Comments 33
Надеюсь, Вы предупреждаете сотрудников о всех рисках установки корневого сертификата ЦА Минцифры на их домашние компьютеры, прежде чем рассылать описанный exe-шник...
Обязательно!
Все политики выдачи
Все политики применения
А расскажите хотя бы коротко о подобных рисках или ткните носом, где можно почитать.
Риск в том что становится возможна атака man-in-the-middle от Минцифры. Вы идете на gmail с https, а какой-нибудь СОРМ у провайдера вам подменяет сертификат на свой и читает всю вашу переписку. У вас при этом будет зеленый замочек.
Вообще сертификаты - штука основанная на доверии, вы должны доверять всем корневым организациям. Российские официальные органы не очень заслуживают доверие в целом.
А не Российские официальные органы значит заслуживают?
Для домашнего использования никогда не видел чтоб заморачивались, какому сертификату доверять или нет. А если домашний комп используется для работы, то обычно подключение через VPN с персональным ключом, тут MITM сразу мимо, но это уже другая история......
Доверять-то, конечно, нельзя никому, но есть нюансы:
для большинства пользователей шансы, что их деятельностью заинтересуется родное государство, на порядки выше, чем что ей заинтересуются какие бы то ни было структуры за его пределами;
в отношении коммерческого УЦ, который рискует многомиллиардным бизнесом, риски утечки ключа на порядки ниже, чем в отношении министерства;
в случае, если станет известно об утечке ключа доверенного корневого УЦ, можно рассчитывать на незамедлительный отзыв такого сертификата всеми браузерами; в случае, если станет известно об утечке ключа Минцифры, можно рассчитывать на очередное "это фейк и ничего у нас не утекало"...
Во-первых это, да. Во-вторых, в случае утечки приватного ключа этого сертификата (по раздолбайству или корысти ради) MitM атака может быть организована и в частном порядке, а не в рамках какой-то государственной политики. При оценке вероятности такой утечки тоже, увы, оснований для оптимизма мало.
Загрузка “свежих” сертификатов из сети
...
…
"%cd%\bin\Curl.exe" -O http://cert.sslkey.ru/CertCentre/PKI.zip
# и дальше нет проверки аутентичности архива
Воистину "Распространить сертификат в кратчайшие сроки среди станций Windows любой ценой", даже ценой установки чёрт знает чьих сертификатов в доверенные. За подобное руки отрывать надо.
А инструкция в картинках "как в винраре sfx архив сделать" на айтишном ресурсе - это вообще за гранью. Оно точно для хабра писалось?
"А если не будут брать – отключим газ" (c)
Самое смешное, что весь этот цирк с конями нафиг не нужен. Просто ставится браузер с поддержкой сертификата минцифры, и всё. Гораздо безопаснее, чем внедрять какие-то сертификаты на уровне системы.
Никого не ограничиваю.
Вы можете допилить так как вам будет удобно.
Если вдруг и будет желание поделитесь с сообществом. Я буду благодарен.
Переходите на светлую сторону. Используйте UNIX или Linux)
А вот интересно, что это у вас за огранизация в которой требуют поставить сертификаты минцифры на домашние компьютеры ...
Ну и, собственно, зачем..
set dir=%~dp0
%dir:~0,2%
CD "%~dp0\CertSetup\"
можно заменить на
CD /D "%~dp0\CertSetup\"
Батники в 2022, серьезно?
Повершеллу уже сколько, лет 15, а вы до сих пор баники пишете
Есть такая старинная поговорка - плохому танцору всегда что-то мешает
В данной конкретной ситуации достаточно и баника.
В данной конкретной ситуации power shell без всяких certmgr.exe и curl может сертификаты и выкачать и поставить. Не очень красиво говорить про танцоров, когда powershell позволяет решить задачу существенно красивее
Ради интереса, а где его нет?
Непонятно, а каким боком тут XP и 2003, если статья о клиентских машинах. Очень сомневаюсь, что сейчас много людей сидят на ESU, чтобы получать последние адпейты даже для 7ки, а под XP удалённых работников вообще пускать в окружение нужно запретить.
под XP удалённых работников вообще пускать в окружение нужно запретить.
К сожалению, нет способа бесплатно избавиться от XP. И новые windows, и услуги по их установке стоят каких-то денег, в том числе и на замену оборудования.
Очень сомневаюсь, что сейчас много людей сидят на ESU, чтобы получать последние адпейты даже для 7ки
ESU — это хорошее решение!
Если что, EOL у XP был в 2014-ом, 8 лет назад. У Server 2003 – в 2015-ом.
Предвосхищая дальнейшие мысли: и у Windows 7, и у Windows 8 (не проапгрейденной до 8.1) тоже уже случился EOL.
Если недоадмины, которые будут из принципа сидеть на всем старом, так как уже не поспевают ни за чем новым. И только бантики, только хардкор!
У вас уже есть операционная система. Она хорошо работает в сервере, который стоит на столе. К нему подведена ВОЛС.
Откуда же возьмутся деньги на покупку другой оптической линии, другого стола, другого сервера и другой операционной системы? Почему всё это нужно менять, если стол не треснул, сервер продолжает трудиться, оптический кабель в полном порядке, а ОС работает по-прежнему?
И если всё это действительно нужно заменить, почему сам администратор ЛВС не считает нужным оплатить покупку?
что вы уже получили деньги на операционную систему и уже купили её, однако у неё произошёл EOL
Внезапно произошёл? Если это случилось внезапно для вас – вероятно, вы профнепригодны. Если в 2013-ом или 2014-ом году вы купили Windows Server 2003. Не Windows Server 2008 (у которого EOL наступил в 2020-ом году – но в 2013-ом он уже был). Не Windows Server 2012, который вы и должны были купить в 2013–2014–ом году (и у которого EOL наступит ещё через годик, но понятно, сейчас он уже неактуален).
Впрочем, есть вариант с сознательной диверсией....
Почему всё это нужно менять, если стол не треснул, сервер продолжает трудиться,
Не нужно, конечно же. Но с другой стороны, такому серверу и обновлять «сертификаты Минцифры» не нужно, потому что этот сервер явно и очевидно не подключен к интернету (в обратном случае – см. пункт 1 про профнепригодность; ну а в ваших терминах – «стол уже треснул»). И поддерживать не надо. А значит, и решать проблемы «с написанием скриптов, которые бы работали на операционке, снятой с поддержки 8 лет назад», тоже ни к чему.
К слову, вы в курсе, что у Windows XP/Server 2003 в SSL-сертификатах вообще не поддерживаются все современные криптоалгоритмы на эллиптических кривых? Красота какая, а? Найдите там хоть какие-нибудь TLS_ECDHE_*
алгоритмы...
... впрочем, речь идёт разве что про 2014-ый год. В котором вы поставили-настроили сервер, а там опа, внезапно EOL.
А сейчас – 2022-ой. И EOL у сервера, который вы сейчас купите, не должен наступить раньше чем через 9 лет...
Внезапно произошёл?
Планомерно произошёл, по сути ничего не изменив.
А сейчас – 2022-ой. И EOL у сервера, который вы сейчас купите, не должен наступить раньше чем через 9 лет...
Как уже сказано выше, сервер (и оборудование, и ОС, и другие программы) давно куплен. Поэтому возникает вопрос, зачем второй раз платить за то, что уже было оплачено и продолжает работать. Стол, на котором стоит это оборудование, тоже в хорошем состоянии и не требует ремонта. И оптическая линия, проложенная провайдером, работает не хуже прежнего.
Распространить сертификат в кратчайшие сроки среди станций Windows любой ценой