Comments 36
А вот кстати, есть какое-то user friendly решение для проверки наличия недоверенных сертификатов сразу во всех хранилищах? Что-то типа sigcheck от Sysinternals, но чтобы не только Windows хранилище проверяло, но и используемые браузерами, и лучше бы не из командной строки?
Хочется свои раздаваемые знакомым рекомендации не ставить сертификаты Минцифры и иже с ними куда попало сопровождать простой и понятной инструкцией, как обычному непродвинутому пользователю проверить, не понаустанавливал ли он уже лишнего.
недоверенных
Если он есть в корневых, то он доверенный. В том и проблема, что у ваших знакомых в корневых сидит как сертификат условного LetsEncrypt, так и Минцифры. И оба они доверенные с точки зрения системы.
У корневого же сертификат нет вышестоящего корня, на то он и корневой.
То есть, такая утилита, если она будет создана, должна искать не по признаку "недоверенный", а по имени издателя. Грубо говоря, if издатель == "Russian Trusted Root CA" then print("алярм").
Некорректно сформулировал. Имелось в виду - не входящих в актуальные на текущий момент списки доверенных корневых сертификатов у того же Microsoft или Mozilla. Т.е. делать то, что делает "sigcheck -tv", но для всех хранилищ и user-friendly образом (в идеале просто: скачал - запустил - показало результат - предложило удалить лишнее).
А то ладно Минцифры... помнится, утилита "настройки ЭЦП" от Контура, по крайней мере несколько лет назад, по широте душевной пихала в доверенные корневые сертификаты десятков каких-то ведомственных и региональных УЦ (вероятно, использующиеся на закупочных площадках или отраслевых порталах, которые нужны единицам, а устанавливались они все скопом по умолчанию).
Будет много ложных срабатываний. Например, даже клиент Battle.net ставит в систему свой корневой сертификат (Blizzard Battle.net Local Cert). Неопытный пользователь рискует снести что-то нужное.
Ну вот этот факт неплохо бы пользователю и показать как минимум. А там пусть решает, доверять этому battle.net или нет. Я ни разу не геймер, без понятия, что это за контора и зачем ей понадобилось так странно поступать.
P.S. обсуждения на эту тему, которые сходу нагуглились, датируются 2017-2019 г.г., так что не знаю, актуально ли это ещё. Но судя по тем обсуждениям, там таким образом был реализован весьма костыльный способ общаться с сервером на localhost по HTTPS, и при этом сертификат не был корневым, хоть и устанавливался почему-то в хранилище для корневых (тут уже в какие-то дебри надо забираться, чтобы понять смысл сего действа).
Спасибо за sigcheck, не знал о нём!
Как вариант - прогнать сайт с сомнительным сертификатом через https://www.ssllabs.com/ssltest/ который, скажем, в случае с сертификатом т.н. НУЦ покажет, что ему не доверяет ни один из популярных браузеров.
Вообще учитывая, что в какой-то момент государства продавят установку своих сертификатов, имело бы смысл предусмотреть отдельное хранилище и отдельный значок для сайтов защищенных подобной защитой.
Потому что если человек захочет пользоваться госуслугами (или его аналогом), сервисами в налоговой итп, то государство может обязать использовать на них только гос. сертификаты. И дальше или пользователь получает кучу алярмов от браузера, или ставит сертификат в доверенные. Как говорится, что с большей вероятностью выберет пользователь?
А вот какой-либо специальный значок вместо "замочка" мог бы дать понять, что сайт защищён гос. сертификатом, что с одной стороны повышает вероятность, что вы пользуетесь настоящим сайтом госуслуг, с другой - заставляет быть осторожнее, если этот значок появляется на сайте обычного форума.
Идея хороша в теории, но вот на практике...
Обычный пользователь с вероятностью 99% ни на какие значки внимания обращать не будет. Открывается, работает - прекрасно. Даже если диалоговое окно выводить каждый раз при заходе на такой сайт - будет не читая тыкать "ОК", и спроси его, что он только что нажал, - честно ответит "да не знаю, опять компьютер барахлит, как всегда".
А продвинутый пользователь и так себя обезопасит, выделив для работы с госсайтами (а по ходу, скоро и с банками, и до кого там ещё регулирование дотянется) отдельный браузер, а лучше отдельную виртуальную машину.
Простого решения, как обезопасить обычного пользователя на его личном компьютере (где ему не урежешь права и не ограничишь установку левых сертификатов) в сложившейся ситуации я, увы, не вижу. Он может всё услышать, всё понять, но когда ему следующий раз будет очень надо и очень срочно, - натыкать "ОК", не читая, в каких угодно окошках и через полчаса забыть, что и где именно он сделал. Поэтому я комментом выше и интересуюсь хотя бы удобным средством выявления и устранения последствий таких действий.
Открывается, работает - прекрасно. Даже если диалоговое окно выводить каждый раз при заходе на такой сайт - будет не читая тыкать "ОК", и спроси его, что он только что нажал, - честно ответит "да не знаю, опять компьютер барахлит, как всегда".
Ну справедливости ради, я не вижу ничего особо ужасного в гос. сертификатах, при условии, что они дополнят, а не заменят, нынешнюю систему. В конечном счёте логично, если гос. сайты - работают с гос. сертификатами. Ситуация, когда даже теоретически, зарубежный ЦС может отозвать сертификат по требованию своего правительства - она не приемлема (и я не только про РФ сейчас).
Опять же - "рядовой" пользователь, вряд ли прячет от государства что-то настолько критическое, чтобы его волновало, гос. сертификат используется или коммерческий. Неприятно конечно, что могут подсмотреть, но не смертельно. А те, кому это важно - им объяснять где какие сертификаты б.д. не надо. И отдельное хранилище для гос. сертификатов - как раз ориентированно на них.
Я как-то интереса ради, проводил нерепрезентативный опрос знакомых айтишников, которые очень беспокоились, что спецслужбы могут читать их почту, сколько из них зарегили и используют сертификаты для своей почты, хотя бы для подписывания, если шифрование невозможно из-за адресатов. С сертификатами оказалось меньшинство "обеспокоенных".
Так основной риск не в том, что государство что-то там будет читать, а в том, что даже если ключ от госсертификата (или услугу по подписанию им) не то, что по рекомендации/связям и за большие деньги предоставлять будут, а вообще в открытую в даркнете ими торговать начнут, - государство в логике существования бюрократической системы до последнего будет утверждать "у нас ничего не утекало" и "это фейк". В текущей ситуации в случае любых подозрений работают механизмы типа описанного в статье. А для госсертификатов этого нет.
Неприятно конечно, что могут подсмотреть
Могут подсмотреть всё. Вообще всё. Логины, пароли, приватные ключи, весь передаваемый и загружаемый контент. Могут добавить реакции по ключевым словам, где список ключевых слов бесконечно расширяется в соответствии с текущей политической ситуацией. При этом всё дешифрованное может храниться в открытом виде на каком нибудь сервере логов без авторизации. Или продаваться недобросовестным чиновником в удобном виде. Или фильтровать доступ к неугодной информации. Или модифицировать отдаваемый контент добавляя к нему дополнительную нагрузку.
Могут подсмотреть всё. Вообще всё.
Хуже другое. Могут за вас ответов навводить.
а вы думаете с частными ЦС такое невозможно? Их тоже с лёгкостью (ок, с той или иной степенью легкости) может заставить творить что захочет местное правительство. Если их деятельность создаст существенные трудности в реализации предусмотренного Конституцией почти всех стран на раскрытие тайны переписки по закону.
Поэтому вопрос игорировать гос. сертификаты - это страусиная позиция разработчиков. Лучше бы придумать как дать знать пользователю, что сайт защищённый гос. сертификатом. Для госуслуг (и их аналогов) - это доп. гарантия их подлинности (а что на нём делает пользователь государству итак известно). Использование гос. сертификата на форуме - каждый сам решает, подходит ему это или нет.
Их тоже с лёгкостью (ок, с той или иной степенью легкости) может заставить творить что захочет местное правительство.
А вы статью-то вообще прочитали? Она как раз о том, что "частный ЦС" отказался доверять не то что государственным сертификатам, а сертификатам компании замеченной в связях "с компаниями, у которых обнаружились связи с разведывательным сообществом США".
А вы статью-то вообще прочитали? Она как раз о том, что "частный ЦС" отказался доверять не то что государственным сертификатам, а сертификатам компании замеченной в связях "с компаниями, у которых обнаружились связи с разведывательным сообществом США".
Эээ, в какой момент Mozilla стала "частным ЦС"? Она лишь использует (или нет) сертификаты частных ЦС. А частный ЦС как раз и отличился тем, что выдал сертификаты "по просьбе" компетентных товарищей.
Поэтому вопрос, вы внимательно прочли мой коммент? Речь шла о том, что когда (а не если) государства продавят использование гос. ЦС хотя бы для гос. сайтов, браузерам надо иметь соответствующую нишу куда поместить такие ЦС.
Потому что при нынешней модели, рядовой пользователь не будет заводить отдельный браузер или отдельный профиль в браузере, а просто следуя инструкции на сайте установит сертификат гос. ЦС в список доверенных ЦС, потому что иначе ему будет неудобно взаимодействовать с госуслугами (или их аналогами в других странах). А государство (при желании и возможности) получит возможность злоупотреблять своим положением в дальнейшем.
А вот если предусмотреть отдельный уровень доверия для гос. центров сертификации - это позволит с одной стороны спокойно работать с сайтам гос. органов, а с другой - предупреждать, если обычные сайты вдруг решили воспользоваться гос. сертификатом.
А как вы собираетесь определять, государственный сертификат или не государственный? Ну прилепите вы даже отдельное хранилище, так издатель сертификата в инструкции для пользователей всё равно напишет ставить его в основное. Тем более если государство планирует следить за народом. А если пользователь даже установит сертификат в отдельное хранилище и на сайте будет висеть замочек, то "обычному пользователю" будет объяснено, что это для его же безопасности. Даже если пользователь учует обман, то будет поздно - соединения то уже установились и траффик пошёл.
Собственно, согласен с комментатором выше. Mozilla хоть и не представляет CA, но является корнем доверия. И если для местного правительства так просто принудить CA к сотрудничеству, то не проще ли создать свой CA и принудить к сотрудничеству Mozilla?
А как вы собираетесь определять, государственный сертификат или не государственный?
Ну, например, он выпущен государственным учреждением или по распоряжению правительства, итд. Задам обратный вопрос, а как вы собираетесь исключать ЦС из доверенных "за слишком плотную связь с государством" в таком случае?
Ну прилепите вы даже отдельное хранилище, так издатель сертификата в инструкции для пользователей всё равно напишет ставить его в основное.
Вопрос первый: если условный сайт госуслуг открывается нормально с гос. сертификатом установленным в отдельное хранилище, зачем рядовой пользователь будет дёргаться и что-то куда-то доп. ставить?
Вопрос второй: зачем государству это писать? Если какой-то форум хочет использовать гос. сертификат - ну его право, он может предупредить об этом и попытаться обосновать свой выбор, дальше посетитель сам решает.
А если пользователь даже установит сертификат в отдельное хранилище и на сайте будет висеть замочек, то "обычному пользователю" будет объяснено, что это для его же безопасности.
Вот тут не понял, в настоящее время сертификат уже не свидетельство подлинности сайта, а скорее лишь факт шифрования трафика. (Кстати именно поэтому гугл хочет убрать замочек из будущих релизов)
Допустим вместо замочка будет висеть гос.флажочек. С одной стороны - если пользователь сидит на госуслугах, это повысит его доверие к такому сайту. Если он сидит на обычно форуме - это позволит ему задаться вопросом, а там ли он находится. Вполне возможно пользователь решит, что и фиг с ним, и это уже его право.
И если для местного правительства так просто принудить CA к сотрудничеству, то не проще ли создать свой CA и принудить к сотрудничеству Mozilla?
Опять не понял, кому проще создать свой ЦС и кто будет принуждать Mozilla - США (вроде Mozilla там зарегистрированна)? Или условный Китай с Россией?
В первом случае не очень понятно зачем принуждать Mozilla, если и так большинство CA находятся в США. Во втором случае, можно конечно заблокировать, например, сайт Mozilla или выход в инет с этого браузера... Но всё равно не очень ясен посыл данного абзаца.
Повторюсь, с моей т.з. есть проблема легитимных гос. сертификатов, которое каждое нормальное государство рано или поздно захочет иметь как минимум для гос. сайтов (я лично с трудом представляю, что гос. сайты США могут быть с сертификатами от CA из КНР или там Мьянмы, почему должно быть обратное?) Для исключения потенциального вмешательства в обычные коммуникации - имеет смысл выделить их корневые сертификаты в отдельное хранилище.
И есть вторая проблема, что практически любое государство по Конституции имеет право на нарушение тайны переписки по решению суда. На данный момент, временно сложилась ситуация, которая делает невозможным реализацию этого права. Но как показывает опыт, государство работают медленно, но не отступно. Поэтому в той или иной форме этот вопрос тоже будет решён, например, могут разрешить использовать в сети сертификаты только тех CA, которые гарантировали государству, что обеспечат выпуск требуемых сертификатов на основании судебного приказа. В противном случае такой трафик будет блокироваться на периметре государства.
И что в подобном случае сможет сделать команда браузера? ну включат они в список по умолчанию только те CA, которые отказались подписывать подобное соглашение. Вот только сайтов с этими сертификатами в доступной сети не будет. И пользователь будет, матерясь, ручками самостоятельно добавлять "одобренные" CA в список доверенных. Или переходить на сборки, в которых это уже сделано.
P.S. на всякий случай, я не говорю, что мне нравится такая перспектива. Но будучи реалистом и зная немного историю, не могу не отметить, что государства имеют время и силы, чтобы настоять на своем. Поэтому лучший выход - это задуматься о возможном компромиссе сейчас (когда преимущество на нашей стороне), прежде чем мы окажемся в ситуации, когда условия нам просто продиктуют.
Ну, например, он выпущен государственным учреждением или по распоряжению правительства, итд
Имел в виду со стороны программиста а не пользователя.
Вопрос первый: если условный сайт госуслуг открывается нормально с гос. сертификатом установленным в отдельное хранилище, зачем рядовой пользователь будет дёргаться и что-то куда-то доп. ставить?
Т.е. вы имеете в виду, что сертификат уже будет в поставке браузера? Как-то не очень...
Допустим вместо замочка будет висеть гос.флажочек. С одной стороны - если пользователь сидит на госуслугах, это повысит его доверие к такому сайту. Если он сидит на обычно форуме - это позволит ему задаться вопросом, а там ли он находится. Вполне возможно пользователь решит, что и фиг с ним, и это уже его право.
Вот об этом и речь. Государство в промо-роликах будет утверждать что всё нормально и это для защиты. Рядовой пользователь, не сильно понимающий концепцию CA будет верить. Особенно если сам же пользователь по инструкции и установил тот сертификат.
Опять не понял, кому проще создать свой ЦС и кто будет принуждать Mozilla - США (вроде Mozilla там зарегистрированна)? Или условный Китай с Россией?
Тем же USA (они ведь злые и хотят следить) создать фиктивный CA и принудить мозиллу включить их сертификат в доверенные.
не очень понятно зачем принуждать Mozilla, если и так большинство CA находятся в США
Здесь частично согласен. Компрометация существующего CA не должна быть такой же заметной, как добавление фиктивного.
Для исключения потенциального вмешательства в обычные коммуникации - имеет смысл выделить их корневые сертификаты в отдельное хранилище
Для этого есть отдельный профиль браузера со своим хранилищем. Действительно надёжно во всех планах.
практически любое государство по Конституции имеет право на нарушение тайны переписки по решению суда
Прослушать конкретного пользователя или ресурс - да. Контроллировать целый CA и MitM'ить всё до чего руки дотягиваются - ни в коем случае. Во всяком случае сейчас...
Поэтому лучший выход - это задуматься о возможном компромиссе сейчас (когда преимущество на нашей стороне), прежде чем мы окажемся в ситуации, когда условия нам просто продиктуют
Ни в коем случае! В этом вопросе никаких компромиссов быть не должно. Если идти на поводку, то будет
В противном случае такой трафик будет блокироваться на периметре государства
... что уже даже доказано практикой. Если государство обзавелось своим CA - пусть пользователь ставит сертификат куда хочет, но в случае обнаружения злоупотреблений при обновлении браузера сертификат должен быть удалённым из хранилища. Но отдельный флажек в том же профиле - не панацея, ведь узнаете вы о MitM уже по факту соединения с сайтом и передаче данных.
Т.е. вы имеете в виду, что сертификат уже будет в поставке браузера? Как-то не очень...
а что не очень? Сейчас в комплекте есть сертификаты множества ЦС, почему не добавить гос. ЦС, особенно если они будут отмечены отдельной категорией.
Можно делать сборки по странам, чтобы американцам шла версия с американским ЦС, а русским - с российским ЦС. Или нужен какой-то скрипт, который в процессе установки может выкачать и добавить сертификат, чтобы пользователю не пришлось это делать руками.
Для этого есть отдельный профиль браузера со своим хранилищем. Действительно надёжно во всех планах.
ага, вот только если пользоваться этой фичей согласятся 0,0005% потенциальных пользователей, а остальные просто добавят в стандартные доверенные ЦС - это будет ненадёжно "в общем", хотя для частного случая - надёжнее (впрочем никто не мешает делать сборку / установочный скрипт "для гиков", который не содержит гос. сертификатов).
Ни в коем случае! В этом вопросе никаких компромиссов быть не должно. Если идти на поводку, то будет
Ещё раз, я не говорю, как именно надо решать проблему (я лишь предлагаю то, что мне приходит в голову по ходу обсуждения, но надеюсь, что найдутся люди лучше разбирающиеся в теме), а лишь о том что сейчас ещё не поздно задумать над тем, какое можно предложить решение, чтобы реализовать право государства на нарушение тайны переписки. Возможные варианты - это предмет для обсуждения.
Но я пока вижу только заявления с апломбом, что "на это мы никогда не пойдём". И типа пусть попытаются ещё что-нибудь придумать, а мы подумаем и снова откажемся.... Вот только рано или поздно, пользователей поставят перед фактом, что "теперь будет так". И можно ТАК пользоваться интернетом, а можно гордо отказаться и не пользоваться. И это стопроцентно будет хуже, чем возможный ранее компромисс.
но в случае обнаружения злоупотреблений при обновлении браузера сертификат должен быть удалённым из хранилища
эээ, знаете, если он туда поставлен скриптом - то да, может и можно удалить. А если его пользователь ручками добавил - то максимум можно предупредить пользователя и предложить удалить. А иначе такую "самостоятельную" программу просто снесут и поставят более послушную и будут абсолютно правы.
Смысл внедрения гос сертификата только на словах в том, чтобы обеспечить доступность и независимость интернет ресурсов. На деле это конечно же задел на подмену сертификатов и MitM. Поэтому не будет такого значка в браузерах. В российских так точно.
Я относительно недавно первый и последний раз попробовал браузер от Яндекс на Андройде. Так там нет информации о сертификате вообще. Сначала я был шокирован, а потом узнал, что и Сафари этим грешит.
Смысл внедрения гос сертификата только на словах в том, чтобы обеспечить доступность и независимость интернет ресурсов. На деле это конечно же задел на подмену сертификатов и MitM.
конечно, исключительно для этого во всем мире правительства стараются перевести свои (правительственные) сайты на собственные сертификаты. А возможность, что другое правительство заставит коммерческий ЦС находящийся в их юрисдикции выпустить любой нужный сертификат (само собой в строгом соответствии с действующим в той стране законом) - мы заранее исключаем.
Поэтому не будет такого значка в браузерах. В российских так точно.
Повторюсь, я говорил о браузерах вообще.
Сейчас кстати уже писали, что гугл планирует заменить значок замка на значок настроек в хроме, так как подлинный сертификат на gosusiugi.ru получить несложно.
С другой стороны - если крупные браузеры внедрят отдельное хранилище для гос.сертификатов - это вынудит и остальные браузеры последовать их примеры. До тех пор пока это не случится, пользователи будут вынуждены устанавливать корневой гос.сертификат в список доверенных, так как иной альтернативы нет (ну кроме как не пользоваться гос.интернет сервисами вообще, а посещать все учреждения лично).
Вообще учитывая, что в какой-то момент государства продавят установку своих сертификатов
Мне видится идея с областью действия сертификатов. К примеру, встроенные в браузер сертификаты по умолчанию должны иметь неограниченную область действия, а для добавленных вручную или для доверенных в хранилищах операционной системы пользователь должен сам выбрать, к каким доменным зонам он может быть применим. Государственные сертификаты, встроенные в браузер, должны быть ограничены только доменными зонами тех государств, которые их выдали (например, .ru и .рф для российского), но с невозможностью легко расширить зону действия пользователем (для защиты от дурака) и по умолчанию отключены, пока пользователь не одобрит их для каждого сайта отдельно.
Как видно из предыдущей истории, разработчики внимательно следят, чтобы в доверенные хранилища не попали сомнительные УЦ, которые замечены в связях с государственными органами.
Из этой истории как раз видно, что следят не очень внимательно: пока гром не грянул, мутный офшор из Панамы считался достойным включения своего корневого сертификата в хранилаща.
Анекдот от первого лица:
Как-то раз позвали меня составить компанию в преферанс. Раздача, один из игроков объявляет игру (пусть будет мизер), говорит, что не ловится, все соглашаются. Я прошу вскрыть карты, а мне говорят - Зачем? Мы тут на слово верим.
Тут-то мне карта и повалила.
Теперь о раздающих доверие и это вовсе не анекдот:
Собралась группа неизвестных мне лиц, объявила себя наичестнейшими людьми и стала торговать доверием к сертификатам. Тут кому-то карта и повалила. А кому-то и нет, потому как "Неизвестные Отцы" сказали, что им доверять нельзя.
.
В браузерах и системе мне не хватает вменяемого детального управления сертификатами, чтобы пользователь (понятное дело, не "обычный", а понимающий) мог сам управлять цепочками доверия. Например, госуслуги удостоверяются сертификатом минцифры, мой локальный сайт моим, самосгенерированным, а гуглопоиск - другим сертификатом. И никак иначе.
Сейчас же, если корневой сертификат установлен в систему (или в браузер) он может удостоверить все, что угодно.
Можно, конечно, для каждого случая завести виртуалку с единственным корневым сертификатом или даже посмотреть для текущего сайта цепочку доверия, но это сильно усложняет жизнь и оправданно только в единичных случаях. Кроме того, это создает проблему переходов и пересечений между "мирами".
Вот и хотелось бы мне, чтобы браузер сразу сигнализировал, что какой-то сайт или его элемент, загруженный с другого домена, внезапно оказался подписан сертификатом, восходящим не к тому корневому. Например: мой самоподписанный сайт вдруг стал удостоверяться не моим сертификатом, а каким-то еще.
ну Firefox поддерживает создание отдельных профилей, плюс у него свое хранилище сертификатов привязанное к профилю.
В теории наверное можно сделать несколько профилей, и в каждый добавить сертификаты по отдельности: в один - американские, в другой - российские, в третий - коммерческие. Вот только геморрою будет много, и все кроме упоротых гиков бросят это после третьего переключения.
А в чём, собственно, сложность? Создаёте профиль под "государственные" ресурсы, импортируете туда сертификаты и пароли, делаете ярлык в удобном месте и пользуетесь. Дело на 5-10 минут. Переключение между профилями - это переключение между окнами, которые никто и не заставляет закрывать. Как и вкладки внутри профиля. Так что это даже удобнее в том смысле, что вкладки не будут занимать место в основном окне. При желании можна и тему для профиля другую выбрать, чтобы сразу по дизайну видеть где вы сейчас находитесь.
Upd: копируете ярлык и в параметр запуска ярлыка после firefox.exe вписываете -p profilename . Открываете ярлык. Появится мастер работы с профилями, ведь профиля с таки именем нет. Создаёть профиль profilename. Жметё "выход". Теперь при открытии обычного ярлыка будет открываться стандартный профиль, а при открытии модифицированного - "государственный"
А в чём, собственно, сложность? Создаёте профиль под "государственные"
ресурсы, импортируете туда сертификаты и пароли, делаете ярлык в удобном
месте и пользуетесь. Дело на 5-10 минут. Переключение между профилями -
это переключение между окнами, которые никто и не заставляет закрывать
Сложность в переходах и пересечениях, например, когда надо перейти на ресурс с одним корневым сертификатом, по ссылке поиска с другом корневым сертификатом), или когда сайт подгружает фрагмент (текст, картинку и т.п.) с другого домена, подписанного другим сертификатом.
Если бы использование тех же госсертификатов ограничивалось только различными госуслугами (я не про конкретный сайт, а про вообще про услуги госорганов всех уровней), с которых нет смысла переходить куда-то, а все госуслуги подписывались исключительно госсертификатами, конечно, было бы проще. Но мир несколько разнообразнее и сложнее.
не "центра", а "центры"
Корневые хранилища сертификатов в браузерах. Основные доверенные центра Интернета