозит только на сайтах, которые этому CA доверяют…

Нет, установка корневого сертификата обозначает что ты полностью доверяешь ему идентифицировать любой сайт. Это, теоретически, позволяет поднять mitm и влезть в любой трафик.

Пассивно (без mitm) вскрыть трафик у CA не выйдет, даже если у него есть приватные ключи.

Ты вводишь https и открывается http? Думаю ты вводишь без протокола и оно дефолтится на http, а сертификат и редиректы тут ни при чём.

Надо по-хорошему свой браузер выпускать, для ЕАЭС

Диды без браузеров и сертификатов жили. И ты живи.

letsencrypt сертифицирует только домен, а тут нужно юрлицо, со всей бюрократией. Типы сертификатов: DV - домен, OV - организация, EV - усиленная проверка организации. LE выдаёт только DV.

Пользователи без сертификата перенаправляются на версию сайта без https.

Вот это утверждение звучит крайне сомнительно, потому что нет в HTTPS такого механизма, который бы позволил сайту без доверяемого сертификата кого-то куда-то перенаправить.

Потому что у него гуглоподелие вместо браузера.

Вот-вот. С разморозкой ©

Исправь, пожалуйста.

Может, кто-то внятно объяснить, чем грозит установка корневого сертификата…? Насколько понимаю, возможность расшифровки/деанонимизации и т. д. грозит только на сайтах, которые этому CA доверяют…

Этот CA может выпустить сертификат для любого домена, который захочет. Хоть для gmail.com, хоть для usa.gov.

1. Ставишь Крипто Про.
2. Ставишь корневой стеритфикат

$ sudo /opt/cprocsp/bin/amd64/certmgr -i -store mroot -f russian_trusted_root_ca.cer

3. Используешь curl поставляемый с Крипто Про.

$ /opt/cprocsp/bin/amd64/curl -i https://www.sberbank.ru/ru/certificates && echo
HTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Cache-Control: no-store, must-revalidate, no-cache
Pragma: no-cache
Connection: close
Content-Type: text/html
Content-Length: 563
Set-Cookie: f5avraaaaaaaaaaaaaaaa_session_=IKIIGNCMMJDFMCEDMPBOPOGCJKGJIAENKEEDIOKLJHINLMHOBMFOCCIMELCMGGCGMEKDFOIDJOEMNMAACJMAAFIBJOIOOGHLHHNLGHHPOPMKLIDFEEIMHBJLMLIDCKHB; HttpOnly; secure

<html><head><title>Нельзя войти на сайт Сбербанка в этом браузере.</title></head><br><br>Нельзя войти на сайт Сбербанка в этом браузере.<br><br><body>Пожалуйста, попробуйте другой браузер. Если не получится, позвоните нам по номеру 900 или +7 495 500-55-50, если вы за границей.<br><br>Ваш support ID: <18391432149938190072><br><br><a href='javascript:history.back();'>[Назад]</body></html>

4. Осознаёшь, что curl так себе браузер.
5. Думаешь как использовать stunnel (но лень)…

И что ? Как будто других СА у Вас нет.

забавно, что на госуслугах нет варианта сертификата под линукс.

Всё есть: https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer

Да ещё и самый первый.

Этот CA может выпустить сертификат для любого домена, который захочет.

Чем это отличаются от любого другого удостоверяющего центра из 60? Даже какой-то турецкий национальный есть, вот нахера он мне в firefox?

Завести в Firefox отдельный профиль для сбера и добавить сертификат в нем поможет? Оставшиеся профили останутся нетронутыми?

Дело не в сертификате, а в гостовской криптографии. Которую ФФ не поддерживает. Её поддерживают Яндекс-браузер, Хромиум-ГОСТ, Спутник и ещё что-то там, Атом какой-то.

осталось законодательно запретить российским сайтам и серверам использовать ЦС отличный от одобренного партией, и да здравствует пресловутый Чебурнет.

Чебурнет – это когда государственные сайты используют сертификаты выданные зарубежными коммерческими компаниями. Вот это и есть чебурнет. А точнее что-то похуже.

И что ? Как будто других СА у Вас нет.

Любой CA который выпишет левый сертификат мгновенно со скандалом вылетит из доверенных. Это такая вещь которую скрыть не возможно. Кроме того, есть механизм Certificate Transparency, который позволяет контролировать действия CA и он обязателен для включения его во многие ОС и браузеры.

По этому да, теоретически любой из сотни CA может выпустить левый сертификат, но это ему (и его владельцам) будет очень дорого стоить.

а также из-за политики санкций, удостоверяющие центры, имеющие право выпустить новый сертификат, отказали ПАО Сбербанк в продлении.

Нда… Нет слов…

Дело не в сертификате, а в гостовской криптографии. Которую ФФ не поддерживает. Её поддерживают Яндекс-браузер, Хромиум-ГОСТ, Спутник и ещё что-то там, Атом какой-то.

Для доступа к Сберу сейчас не нужна ГОСТ криптография, нужно только решить вопрос с доверием к сертификату. Криптография там обычная.

Чем это отличаются от любого другого удостоверяющего центра из 60? Даже какой-то турецкий национальный есть, вот нахера он мне в firefox?

Тем, что CA которые есть в Firefox выполняют большое количество требований управляющих их работой и проходят аудит. Вот почитай: https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/policy/

Для доступа к Сберу сейчас не нужна ГОСТ криптография, нужно только решить вопрос с доверием к сертификату. Криптография там обычная.

Да, действительно. Странно чего они тогда свои браузеры впаривают попутно.

Для получения защищённого доступа ко всем сайтам и онлайн-сервисам используйте браузеры с поддержкой российских сертификатов: Яндекс Браузер или Атом

Я в курсе про это. Не думаю что этим будут всякую левизну подписывать.

Вот читаю инструкцию для Windows и даже я сам (линупсоид со стажем) «чешу репу» от таких названий как «выпускающий сертификат». Хоть бы пояснения где добавили для чего «корневой сертификат» и для чего «выпускающий сертификат». Вообще не по русски написано! Как сертификат может выпускать? Выпускает орган же, а не сертификат!

чего они тогда свои браузеры впаривают попутно

Потому что «их» браузеры начинают задавать неудобные вопросы и высказывать сомнения относительно того этого СА. А «свои» взяли под козырек и сделали, без всяких вопросов.

Любой CA который выпишет левый сертификат мгновенно со скандалом вылетит из доверенных

Да, вспомним Symantec и Digicert и что с ними стало.

Ну если Вам так нужен Сбер, то в Лисе, можно просто добавить в исключения неверный сертификат выпущенный для конкретного сайта. Ставить корень совершенно необязательно…

потому что объяснить как поставить данный сертификат в любой бравзер сильно труднее, чем поставить их с десяток.
я иногда плачу, когда вытаскивают в соседний офис «посмотреть комп» женщины-бухгалтера…

Ну делитесь объяснениями, как это поставить безопасно :)

apt-get install ca-certificates-digital.gov.ru

так это потому что такие безграмотные инструкции выкладывают

Молодец, вместо того чтобы огрничить это юзером и браузером, ухаем это для всего.

Странно. У меня пишет, что там сертификат от GlobalSign. Даже несколько, ближайший закончится «25 Jan 2023».

хужеее, невозможно написать инструкцию которую поймут все.
особенно в случаях когда не различают клавиатуру и монитор. про системник вообще…

даже боюсь представить. с позором были изгнаны из числа доверенных и никогда им больше не доверяли ?? :)

https://www.ssllabs.com/ssltest/analyze.html?d=sberbank.ru

Мой косяк, я заходил на online. На главной уже РФ сертификат)

Для хромых браузеров (проверила в Vivaldi):


wget https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer

certutil -d sql:$HOME/.pki/nssdb -A -t «CT,C,c» -n «Russian Trusted Root CA0» -i russian_trusted_root_ca.cer

изгоняли и за меньшее

погуглите истории Diginotar (взлом)
StartCom
WooSign

А зачем они второй крячут ? Или это только для Windows ?

Что-то мне будущее в Яндекс-браузере не нравится... Тем более, пока будут другие варианты, я в здоровом уме никогда не буду юзать глючный Атом... :(

не поняла вопроса,
по ссылке команды wget - корневой сертификат,
далее как и положено для ЦС - промежуточный сертификат, подписанный корневым, ну а промежуточным уже подписывается сертификат сайта.


Не по-колхозному же делать, надо соблюдать какие-то нормы и приличия, тем более нашли аж целых 2 браузера в хранилища которых они добавили корень минцифры

а куда ж вы денетесь, тем более если требуется ГОСТ-криптография
:shrug:

а куда ж вы денетесь, тем более если требуется ГОСТ-криптография

😢😢😢

а куда ж вы денетесь, тем более если требуется ГОСТ-криптография

Сменить страну - не вариант?

А в чём вообще была проблема делать свои корневые центры сертификации, если есть свой браузер (Яндекс.Браузер)?

WebTrust auditors MUST be listed as enrolled WebTrust practitioners on the CPA Canada website

Ну такое

Странно чего они тогда свои браузеры впаривают попутно.

Как ни странно бы это звучало, но некоторым людям будет проще поставить браузер с уже вшитым сертификатом, чем качать сертификат и ставить его в уже стоящий браузер.