Pull to refresh

Comments 7

Помимо браузеров, много всякого другого софта работающего через https, особенно в корпорате. Если в конторах сертификат можно разлить политикой, то для личных девайсов нужно какое ни будь средство, позволяющее простому юзеру одним щелчком добавить себе на ПК или мобилу российский корневик. В идеале, какая ни будь публичная веб-страница на государственном ресурсе, с кнопкой, нажав на которую запустится скрипт или компонент activex и закинет серт в доверенные корневые...

Вот эта кнопка станет точкой хакерских фишинговвх атак с попыткой подмены.

Раз уж проект начали реализовывать через гос. услуги, то пусть там и ледит корневой и инструкуия КАК его поставить.

По роду деятельности разбирался с КриптоПро и доступом к Казначейству - это квест, в каждом регионе сделано по разному, у кого то шикарная инструкция, где все действия прописаны и есть ссылки на сертификаты, программы и документы, а в другом регионе, в частности в СПб нет никаких информаций, а ещё система может не запустится, а тех поддержка после перебрасывания с номера еа номер ВДРУГ вспоминает, что они ip адреса серваков сменили и якобы в личный кабинет должны были разослать, вот только туда доступа нет потому что сервер сменили... А так да, под ведомственные нужды есть центры сертификации работающие исключительно на задачу.

Жалко, что Российский сертификат придется ногами разносить по всему парку техники (у нас нет АД) + ходить ставить друщьям и щнакомым либо слать им инструкции и надеятся, что кто то договорится о включении нашего корня в обновления Windows, Android, Linux, MacOS, iOS и в браузеры...

Российские банки конечно сменили сертификаты, но кто знает, сколько народа в этот момент попало на фишинг??? Тот же ВТБ целые сутки сертификат покупал. Tawt в ночь с 28 на 1 отозвал 250 сертификатов, а ВТБ купил сертификат только 2го. Очень надеюсь, что Let's Encrypt не пойдёт на эту меру и рад что ICAN RIPE не отозвал ip адреса и домены.

Раз уж проект начали реализовывать через гос. услуги, то пусть там и ледит корневой и инструкуия КАК его поставить.

https://disk.yandex.ru/i/nCFykU8YsZWeJA

Мы не Минцифры, но инструкцию сделали.

Вы что, собираетесь использовать российский сертификат от госУЦ? Вы совсем о безопасности своих пользователей не думаете?

1) какие есть альтернативы? Self-signed не вариант, работать без HTTPS тоже не вариант. Интересует именно техническое, а не политическое решение проблемы защиты пользовательских данных от третьих ли.

2) есть список корневых сертификатов в Windows. https://ccadb-public.secure.force.com/microsoft/IncludedCACertificateReportForMSFT Поиск government по странице выдаёт 62 сертификата (некоторые страны повторяются, поэтому количество стран сказать не могу). Видел Францию, Бразилию, Тунис, Мексику. Почему их включение в список это допустимо, а российский сертификат - нет?

Я понимаю какие возможности даёт включение корневого сертификата в список доверенных, но я не вижу альтернативных вариантов если ситуация усугубится и перестанут работать даже бесплатные let’s encrypt. Ещё раз уточню что я не призываю никого сейчас бежать и ставить гос.сертификат. Может возникнуть ситуация когда у нас просто не будет альтернатив

Вы серьезно спрашиваете: "Почему их включение в список это допустимо, а российский сертификат - нет?". Я даже отвечать на этот вопрос не буду.

Альтернативы будут всегда. Хоть переезжай на другой домен, купленный НЕ в России и не российской компанией, и выписывай сертификат на него.

Трудности переезда на новый домен - ничто, по сравнению с рискам намеренной или непреднамеренной компрометации из-за этого славного корневого сертификата.

Вопрос не только в домене. Если организация из запрещённого списка стран, то сертификат также не будет продан.

Sign up to leave a comment.

Other news