Comments 13
почему установщик яндекс браузера в windows одновременно с установкой браузера не ставит корневой сертификат Russian Trusted Root CA (скачать можно отсюда gosuslugi.ru/tls) в хранилище Доверенные корневые сертификаты windows ? или это противоречит каким то правилам ?
Кому нужно, сделают ручками. А остальным сертификат от тов. майора не нужен и даже вреден.
Вам нужны ру сертификаты от майора? ))) вы знатный изв**нец )))
Тут больше вопрос , зачем Яндекс браузер ставит Алису (я убирал галочку при установке) с правами администратора. Хром, ФФ, Опере даже с доступом к TPM для криптокошельков не нужны права администратора при установки, очень странный момент.
Да и вообще, пока Яндекс идет к пути "установки RTRCA", я бы рекомендовал перейти на другой браузер.
Если установить корневой сертификат в системное хранилище, то любые браузеры будут доверять любым сертификатам, которые были подписаны этим корневым. Это противоречит смыслу нашего текущего решения:
1. Мы доверяем только тем сертификатам, которые доступны для публичного аудита через логи.
2. Мы не вмешиваемся в работу других браузеров.
Что будет делать Я.Браузер когда сертификат попадет в стоп-лист хрома?
(Блокировать или игнорировать?) https://venturebeat.com/2019/08/21/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/
Скорее всё-таки не "когда", а "если". Вроде как решили понаблюдать будут ли попытки MITM.
Вот что интересно — что Яндекс будет делать если сертификаты будут использоваться для MITM.
Тихо отключит проверку назвав это "техническим сбоем", как рассказывали про алгоритмы в "новостях".
Но сам MITM маловероятен, вся оппозиция уже за границей и вряд ли будет пользоваться Яндексом. Если только решат фильтровать контент на Ютубе, но это тоже из разряда фантастики с учётом объёмов трафика.
Умные люди таким не пользуются.
Сначала пользователь должен ответить себе на вопрос - кого он боится больше - ЦРУ или ФСБ? Если первых - пусть ставит Yandex. Если вторых, то лучше какой-нибудь другой браузер.)
Со своей стороны мы также создали форму в Яндекс Вебмастере, которая упрощает получение информации обо всех выпущенных национальных сертификатах для конкретного сайта. Поиск идёт по всем доступным CT-логам, а также по белому списку доменов.
А почему бы не добавить и гугловские и прочие CT-логи. Для других доменов. ?
Про поддержку Certificate Transparency для национальных сертификатов