Установлен ли у вас корневой электронный сертификат безопасности Минцифры РФ?

Установлен в основном браузере

на одной из машин с виндой которой через веб-морду в сбер захожу, для линукса такое не надо и в сбер лучше не заходить, как то зашел линуксом, логин\пароль схавало нормально, код в смс даже прилетел, ввел этот код и личный кабинет заблокировался, пришлось оператору звонить - говорить кодовое слово, подтверждать - что это я заходил, ну его нафиг - буду впреть с винды заходить… кстати если установить приложение сбера в BlueStacks и попробовать войти - так же блокируется личный кабинет, причем я позвонил - сказал секретное слово, пожаловался на нелепую блокировку, меня заверили - впредь такого не повторится, тут же попытался войти и личнный кабинет заблокировался снова.

Не установлен, так как не нужен. Зачем он?

Нет и не будет. Пользуюсь Монобанком (наверное, ближайший российский аналог - Тинькофф). Из российских карточек есть Юмани, но от нее из-за санкций теперь никакого толку. А когда-то даже отоваривался ею, наличку снимал, в метро платил, получая деньги с российских заказчиков.

Я помню ЯНДЕКС ДЕНЬГИ, их картой игры покупал. Пока мог…

Аналогично. Яндекс.Деньги, а затем Юмани - это был самый адекватный способ получить деньги в РФ и потратить их где угодно и как угодно. Игры в Стиме я, кажется, тоже покупал. Еще раньше пользовался Вебмани, но они были забюрократизированы, неудобны и множили сущности на пустом месте.

Да, в отдельном профиле фарфокса из которого по стрёмным сайтам не шатаюсь, а только для делов, хотя нужен он раз в год если не реже. А так, там csv со списком доменов, они сейчас если не все то многие с https на сертах какой то globalsign

Не установлен и нет необходимости

Нет. Лучше пешком в отделение схожу если понадобится, нежели всякую срань от мутных братишек буду в систему ставить. Ну и пока что он не нужен.

Проголосовал «Установлен в основном профиле основного браузера», это надо по работе.

а только для делов

Тоже установил в отдельный профиль Firefox, когда увидел, что без него Сбербанк-онлайн отказывается делать выписку по карте (он для этого загружает фрейм из отдельного домена vypiska-чего-то-там). При том, что остальные операции самого Сбербанк-онлайна работают и без этого сертификата.

Ещё всякое говно я не ставил на свой компьютер

Установил. Это же не исполняемый бинарник, от него вреда не будет

Сбер юзает же harica dv tls rsa. Нет никакого корневого сертификата от минцифры

Нет, вебмани (кроме совсем раннего периода) как раз совсем не бюрократизированы были по сравнению с другими способами создать где-то счёт (как в инете так и в банках). Бюрократизация началась благодаря нововведениям в законодательстве - но и тут они не стали хуже других, просто вынужденно ввели все процедуры которые у других и так были.

А было так: создаёшь логин-пароль в пару кликов (не помню, просили ли почту или нет), тебе выдают номер кошелька и всё - можешь на этот номер принимать платежи и с него же куда-то переводить/платить в браузере (с авторизацией по паролю и больше не нужно НИЧЕГО). Называлось это вроде webmoney keeper mini. До того как оно появилось - нужна была программа с какими-то защитными технологиями, это да было муторнее.

Банки что-то похожее по простоте использования (и то, не дотягивают) осилили сделать только спустя больше 10 лет после того как зарегулировали-задавили ВМ. У Яндекса всегда надо было больше всего заполнять + больше комиссии.

Не знаю. Сайты работают. Яндекс-браузер.

Что-то тут все пункты про браузер, а у меня проверкой сайтовых сертификатов управляет не браузер а локальное прокси. В браузере же стоит в доверенных проксевое mitm-ca.

А так - не устанавливал, пока не требовалось, но надо будет установить когда-нить.

О! пока нужды не было, но скоро потребуется. Спасибо за ссылку. Буду знать где брать.

зы странно, что потребовался «пинок» от запада для формирования своего корневого сертификата. давно надо было.

Есть одно «НО», голосование имеет смысл только для резидентов РФ.

«Установлен в основном профиле основного браузера».

...и теперь минцыфры может почти незаметно MitM-ить твои HTTPS сессии.

…и теперь минцыфры может почти незаметно MitM-ить твои HTTPS сессии.

как недавно выяснилось, и с LE ребята легко провернули MitM. Нужны доп.проверки сертификата (не только валидность). так что эти пугалки для детей про тов.майора можете не рассказывать.

минцыфры

цИфра

Не установлен, и скажем дружно ….. …..

цИфра

Правильно, это если про цифры

минцыфры

А это про сабж.

А вообще, если ты забрал просраченный домен и поставил на него LE, это одно, а если ты МОЖЕШЬ завернуть весь траффик 1/6 суши на свой прозрачный прокси - это другое.

Официальное сокращенное название — Минцифры России

Тебе б почитать немного на эту тему. Хотя бы детальный разбор пор недавний mitm от Хетцнера с сертификатом от LE.

Зы это ты к чему 1/6 суши приплел? 😂. Как квадратные километры к интернету относятся?

как недавно выяснилось, и с LE ребята легко провернули MitM.

Случай с LE показывает, что сертификаты не способны защитить от MiTM, расположенным между центром сертификации и хостингом сайта.

От MiTM, расположенного между сайтом и его конечным пользователем они прекрасно защищают, до тех пор пока центр сертификации сам не участвует в построении MiTM.

Я сильно на идиота похож?

Нужен внешний наблюдатель, чтобы выявлять даже подмену с участием центра сертификации. Об этом было упомянуто в том расследовании с LE (сам факт выдачи левого сертификата, пусть даже валидного по всем понятиям и не важно где и как осуществляется врезка)

Не путай:

1) центр выдал левый сертификат который не должен был выдавать

2) у кого-то отжали айпи-адрес и легитимно получили сертификат на расположенный на нём сайт

Общее у этих двух ситуаций только последствие, а так это совершенно разные вещи.

я не путаю… в случае с хетцнером - это частный случай, по факту же был валидный сертификат. т.е. ровно также будет валидный сертификат, если есть сговор с центром сертификации.

смысл в том, что спать спокойно только лишь потому что у тебя валидный сертификат и прям безмерное доверие центру сертификации - иллюзия :). как я уже писал выше, этого недостаточно. нужны внешние сервисы-наблюдатели (из других ДЦ, на разных континентах), которые будут проверять сертификато твого хоста. хотя, эта мера не выявляет врезку гарантированно. но минимизирует. просто чем ближе к клиенту врезка, тем шансы защититься от врезки стремительно уменьшаются.

Я сильно на идиота похож?

Не сильно.

А где вариант «установлен, но выключен, и включается только по необходимости на время»?

Принципиально не ставлю в систему «MITM-вирусню».

Я, видимо, застал Вебмани какого-то короткого промежутка времени, примерно с 2010 по 2012 год. На Яндексе было просто: заполнил форму - пользуешься. Да, могли счёт заморозить, но покажешь паспорт - разморозят. Меня, кстати, не замораживали.

Вебмани же - куча кошельков под каждую валюту, какие-то биржи, какие-то обменники, какие-то местные агенты в подвальчиках с тремя разными статусами. Три версии кипера, которые не являются взаимозаменяемыми. Притопать в банк - и то было проще и приятнее.

Комиссия в 0,8% с момента получения рублей до момента вывода гривен снималась то ли два, то ли три раза. Яндексовские 3% снимались только при выводе средств. Получил рубли - сразу плати в Стиме, рассчитывайся картой ЯД в украинских супермаркетах по щадящему курсу, снимай налик или выводи деньги на счёт под те же 3%.

Тем временем, Вебмани блокировали счета блогерам за то, что они что-то не то сказали в этих ваших интернетах. У Экслера, кажется, была такая история.

Недавно столкнулся с тем, что публичная кадастровая карта (pkk.rosreestr.ru) не работает через хромимум (и даже в выдаче гугл-поиска её не видно). Случайно понял, что ей нужен яндекс.браузер. Сайт госуслуг и сайты банков предупреждают об этом, а в случае росреестра как-то втихую.

Сертов от ментцифры нет. Благодарю.

установлен яндекс-браузер, в котором вроде как есть этот сертификат. Запускаю его примерно раз в год.

Необходимость видимо рано или поздно должна появиться, но как-то не появляется.

Но даже если появится, мне как-то MITM от тврщмйра как-то не сильно нужен, видимо просто откажусь от тех сервисов, которые его будут навязывать.

Я не бухгалтер, не ставил

Да, установлен в основном профиле. Проблем с доверием не вижу.

ЗЫ. Учитывая, что доверие в текущей системе сертификатов мертво в принципе, то какая хрен уже разница - соединение работает и ладно.

меня это беспокоит примерно так же как камеры на улицах

Пссс, парень, PRISM. Не смущает ничего? Или это другое?

firefox -P shopping -no-remote

Ставить этот сертификат небезопасно не только из-за угрозы согласованного государством MitM-а, но и потому, что не понятно какая организация ответственна за выпуск и хранение закрытого ключа сертификата. Судя по этой статье, там не то, что «хотели как лучше, а получилось как всегда», а с самого начала всё через ж*@у делается.

Установлен в основном профиле основного браузера

интенсивные дискуссии

Когда скомпрометируют хоть разок, тогда и посмотрим. До тех пор не хуже и не лучше, чем всё что угодно.

Пссс, парень, PRISM. Не смущает ничего? Или это другое?

Так то американский майор, он до россиян дотянуться не может. А российский может.

PRISM наплевать на Бакунина и Кропоткина, например.

Думали выслать на ряд по вашему адресу, гаржданин-что-то-скрывающий, а потом решили: «Так этот гражданин даже не думает что когда-нибудь покинет Россию… Не будем дёргать патриота. Пусть трудится на благо Родины.»

У меня виртуалка с установленным в нее Яндекс браузером.

гаржданин-что-то-скрывающий

Думаю, не стоит заниматься здесь нацполом, тематика сайта не про это. Но вообще в России достаточно поддерживать какие-то общечеловеческие ценности: быть против войн, за демократию, за либеральные ценности, чтобы получить десятки лет тюрьмы. Злые западные спецслужбы будут иметь к тебе претензии, если ты наркотой крупно торговать будешь или терроризмом заниматься — список преступлений уже совершенно другой, ничем этим я не занимаюсь и заниматься не собираюсь. Так что да, на интерес западных спецслужб мне пофиг, я не Виктор Бут, а вот отечественной гебне есть за что меня схватить.

Вот как раз в это время у вебмани всё было прекрасно.

заполнил форму - пользуешься

А у ВМ кажется и формы не было. Или была но декоративная, важен из неё только логин/пароль.

Вебмани же - куча кошельков под каждую валюту

Не куча а по одному. Ну, у каждой валюты отдельная цифра её количества в наличии, а как иначе?

какие-то биржи, какие-то обменники, какие-то местные агенты в подвальчиках с тремя разными статусами.

Это всё опционально. В частности обменник нужен только если хочешь обменять валюты.

Три версии кипера, которые не являются взаимозаменяемыми

Регишься через сайт, пользуешься через сайт - версия одна, про остальные можно не думать.

Притопать в банк - и то было проще и приятнее.

Нет, разумеется. Как вообще можно такое подумать:

1) анонимный аккаунт без документов и ПД - просто зарегься (как на ЛОРе) и сразу пользуйся

2) интегрирован практически во все месте, которые хотят принимать оплату через инет, на тот момент - было именно так, для приёма даже коммерческих платежей у них всё было тоже максимально просто, (хотя тут без ПД вроде уже не обойтись было), поэтому все инет магазы, включая стим, себе его подключали, а на самом сайте ВМ был виртуальный «терминал оплаты» для всяких инетов и вроде даже комуналок - ассортимент больше чем на физических которые растыканы в ТЦ

3) проведение платежей сделано сразу безопасно с учётом современного понимания того, как надо защищать авторизацию от утечек

И банки:

1) чтобы «зарегиться» - иди в отделение, показывай документы, заполняй какие-то бумажки, а потом ещё жди неделю пока «заказ» исполнят

1а) банк охотно делится данными о твоём счёте со всякими налоговыми и прочими органами

2) поддержка онлайн платежей через банк (на тот момент) очень мало распространена, местами хоть и поддерживается но через какие-то левые прокладки типа пайпала

3) жуткое небезопасное легаси, для оплаты приходится по факту сообщать plain-text реквизиты доступа к карте третьим лицам, а сам этот имитатор пароля имеет никакую стойкость; невозможно проконтролировать сколько именно захочет списать приниматель платежа, а хуже того, не захочет ли он списать ещё что-нить через год по тому же выданному ему доступу; да, нежелательные операции потом можно бюрократически муторно оспаривать, но сравни с ВМ где такая ситуация в принципе невозможна и тебе показывают исчерпывающую информацию о списании до того, как ты его одобришь

На данный момент пункт 2 у банков исправлен очень заметно (но - не до конца), пункт 3 - частично (поверх дырявого легаси навесили ещё костылей с доп. подтверждениями, но сделано так что большинству проще отключать это для маленьких сумм), пункт 1 - почти никак, хотя небольшие подвижки есть - вторую и далее карту таки можно оформить удалённо, если у тебя уже есть какая-то этого банка.

Так что даже спустя 10 лет как зарегулировали ВМ (я почти уверен что интерес банков к устранению конкурента тут имелся), они всё ещё не дотягивают до его уровня тех времён.

Комиссия в 0,8% с момента получения рублей до момента вывода гривен снималась то ли два, то ли три раза. Яндексовские 3% снимались только при выводе средств.

Ну так, 0.8*2 = 1.6 это меньше 3. И даже если перевода два то 0.8*2.4 всё равно меньше 3.

Получил рубли - сразу плати в Стиме

ВМ именно так.

рассчитывайся картой ЯД в украинских супермаркетах по щадящему курсу

Насчёт этого не знаю.

снимай налик

Зачем? Можно тратить с кошелька сразу.

Впрочем, я не использовал ВМ «для всего», скорее как вспомогательный платежный механизм (основной, разумеется, нал без вообще участия любых компьютерных систем). Возможно, «для всего» он и не был так удобен. Но банки ещё более неудобны, ввиду указанных выше причин.