ironpeter May 23 2022 at 14:29

Про поддержку Certificate Transparency для национальных сертификатов

6 min

11K

Яндекс corporate blogInformation Security*Website development*BrowsersIT-companies

+31

Comments 13

logger25 May 23 2022 at 17:00

почему установщик яндекс браузера в windows одновременно с установкой браузера не ставит корневой сертификат Russian Trusted Root CA (скачать можно отсюда gosuslugi.ru/tls) в хранилище Доверенные корневые сертификаты windows ? или это противоречит каким то правилам ?

-8

Kameleon3107 May 23 2022 at 17:17

Кому нужно, сделают ручками. А остальным сертификат от тов. майора не нужен и даже вреден.

+18

makar_crypt May 23 2022 at 21:29

Вам нужны ру сертификаты от майора? ))) вы знатный изв**нец )))

Тут больше вопрос , зачем Яндекс браузер ставит Алису (я убирал галочку при установке) с правами администратора. Хром, ФФ, Опере даже с доступом к TPM для криптокошельков не нужны права администратора при установки, очень странный момент.

Да и вообще, пока Яндекс идет к пути "установки RTRCA", я бы рекомендовал перейти на другой браузер.

ironpeter May 24 2022 at 08:40

Если установить корневой сертификат в системное хранилище, то любые браузеры будут доверять любым сертификатам, которые были подписаны этим корневым. Это противоречит смыслу нашего текущего решения:

1. Мы доверяем только тем сертификатам, которые доступны для публичного аудита через логи.

2. Мы не вмешиваемся в работу других браузеров.

kovalensky Oct 22 2022 at 10:41

Скажем начнутся массовые протесты, зажмут вас и попросят выдать либо ключ удостоверяющего центра, либо выпустят свой сертификат и координированно попросят не добавлять его в базу transparency, автоматически отвечая на валидность, возможно ли такое? Вопрос технический, какие способы есть от этого защититься?

shifttstas May 23 2022 at 19:31

Что будет делать Я.Браузер когда сертификат попадет в стоп-лист хрома?

(Блокировать или игнорировать?) https://venturebeat.com/2019/08/21/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/

NikitaCartes May 24 2022 at 12:24

Скорее всё-таки не "когда", а "если". Вроде как решили понаблюдать будут ли попытки MITM.

Вот что интересно — что Яндекс будет делать если сертификаты будут использоваться для MITM.

navion May 25 2022 at 13:02

Тихо отключит проверку назвав это "техническим сбоем", как рассказывали про алгоритмы в "новостях".

Но сам MITM маловероятен, вся оппозиция уже за границей и вряд ли будет пользоваться Яндексом. Если только решат фильтровать контент на Ютубе, но это тоже из разряда фантастики с учётом объёмов трафика.

-2

pprometey May 24 2022 at 06:25

Умные люди таким не пользуются.

-2

lostpassword May 24 2022 at 19:46

А чем пользуются умные люди? Особенно если они не айтишники.

allerc May 25 2022 at 08:58

Сначала пользователь должен ответить себе на вопрос - кого он боится больше - ЦРУ или ФСБ? Если первых - пусть ставит Yandex. Если вторых, то лучше какой-нибудь другой браузер.)

-2

vikarti May 25 2022 at 11:22

Со своей стороны мы также создали форму в Яндекс Вебмастере, которая упрощает получение информации обо всех выпущенных национальных сертификатах для конкретного сайта. Поиск идёт по всем доступным CT-логам, а также по белому списку доменов.

А почему бы не добавить и гугловские и прочие CT-логи. Для других доменов. ?

kovalensky Oct 21 2022 at 15:34

Интереснен вопрос, как именно технически проверить лог на MiTM атаку?