Сбербанк России перешёл на российский сертификат

С магазина самсунг не удалили, обновляюсь с него, а там посмотрим.

Доверие со стороны сайтов тут вообще не при чём.

После установки корневого сертификата, твой браузер начинает доверять всем сертификатам, выпущенным отечественным УЦ. Товарищ майор получает у этого отечественного УЦ сертификат на домен linux.org.ru (т.к. товарищу майору отечественный УЦ не откажет), дальше с помощью оборудования DPI (которое стоит почти у каждого провайдера, а вдобавок на сетях стоит ещё и такое же оборудование, принадлежащее Роскомнадзору) товарищ майор получает возможность осуществлять MitM-атаку, расшифровывая трафик между тобой и ЛОРом. Твой браузер будет считать, что всё ок, ведь сертификат выписан УЦ, чей корневой сертификат ты сам себе загнал в доверенные. А вот если бы не загонял, то браузер бы выдал стандартное сообщение «тут это, сертификат выпущен чёрт знает кем, я такого УЦ не знаю, давай не пойдём туда?».

Не для всех ресурсов это сработает. Во-первых, в браузерах есть жестко зашитые правила в стиле «у google.com сертификат может быть только от такого-то УЦ и ни от какого иного». И если сертификат выдан кем-то иным, браузер заходить на google.com не станет (просто откажется наотрез).

Во-вторых, сам сайт может браузеру дать такое указание. см (HTTP Public Key Pinning), но для этого надо, чтобы ты хоть раз побывал на сайте, до того, как товмайор начнёт свои грязные делишки, ну и чтобы владелец сайта это всё настроил.

ну так у них там обычный rsa сертификат. При чем тут гост?

Кстати, есть интересный продукт rutoken connect. Вроде как позволяет любой браузер ходить по сайтам с сертифкатами гост. Под линукс не работает, только под вин и мак вроде.

огрничить это юзером и браузером

Вот сюда +1. Хотя, как говорится, всякая проблема дизайна безопасности решается введением дополнительного слоя юзера и браузера. Кроме проблемы чрезмерного количества слоёв юзеров и браузеров.

ну так и тут тоже мгновенно вылезет.

Хромы точно контролируют отпечатки гуглосервисов и при попытке открыть гуглопочту, например, с левым сертификатом, сразу настучат.

И еще хорошо платят.

Но в этой части поддержу. Свой ЦС должен был быть уже лет десять как и должен уже давно проходить аудит, как все.

удолил яндекс браузер

Ну, пользователям сбера не привыкать страдать. Интересно как скоро этот серт заблэклистят :)

о а кстати этож получается что и вэбапп сберовский перестанет работать?

так казахстан же вроде даже не скрывал что целью сертификата является возможность товарищу майору читать переписку киберпреступников и прочих подозреваемых, под типа честное слово что без злоупотреблений..

не там при открытии говорят у сайта сертификат от лысого хрена, ты говоришь да я доверяю этому сертификату и до конца сессии появляется у браузера ограниченное доверие к сертификату.

Любой CA который выпишет левый сертификат мгновенно со скандалом вылетит из доверенных.

Ну-ну, не стоит так драматизировать… Может и со скандалом, но точно не мгновенно - кому надо, тот воспользоваться успеет. Да еще может и простят - мало ли, ошиблись люди.

Зато CNNIC, который явно спалился на MITM, долго был в списке доверенных

так казахстан же вроде даже не скрывал что целью сертификата является возможность товарищу майору читать переписку киберпреступников и прочих подозреваемых, под типа честное слово что без злоупотреблений..

Нет. Тот сертификат, который хотели добавить в браузер, используется совсем для других целей. Для удостоверения государственных сайтов, для работы многих госорганов и тд.

Собственно по факту он стоит у большинства казахстанцев, т.к. требуется для работы с государственными сайтами. Тут вопрос в удобстве и независимости .

Был другой сертификат, который использовали для выборочной блокировки некоторых запрещённых страниц на сайтах, чтобы дать возможность пользователям посещать остальные страницы. Его добавлять в доверенные никто не предлагал.

Читать переписку никаким сертификатом никто не хотел.

Так и вижу как домохозяйки бросились добавлять сертификаты

Домохозяйки вполне могут установить Yandex Browser потому что Chrome ввёл санкции и больше не показывает российские сайты.

Ввожу в хромиум на смартфоне без протокола - открывается http, открыть по https не даёт. Ввожу в яндекс.браузере на смартфоне без протокола - сразу открывает по https.

В https может и нет, зато в браузере возможность перенаправить на http без действительного для самого браузера сертификата запросто.

Вон осенью прошлого года куча необновлённых до определённой степени windows 7 фактически остались без интернета из-за слишком старого корневого сертификата.

В AUR уже завезли

aur/ca-certificates-russian-root 20220926-1 (1) (1,00)
    Russian root certificates

Это здорово!

Есть мнение, что ov/ev - ненужные свистелки.

После того, как получил ov на компанию, используя только свой гражданский паспорт - это и моё мнение тоже.

Не смущает, что у тебя уже установлены 100500 CA?

ЗЫ Народ, хватит ныть! Так или иначе скоро перейдем для всех внутренних ресурсов на свои сертификаты. Смеритесь с этим. Штаты так или иначе отрубят все как бы независимые let’s encrypt и ему подобные.

удолил яндекс браузер

Белкам-истеричкам нужно ещё мозг удалить.

1. В обычном случае они не откажут противоположной стороне.

2. И что ? Что мы скрываем ? Странно как то.

И где у Вас далее ?

Можно подумать,что провайдер или работодатель тебе сертификат подменить со своей стороны не могут.

Ну Сноуден сменил, стало ему легче?

Для хромых браузеров

Спасибо, в chromium тоже работает, пишет тут, что «Сертификаты установлены».

Кстати заодно вопрос. А главная зачем ?

Ох уж этот трищМайор, спит и видет - как бы MozillaFirefox MitM атаку устроить.

В firefox 102.3.0esr в отдельном профиле сделал так:
1. Скачал https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer
2. Настройки->Приватность и защита->Сертификаты, Просмотр сертификатов->Центры сертификации->Импортировать...->Открыть russian_trusted_root_ca.cer

Вроде, работает.

P.S. Использую отдельный профиль firefox для банков/покупок и т.п.

Покритикуйте.

А у вас там настолько всё плохо? А как вы скачаете браузер не имея браузера? :)

Покритикуйте.

Если бы я загонялся по безопасности то юзал бы Firefox во flatpak.

А как вы скачаете браузер не имея браузера? :)

я тебе написал о том как будут действовать домохозяйки по моему мнению. То есть будут устанавливать браузер который работает, а не разбираться с сертификатами.

сайт яндекса пока доступен из всех браузеров без установки каких-либо сертификатов.

А даже если не будет доступен, в русских дистрибутивах Linux будет всё предустановлено и в РФ просто победит Linux, если там нужно будет меньше красноглазить чем с Windows или Mac.

Я бы запускал firefox в виртуалке.

Странно мне, что нет howto от сбера для firefox.

сайт яндекса пока доступен из всех браузеров

Редиректит на dzen.ru, где нет упоминаний о браузере.
Без конкретной ссылки на скачивание бедная домохозяйка ничего не найдёт.

Смотреть рекламу :)

apt(dnf) (и прочие) install firefox.

сбер не нужен

ещё один недопонявший. там расписаны варианты для всех распространённых систем кроме Линукса.

нет, там rsa:4096, гостовские во всяких рутокенах для юриков.

по крайней мере ему теперь смертная казнь не грозит

Домохозяйки все на винде. Там такого нет.

ну, то есть АНБ и американских корпорациям ты доверяешь больше? ;-)

а ты смешной…

ладно бы так думать ещё до Сноудена и Ассанжа…

=D

Эдуард Снегов?

Если венда 10 то там как минимум IE11 & Edge. Если раньше - то iexplore ftp.mozilla.org.

ничего. парень просто боится, что выпустят серт подменку для какого-нить гугла или лора чтобы вычислять по айпи. но как только это случится единожды доверие будет подорвано навсегда, его просто удалят и забудут. проще банк сменить, чем рисковать баблом без шифрования.

http://sbrf.ru и https://sbrf.ru у кого-нибудь работают?

Работает редирект на https://www.sberbank.ru/ru/person . Ну, при условии работающих сертов, ест-но.