Сбербанк России перешёл на российский сертификат

всё так. ещё и откосил от мобика т.к. айтишнег )))))))

Работают

Нет (…) Читать переписку никаким сертификатом никто не хотел.

Конечно же мы тебе верим-верим-верим, прямо отлегло с души 🤣

Сайт госуслуг удостоверяется сертификатом, выданным Sectigo и поэтому пока доступен в любых браузерах.

Блин, а это скоро пофиксят?

годный совет

Можешь заменить российский сертификат на нероссийский и товарища майора на мистера колоннеля.

сбер не нужен

Голосовой помощник Олег, перелогиньтесь

И что ? Что мы скрываем ? Странно как то.

Если ты честный гражданин, то нагнись и раздвинь булки для осмотра, уж коли начальник сказал

Ого. Сам верховный бог спустился к нам смертным.

Про доверие не слыхал? Майор из КНДР - ну это такой себе бренд. РФия сумела умножить на ноль этот показатель к себе за последние годы.

Ох уж этот трищМайор, спит и видет - как бы MozillaFirefox MitM атаку устроить.

А кто по-твоему продаёт базы всяким мошенникам? Не трищПолковник же, ему не по чину, он получает долю от майора

Поставил все сертификаты. Если заходить на https://sberbank.ru/ то соединение будет защищено. А если просто sberbank.ru то открывается по http.

Разве сервер не должен предложить клиенту Сбера https соединение по умолчанию???

Как по мне, то скорее наоборот - сей показатель к себе помножили на ноль как раз таки Европа и ихние господа.

а в чем смысл, зачем его ставить? само управление https://online.sberbank.ru/CSAFront/index.do работает на другом сертификате.

Можно подменить http://sberbank.ru

А там уже редиректить на https://online.sberfu*k.ru/ с честным сертификатом. :)

Стало. Намного лучше чем то, что ждало его в асэшай.

а куда ж вы денетесь, тем более если требуется ГОСТ-криптография

Перестать пользоваться услугами сбера. А если уже совсем не в моготу и прям хочется-хочется, использовать виртуальную машину и виртуализацию для запуска скрепного браузера с нужным корневым сертификатом.

Может это репетиция ? Потом online тоже переведут, не дожидаясь когда 23 января ему не продлят …

осталось законодательно запретить российским сайтам и серверам использовать ЦС отличный от одобренного партией, и да здравствует пресловутый Чебурнет.

Никто не мешает делать сайты под http

Если введут санкции против госуслуг.

Почему? Из-за возможной подмены на других сайтах?

Видимо, оставили для тех, у кого нет сертификата.

не пойму, когда успел у меня в хром поставиться этот сертификат с признаком действительным. Может электронная подпись и криптоCSP автоматом поставили.

https://www.ssllabs.com/ssltest/analyze.html?d=sberbank.ru Serial Number 1111a8

Они сертификат создавали чем-то странным. По современным стандартам, в серийном номере должно быть не менее 64 бит энтропии, а тут их явно нет.

Чем это отличаются от любого другого удостоверяющего центра из 60

Товарищем майором.

господа админы, почистите плиз этот полит срач с выдачей бана в отдельных случаях.

ЗЫ давно надо было корневой сертификат выпускать. но, лучше поздно, чем никогда :)

Этот корневой, он ведь не только для сбера? Это вообще российский корневой для всего?

В Яндекс.Браузере есть встроенный механизм, позволяющий использовать этот новый CA не для всего веба, а только для ограниченного списка доменов: https://www.gosuslugi.ru/tls

Можно попробовать добавить что-то похожее и в другие свободные программы.

Также новый сертификат уже встроен в браузеры Яндекс.браузер

Супер, я вообще проблем не заметил

ну или яндекс-браузер поставить для таких сайтов.

Сертификаты имеют хеши и никто не мешает хранить таблицу хешей или даже выпустивших ЦС оригинальных сертификатов.

Товарищем майором.

Американский товарищ майор ближе для некоторых, это да.

Этот корневой, он ведь не только для сбера? Это вообще российский корневой для всего?

для всех, кто захочет свой сертификат, заверенный этим корневым.

святая простота :). 10 лет назад сноуден разве мало показал американских товарищей майоров? ).

Дичь, теперь только мобильные приложение.

Которое надо скачивать с сайта. Отличный план, надежный как швейцарские часы.

Уже год на яндекс браузере. А ты ещё нет.

Ну есть такая теория, что ближе тот майор, который дальше. То есть, если человек живёт в России, то для него безопаснее закладки от АНБ и наоборот. На ЛОРе некоторые высказывались в этом стиле.

Я к этой теории отношусь скептически, поскольку если речь не про разведчиков, а про мелкую сошку, ничто не мешает «вражеским» спецслужбам обмениваться друг с другом списками компроматов, не особо это афишируя.

Только прошу, давайте не будем опять делить страны на «правильные» и «неправильные», как в удалённой ветке. Мне кажется, здесь есть что обсудить и не выходя за грань 5.3 :)

то для него безопаснее закладки от АНБ

АНБ тебя легко возьмёт за жопу в любой стране Европы и других подмахивающих странах как только ты выедешь погреть на заграничном пляже эту самую жопу. Тащ майор РФ тебя только по прописке будет искать. И то если не лень будет.

товарищ майор получает возможность осуществлять MitM-атаку

Никакой прослушки не выйдет. Прослушка это тайные действия, а твой браузер прекрасно осведомлён какой сертификат используется.

дык этож другое !!
в голливдуских боевиках показывают, что американцам верить можно, значит это правда !!
А сноуден не прав !! это американцы сказали, значит верить ему нельзя !!

в голливдуских боевиках показывают

Так работает мягкая сила.

браузер показывает лишь то что сертификат удовлетворяет условиям цепочки доверия.
но не показывает какой именно сертификат привязан к данном сайту и от кого он.
да и думаю ты не проверяешь какой сайт с каким сертом у тебя открыт. работаее и ладно.
ну а костыль «certificate pinning» есть только у издранных.

Вам может и не нужен, а кому-то требуется.

но не показывает какой именно сертификат привязан к данном сайту и от кого он.

В браузере можно посмотреть подробности о сертификате.

да и думаю ты не проверяешь какой сайт с каким сертом у тебя открыт. работаее и ладно.

Всё так. Так я и от тащ майора не бегаю. Предполагается, что те кто бегает, а так же ит задротыэнтузиасты отслеживают тему и поднимут гвалт, если начнётся mitm. Массовый mitm скрыть будет невозможно.

Не для всех ресурсов это сработает. Во-первых, в браузерах есть жестко зашитые правила в стиле «у google.com сертификат может быть только от такого-то УЦ и ни от какого иного». И если сертификат выдан кем-то иным, браузер заходить на google.com не станет (просто откажется наотрез).

Я бы на это сильно не надеялся. Для сертификатов которые добавлены пользователем вручную pinning не работает.

ну так и тут тоже мгновенно вылезет.

Тут вопрос не в том будет это заметно или нет, а в том что по большому счету ничего не помешает использовать этот CA для mitm. Особенно когда он будет установлен у большого процента пользователей.

Этим он отличается от тех сертификатов, которые идут в комплекте и ОС или браузером. Потому что в случае такого их использование доверие к ним будет оперативно отозвано.

и часто ты туда смотришь ?? :)
если вообще об ентом думать надо пинать джава-скрипистов, чтоб через user.js проверять совпадение сертификатов с урлами со своим кастомным списком.

кто бегает от т-ща майора использует whonix и прочее прохвессиональное, настроенное и четко продуманное :)
а вот лоровские «неуловимые джо» просто писают кипятком на сковородку что ктото узнает статистику ихнего посещения проносайтов…

если вообще об ентом думать надо пинать джава-скрипистов, чтоб через user.js проверять совпадение сертификатов с урлами со своим кастомным списком.

Насколько я знаю, какого-то способа детектировать mitm из js нет. На серверной стороне можно делать какие-то выводы по соответствию списка шифров и прочих особенностей TLS версии браузера/ос, но это не слишком надежная схема.

вот и я о том же, не знаю среды user.js и что браузер дает ей читать.
если бы были параметры соединения: хотя бы урл и свойства сертификата, то некоторый костыль формат certificate pinning уже можно сделать…

ГОСТ-криптография в OpenSSL, а не вбраузерах. Браузеры используют OpenSSL (системный или пакетом или пакет GnuTLS — в зависимости от настроек сборки) для работы с криптографией.

Так я же написал, что меня не волнует и я сертификаты не смотрю. Это нужно тем, кто живёт в страхе в ожидании тащ майора по середине. Если случится массовый mitm, то я узнаю по гвалту со стороны хабрахабра.