Сбербанк России перешёл на российский сертификат

Редирект на https://www.sberbank.ru/ru/person?from=sbrf.ru

Американский товарищ майор

Так я и говорю, товарищи майоры разные. А так, ничем больше не отличается.

звучит как честное слово, но недостаточно убедительно.

так-то будет вообще не до интернета скоро. что там как будет уже не важно.

Только прошу, давайте не будем опять делить страны на «правильные» и «неправильные», как в удалённой ветке. Мне кажется, здесь есть что обсудить и не выходя за грань 5.3 :)

Это зависит от того, какой философии ты придерживаешься: Томаса Гоббса, Джона Локка или Иммануила Канта. Поклонники последнего из перечисленных занимаются как раз этим и устанавливают чёткую грань.

сбер не нужен

Когда я пытался осилить «Критику чистого разума», я понял, что просто для понимания того, о чём речь, надо сначала прочесть ещё пару десятков книг более ранних авторов. На сём знакомство с Кантом пока и закончилось…

да

Потому что это может превратить весь остальной HTTPS трафик в тыкву и товарищ майор сможет осуществлять MITM.

это не совсем Снегов. я затрудняюсь точно перевести, Сгорыкатов, как-то так.

вангую гугл с мозиллой внесут его в свой ЧС

Разве сервер не должен предложить клиенту Сбера https соединение по умолчанию???

вообще не обязан. Этот редирект надо специально настраивать в реверс-прокси или в самом веб-приложении.

Вот этот редирект у меня и не работает.

Тут вопрос не в том будет это заметно или нет, а в том что по большому счету ничего не помешает использовать этот CA для mitm. Особенно когда он будет установлен у большого процента пользователей.

Как и любой ЦА.

Этим он отличается от тех сертификатов, которые идут в комплекте и ОС или браузером. Потому что в случае такого их использование доверие к ним будет оперативно отозвано.

Да тоже не так чтобы быстро отзывали. Симантек, по моему год мурыжили за митм.

В реальности в комплекте с браузером идет просто проплаченый сертификат. Мы просто привыкли и считаем это нормой. Никто и ничего нам не гарантировал, это договоренности между госорганами и капиталистами.

Работает редирект на https://www.sberbank.ru/ru/person . Ну, при условии работающих сертов, ест-но.

Вот этот редирект у меня и не работает.

А у меня нет.

А у меня нет.

Как и любой ЦА.

Подумалось: wasm есть, что мешает собственный шифровальщик трафика и собственный публичный ключ в браузер отдавать? Он (wasm) как раз для таких числодробилок и сделан.

дык любому сертификату ты веришь на честное слово производителей бравзеров и осей, которые впиховывают тебе пакет корневых сертификатов :)
ну а любая политическая система может «корректировать» условия подконтрольных людей.
что у нас что в америке :) линус помнится спросили «обращались ли к нему гос.спец.структуры» он в ответ только поулыбался и промолчал.

твой личный ключ будет работать только в товоих личных машинах :)

Версия браузера?

Браузеры используют библиотеки nss, как мозилла так и хром, openssl или gnutls используют так называемые поделки.

Но ГОСТ из коробки есть в Яндекс Браузере, остальное придется проходить увлекательный квест по включению поддержки

Но ГОСТ из коробки есть в Яндекс Браузере, остальное придется проходить увлекательный квест по включению поддержки

Нет его там из коробки. Чтобы он там заработал нужен еще КриптоПро.

Если только он сам его находит при этом автоматически.
ГОСТ был нужен только на одном ноутбуке, где КриптоПро как раз есть.
А я как-то обхожусь без него и даже сайт не припомню гост-only чтобы проверить

Браузеры используют библиотеки nss, как мозилла так и хром

Ага — libnss3.so, libnssutil3.so, libssl3.so.

Какого сайта? Все есть в самсунг стор. 🙂

Linux в списке отсутствует

Если кому надо, по-быстрому с утра наговнокожено собственный велосипед, для линуксов, тупо из лени добавлять руками. Ошибки, а-ля пробелы в путях, обрабатывать также лень, сорян.

твой личный ключ будет работать только в товоих личных машинах :)

Я про отдачу публичного ключа сервера клиентам. По крайней мере трафик от клиента серверу (логин-пароль) таким образом шифровать без проблем. А как от сервера клиенту - туплю. Вроде слышал краем уха, что клиентский сертификат создаётся на лету, но это ж долго.

Это недолго. Совсем.
И сервер и клиент создают свои ключи ecdsa (rsa можно забыть уже на данном этапе тк поддержка ECDHE есть уже везде)

Одна или обе стороны обязаны авторизоваться, поэтому сервер (обычно) подписывает эфемерный ключ ключом сертификата,

С использованием эфемерных ключей согласуется ключ симметричного шифрования aes или chacha

На современных железках это все достаточно быстро


И да, траффик расшифровать как правило не удастся, это называется perfect forward secrecy.

Перехват и расшифровка возможны только если mitm работает как прокси и перешифровывает трафик

А может кто-нибудь нормально объяснить, почему нужно ставить два сертификата, а не один?

Midori спокойно переадресует на http, ставя пометку «неизвестный уровень безопасности».

+1

целевой и корневой жЫ!

гибридное шифрование. несимметричное шифрование очень медленное и затратное, но зато удобное изза наличия пары открытый/закрытый ключ.
симметричное шифрование очень быстрое и имеет возможности аппаратного ускоренния. но минус - ключ шифрации и дешифрации один.
гибридное аккурат совмещает оба плюса и исключает оба минуса :)

Нет:

Не удалось найти страницу, находящуюся по адресу “sbrf.ru”. Проверьте адрес на наличие ошибок и попробуйте снова.

Unacceptable TLS certificate

один «корневой», второй «рабочий».
рабочих обычно несколько и создаются на короткие сроки. через рабочий подписываются сертификаты пользователей. ну или другие рабочие сертификаты.
любой рабочий проверяется через корневой. корневой можно проверить только вручную.
рабочий можно досрочно забанить через списки доверия корневого. корневой забанить сложнее и будут большие репутационные потери.

ставить надо только корневой сертификат минцифры

промежуточный сертификат должен быть предоставлен сервером

цепь доверия

корень - промежуточный сертификат - сертификат сервера

напрямую корневым подписывают только в колхозе :D

Можно подумать,что провайдер или работодатель тебе сертификат подменить со своей стороны не могут.

Это как?????

Если корневой не установить, конечно...

На меня лично как это повлияло?

Страдай

Да, но для работы с сайтами достаточно демо режима

Я использую Хромиум ГОСТ Под windows можно использовать рутокен коннект

напрямую корневым подписывают только в колхозе :D

А вот это было обидно. Для небольших СА сопровождать лишний слой смысла нет. Про национальные или большие корпоративные цс, конечно, речь не идёт.

вангую гугл с мозиллой внесут его в свой ЧС

Мозиллу можно будет пересобрать с переносом сертификата из ЧС в доверенные корневые.

Хех. Я так живу уже лет десять. Специальный профиль для ФФ, Банк называется. Юнити даже умеет его отдельно от остального ФФ отслеживать в лончере, по иконке в его.desktop.

Звучит очень увлекательно. А в рамках какой процессуальной процедуры этот ваш майор будет проводить вот это вот все и с чьей санкции?

А откуда уверенность, что Internet Security Research Group, стоящая за Letsencrypt, возьмётся иметь дело с лицом/организацией из санкционных списков? Так-то, несмотря на отсутствие денежного вознаграждения, это вполне себе предприятие, находящееся в правовом поле США...

Ну, без согласия - нет, не могут. Но знаю, что в некоторых местах этот самый митм - единственный способ выполнять свои повседневные производственные обязанности. Так что, добровольно и с песнями ставишь этот сертификат себе и не жужжишь.

напрямую корневым подписывают только в колхозе

В сертификатах безопасности вообще-то отсутствует секретный ключ, присутствует только публичный ключ, заверенный цифровой подписью с использованием секретного ключа. Пользователям сертификата доступен публичный ключ, с помощью которого (и пользовательского секретного ключа, если нужно) формируется сеансовый ключ и канал потокового шифрования с сервером. В этом вся суть сертификации и асимметричного шифрования.

Ну провайдер же может. А работодатель на своём прокси и подавно + контроль у него есть.