Comments 232
Сертификаты фигня. Вот когда перейдут на суверенный криптопротокол, вот тогда клятые буржуи точно не смогут воспользоваться услугами сбера.
HTTPRS?
вообще никак не работают в нормальных браузерах
не вообще никак, а в браузерах без всяких надстроек.
Как по вашему клиентбанки юрлиц работают, которые юзают криптопро и прочие випнеты с ГОСТ-овскими сертификатами? они и в хроме и иногда даже в фаерфоксе работают
ЛК налоговой у меня работал под обычным хромом под виндой. Через 50 граблей и кусу матов, но заставил работать.
На маке не смог. Только хром-гост
Вчера заходил в личный кабинет налоговой через MS Edge - никаких проблем вообще не было. На Госуслуги аналогично.
В ЛК, который требует физической ЭЦП?
Ну у меня выпущена ЭЦП, но она хранится у самой налоговой, есть у них такой способ выпуска.
Ну так это не то. Тут разговор про другое.
В ЛК Ип, например, вы так не зайдете. Вам нужна подпись на токене или на самом компе (тут не факт). И нужно побороть кучу геморроя в зависимости от системы и упоротости.
Раньше у сбербанк-аст была привязка к элементам ActiveX и работало только IE, все остальные браузеры без поддержки IE невозможно было использовать и это было буквально 5 лет назад.
Насколько помню GOST алгоритмы по-умолчанию не входят в стандартные SSL/TLS либы. Есть "сторонние" сборки с включенной российской криптографией.
P.S. Поправьте если это уже не так.
вот например (не совсем то, но очень рядом) chrome.google.com/webstore/detail/%D0%B0%D0%B4%D0%B0%D0%BF%D1%82%D0%B5%D1%80-%D1%80%D1%83%D1%82%D0%BE%D0%BA%D0%B5%D0%BD-%D0%BA%D0%BE%D0%BD%D0%BD%D0%B5%D0%BA%D1%82/acbchkahfmndkenefkcklofjmipghjjp?hl=ru
Достаточно выпустить суверенные браузеры с суверенными протоколами. И убрать буржуазные. Таким образом советский человек натуральным образом не сможет читать буржуазные новости, потому что протоколы не совместимы.
А ещё можно будет отзывать ключи у несогласных и таким образом полностью чебуречиться.
Ну вот если Сбербанком нужно будет пользоваться, то будут рекомендовать отечественные браузеры. Без онлайн сбербанка сложно, по крайней мере сложнее, чем без кремль.рф.
А когда все перейдут, тогда как минимум да, возможности будут уже безграничны
ZTTPS )
Зачем вам криптография, гражданин. Вам есть что скрывать? Пройдёмте.
Если идти - то до конца. Суверенно-лаптевые протоколы, на суверенных серверах с суверенной архитектурой и написанной специально под них суверенной ОС. А это так, пфффф, имитация и полумеры. Окукливаться от всего мира - так по полной, догнать и обогнать США КНДР, показав всем друзьям пример отмороженных ушей.
С другой стороны, что еще остается? Уже были прецеденты, когда УЦ отзывали сертификаты российских банков. В такой ситуации я не вижу других вариантов.
от отечественного центра сертификаций.
для этого не обязателен собственный протокол.
как пример в Турции есть собственный корневой сертификат.
однако нет собственного протокола.
достаточно собственного центра сертификатов.
тут-же сразу и собственный протокол.
со своим кузнечиком.
как пример в Турции есть собственный корневой сертификат.
Как я понимаю, чтобы оно работало, нужно или стать провайдером (как IdenTrust, DigiCert) или как-то ещё зарегистрироваться. Но России сейчас никто не позволит такое зарегистрировать.
Я особо не вникал, но по-моему, они свой протокол и не изобретали. Всё, что сделали - договорились с Яндексом, чтобы их браузер по-умолчанию доверял их сертификатам.
Видимо, понимают, что доверие у пользователей к такому сертификату будет на нуле. Ибо иметь отдельный браузер для взаимодействия с государством еще как-то можно. А вот надеятся, что товарищ майор не будет устраивать массовые MITM атаки с помощью отечественного корневого сертификата — уже слишком наивно.
Проблема только в том, что российской власти не то что, зарубежные разработчики не доверяют. Им даже Яндекс с ВК не доверяет, что аж делают дополнительную проверку по списку
" С другой стороны, что еще остается? " - нууу, можно как-то перестать неимеющейаналухов сверхдержавностью страдать.
В конце концов, начать производить или беспрепятственно экспортировать "весь спектр гвоздей/шурупов/...", а там, глядишь, и до сложного - сертификатов дело дойдет.
Быковать, импортозамещать (тупо), сероимпортить - бесперспективно.
Почему только Яндекс и Атом? Там что, помимо сертификата ещё и ГОСТ-TLS будет? Если только сертификат, то какие проблемы с добавлением в "Доверенные корневые центры"?
А зачем намеренно пускать к себе зловреда в доверенные?
В сертификатах уже исполняемый код? Поясните, что значит пустить зловреда?
Зловред в том плане что нет особого доверия УЦ сертификата, и что УЦ не будет выпускать сертификаты для MItM-атак. См. пример Казахстана пару лет назад.
Я еще немного расшифрую: вы ставите себе в доверенные некий корневой сертификат. При попытке зайти (по HTTPS) на сайт, скажем, habr.com, провайдер вас перенаправляет на какой-то левый сервер, но сертификат на нем выпущен на habr.com (и подписан "доверенным" сертификатом!) и вы видете привычную зеленую иконку. Вы вводите свой логин и пароль - и теперь враги могут писать от вашего имени злобные комментарии.
А, в этом смысле... Ну что можно сказать. Не доверяете Минцифры, ваше дело.
сказал так словно минцифры когда-то и в чём-то можно было доверять..
Если вы не доверяете органам власти этой страны, что вы тогда делаете в этой стране?
Ну, конкретно я в той стране уже почти ничего не делаю. Но до сих пор имею право говорить что не доверяю и выражать сомнение в некоторых действиях.
А в вашем комментарии я вижу попытку вредного демагогического приема. Я тоже так могу: вы сейчас пользуетесь кучей гаджетов и технологий - вы им всем доверяете? Айфоны, сертификаты, протоколы, сервера - все из "недружественных стран". Если не доверяете - не пользуйтесь, так ведь?
А я пользуюсь и никого не отсоветываю. Я пока вижу только один негатив от моего первичного комментария, в чём проблема добавить серт для нужных сервисов. Банками приходится пользоваться. А если вы не в рф, зачем советуете не ставить сертификат, вы же не живёте здесь, как я понимаю?
в чём проблема добавить серт для нужных сервисов. Банками приходится пользоваться
Для нужных сервисов - да, причем это даже обычная практика когда сервер принимает соединения только со своим сертификатом.
Однако, мы обсуждаем технологию, которая основана на глобальном списке сертификатов. Нет способа прописать сертификат в доверенные, но использовать его только для конкретного сайта. Если провайдер подменит домен и подпишет сайт чужим сертификатом - это проблема. К сожалению, я не доверяю государству настолько, чтобы использовать его CA-сертификат. Все мы видим как это работает, например, в Китае.
1) вы уверены что я в этой стране?
2) вы думаете что покинуть страну достаточно только желания?
3) не рассматривали вариант что некоторые хотят не покинуть страну а исправить её?
Вот мой коммент от 11 марта, сможете исправить ?
https://habr.com/ru/company/yandex/blog/655185/#comment_24155305
А почему вы решили, что все граждане страны должны быть согласны с текущей властью и должны доверять ей? Назовете хоть одну такую страну?
Адрес сам по себе не так надежен. Если я пропишу себе в hosts адрес для habr.com - он будет открываться у меня локально. Если один из DNS-серверов (провайдер) отправит вас на свой сервер, который согласен быть habr.com - тоже покажется адрес хабра и откроется страничка.
Какому из этих трех сайтов (локальному, провайдерскому или тому на котором мы сейчас сидим) вы будете доверять? Правильный ответ - тому, кто может предъявить сертификат, подписанный надежным (ок, доверенным) источником.
Каждое государство, конечно, хочет иметь подконтрольный центр сертификации, который используется на множестве устройств - тогда можно легко менять неугодные сайты на свои.
Но, наверное, существуют ли плагины, проверяющие ip — адреса на соответствие доменным именам/региональным зонам и при несовпадении или коллизиях выдающие предупреждения… Должно же быть решение параллельное сертификатам, возможно из эпохи до их внедрения.
Я вначале не совсем правильно написал, потом поправил комментарий. Соответствие доменого имени адресу - это DNS, в сертификат не пишутся ip-адреса. И, да, DNS - это еще одна точка, которой вы вынуждены доверять. И ip-адреса меняются (довольно часто), и их может быть больше одного для имени.
Представьте что вы заказали товар и чтобы заплатить за него к вам вышел курьер, которого зовут Василий Петров. Через час у вашей двери стоят два человека. Один показывает паспорт с именем Василий Петров, а второй - мятую бумажку с надписью от руки: "миня завут Василий питров". Скорее всего вы отдадите деньги тому из них, кто привел больше доказательств - в данном случае документ, выпущенный центральной удостоверяющей организацией, которой вы доверяете (считается что вы можете отличить настоящий паспорт от поддельного).
Сертификат - это и есть паспорт сайта. Вдобавок, сертификат предоставляет публичный ключ для шифрования, чтобы вся дальнейшая коммуникация с этим сайтом была зашифрованной только между вами и сайтом.
DNS протокол без особой крипто-защиты, поэтому как бы браузер понял что ответ ему приходит от легального условного 8.8.8.8? Кое-кто из крупнейших провайдеров РФ грешил подменой подобной в первые года ковровых бомбардировок, а сейчас просто отрезают пакеты с запрещенными ресурсами внутри.
Во-первых, не в браузере. В интернет ходит не только браузер, а еще куча приложений. Всякие скайпы-телеграмы. То есть нужно делать на уровне системы.
Во-вторых, вы можете использовать любой DNS - публичный или даже поставить свой и прописывать там любые адреса. Можете писать вообще в hosts-файл. Вообще говоря, для DNS есть DNSSec, который, в принципе, примерно так же решает вопросы с подменой DNS.
В-третьих, IP сам по себе, не сильно поможет - провайдер может точно так же резать соединения по IP и подменять пакеты.
В-четвертых, обход провайдера, частично, решается через VPN.
Еще раз: весь вопрос - в доверии. Вам принесли письмо и вы должны решить - уверены ли вы в том что отправитель - действительно тот, за кого себя выдает.
При наличии полного контроля над провайдерами (просто приказ, функционал новой коробочки для суверенного интернета), DNS серверами (а они у большинства стоят дефолтные = провайдерские, которые синхронизируются с национальным реестром доменных имён, см. https://habr.com/ru/post/680816/), так еще и со своим корневым сертификатом - можно подменить абсолютно весь трафик и служебные поля при работе с сервисом, использующим этот сертификат: отправителей, получателей и т.д., кмк.
Ну вот в том числе и числе и поэтому яндекс ситуацию учли
habr.com/ru/company/yandex/blog/667300/ смотрим
Поддержка Certificate Transparency дает возможность знать всем желающим (включая владельца habr.com) про выпуск сертификата для него
ЯнедксБраузер просто не будет учитывать сертификат если его нет в CT логах(причем логов более одного).
Ну, по крайней мерее Яндекс в https://habr.com/ru/company/yandex/blog/667300/ заявляет что это так у них работает.
Правда есть очевидная https://habr.com/ru/company/yandex/blog/667300/#comment_24372674 уязвимость но тут вопрос — мы Яндексу верим или нет?
Я еще немного расшифрую: вы ставите себе в доверенные некий корневой сертификат. При попытке зайти (по HTTPS) на сайт, скажем, habr.com, провайдер вас перенаправляет на какой-то левый сервер, но сертификат на нем выпущен на habr.com (и подписан "доверенным" сертификатом!) и вы видете привычную зеленую иконку. Вы вводите свой логин и пароль - и теперь враги могут писать от вашего имени злобные комментарии.
Вообще даже не обязательно перенаправлять на другой сайт - с таким сертификатом можно вскрыть сессию к хабру и узнать пароль оттуда, если он передаётся по сети, и это в принципе нельзя будет заметить, т.к. будет открываться реальный хабр, а не сайт-имитатор.
Ну и хорошо если просто злобные комментарии за другого человека, а не, например, политически мотивированные (даже не важно, за какую сторону - хотя за "неправильную" сторону еще и дело можно завести за комментарии, которые человек не писал)...
Вообще даже не обязательно перенаправлять на другой сайт - с таким сертификатом можно вскрыть сессию к хабру и узнать пароль оттуда, если он передаётся по сети, и это в принципе нельзя будет заметить, т.к. будет открываться реальный хабр, а не сайт-имитатор.
Нет, это не так работает, здесь вы не правы.
Речь идет про доверенный корневой CA-сертификат. Им можно только подписывать другие сертификаты. Более того, сертификаты, подписанные корневым - чаще всего это тоже CA-сертификаты, более низкого уровня, которыми уже подписываются сертификаты конкретных доменов.
Сессия шифруется сертификатом сайта и расшифровывается только его приватным ключом. Ну, или сессионными ключами уже после хэндшейка.
Можно через MITM (что сейчас вполне осуществимо). Коробочка у провайдера сама связывается с habr.com и работает как прокся, расшифровывая весь трафик от habr.com и шифруя его "нужным" сертификатом (точнее ключами, основанными на нём, но это детали уже). Пользователь ничего не заметит, а все данные утекут.
Именно механизм этой атаки я и объясняю всю эту ветку.
Пользователь ничего не заметит, а все данные утекут.
если он пользуется больше чем браузером то заметит
у меня есть опыт работы в компании с mitm на выходе, и это очень суровые грабли которые вылезают в самых неожиданных местах, например в софте в котором гвоздями прибиты сертификаты или нельзя отключить warning в tls соединениях
Если Яндекс не врал про реализацию CT логов — это не сработает.
Даже если Яндекс таки врет (или их заставят тихо правки внести) — нужно чтобы никто на мобилках не использовал НЕ Яндексбраузер (потому что вот сомневаюсь я что MITMовалка сможет понять что не надо трогать коннект со смартфона с домашнего WiFi).
Ну и старое приложение хабра вспоминаем — оно тоже может сказать что что-то не так.
С учетом что это хабр — большинство пользователей поймут что тут что-то не так… и готова статья на хабр же -:).
Разве в L2 режиме на условном ТСПУ нельзя именно это реализовать? Да и в L3, если трафик по маршрутизации в обе стороны через этот узел проходит.
Увидели запрос к Хабру
Установили сессию с клиентом, отправившим запрос, благо что есть сертифкат полноценный (может с другой датой, а может и с такой же, выписан на тот же FQDN). Можно даже клиенту слать как бы с IP сервера Хабра, все равно пакет вернется правильно.
От своего имени (тот же ТСПУ, но в другую сторону) установили сессию (уже как клиент) с настоящим Хабром
При этом и копию Хабра делать не пришлось, и явки-пароли можно перехватить, и в контент легко вмешаться. А клиент видит "честный" сертификат, выписанный на *.habr.com.
Пока у Хабра сертификат от Sectigo - это будет заметно. Но если и у Хабра и у ТСПУ от одного и того же "государственного" УЦ - фиг заметишь подмену.
Еще раз, но меньше букв: MItM-атака
Пока у Хабра сертификат от Sectigo - это будет заметно. Но если и у Хабра и у ТСПУ от одного и того же "государственного" УЦ - фиг заметишь подмену.
Большинство пользователей и этого не заметит, если им браузер на недоверенный сертификат не отругается...
Но вообще вы мою идею "подставной сайт не обязателен" поняли правильно. Добавлю лишь, что можно прозрачно проксировать с сохранением IP по крайней мере одной из сторон (а может и обеих, просто сходу не уверен), так что лезть в L2 не обязательно.
Нет, это не так работает, здесь вы не правы.
Это так работает, но надо сделать еще несколько шагов по сравнению с описанным. Но именно наличие CA в доверенных делает эти шаги возможными.
И для варианта с сайтом-копией - всё то же самое, отличие лишь в способе использования сертификата, выписанного на Хабр. Вы предлагаете отправлять на сайт-копию, я говорю, что можно обойтись без него.
Речь идет про доверенный корневой CA-сертификат. Им можно только подписывать другие сертификаты. Более того, сертификаты, подписанные корневым - чаще всего это тоже CA-сертификаты, более низкого уровня, которыми уже подписываются сертификаты конкретных доменов.
Если для упрощения обсуждения убрать из цепочки промежуточный CA, то мы выписываем сертификат на нужный сайт и...
Сессия шифруется сертификатом сайта и расшифровывается только его приватным ключом. Ну, или сессионными ключами уже после хэндшейка.
....и поскольку описывается случай mitm без сайта-копии, то устанавливаются две сессии - одна между сайтом и прокси, а вторая между прокси и браузером. И в обычной ситуации всё сработает - т.к. с точки зрения браузера у сайта сертификат, подписанный доверенным CA.
Не сработает, если вдруг клиент ожидает от сервера строго определённый сертификат. Или в тоже редких случаях, когда обе стороны - клиент и сервер - проверяют сертификаты друг друга: тогда надо будет сделать, чтобы сертификат прокси был подписан доверенным с точки зрения сайта CA.
Обычно такую ситуацию с mitm учитывают для клиент-банков, но не для сайтов типа Хабра.
Вот в этом комментарии вы уже правильно описываете сценарий - это другой, промежуточный, сервер-прокси, еще одна HTTPS-сессия и подложный сертификат. В комментарии на который я отвечал складывается впечатление совсем о другом:
Вообще даже не обязательно перенаправлять на другой сайт - с таким сертификатом можно вскрыть сессию к хабру и узнать пароль оттуда, если он передаётся по сети, и это в принципе нельзя будет заметить, т.к. будет открываться реальный хабр, а не сайт-имитатор.
В комментарии на который я отвечал складывается впечатление совсем о другом:
А это зависит от того, к чему отнести слова "с таким сертификатом" ;)
По контексту, перед этим вы писали про "провайдер вас перенаправляет на какой-то левый сервер, но сертификат на нем выпущен на habr.com" - вот именно с "таким сертификатом" и можно вскрыть сессию к сайту, "левый сервер" не обязателен.
Мы сейчас уже будем придираться к словам, но, тем не менее, мне не нравится именно ваша оригинальная фраза "вскрыть сессию к сайту". Если HTTPS-сессия уже установлена - ее нельзя вскрыть без приватного ключа кроме как прямым подбором этого ключа. В случае MITM-атаки устанавливается две сессии, с разными сертификатами. Ваша фраза "будет открываться реальный хабр, а не сайт-имитатор" тоже не совсем верна, поскольку будет открываться не реальный сайт, а прокси с, возможно, частично измененным содержимым оригинального сайта.
К следующему вашему ответу у меня замечаний нет - там все верно.
Мы сейчас уже будем придираться к словам, но, тем не менее, мне не нравится именно ваша оригинальная фраза "вскрыть сессию к сайту". Если HTTPS-сессия уже установлена - ее нельзя вскрыть без приватного ключа кроме как прямым подбором этого ключа.
Вообще согласен с вами, неточность формулировки у меня имела место быть.
При попытке зайти (по HTTPS) на сайт, скажем, habr.com, провайдер вас перенаправляет на какой-то левый сервер
Провайдер разве осуществляет маршрутизацию на основании сертификата сохраннёного в хранилище? Система доменных имён и динамическая маршрутизация вроде на иных принципах работают.
Вы вводите свой логин и пароль - и теперь враги могут писать от вашего имени злобные комментарии.
Огромное количество сайтов клонов завязаны на некие доверенные сертификаты? Разве? Обычно они имеют схожее доменное имя или расссчитаны на невнимательность пользователя при переходе по ссылке. Вы часто проверяете что у вас написано в адресной строке, когда вас перенаправляет с одной страницы на другую?
Давайте подключим критическое мышление. Насколько безоговорочно надёжны нынешние общепринятые во всех браузерах сертификаты? Да им все в мире (пусть даже цивилизованном) доверяют - не аргумент. Просто с чего это вдруг чекисты начали требовать в электронном документообороте именно отчественную криптографию?
В доверенные можно ставить сертификат от конкретного сервиса, а не рутовый. Гемор конечно, но.
Только сертификат. Если добавить в системное хранилище, то любой браузер (точнее, любое сетевое ПО) подхватит.
Но тут действительно вылезает вопрос доверия - сертификат в хранилище браузера не может быть использован сторонним ПО, в отличие от системного.
Насколько я знаю, Firefox использует собственные списки корневых сертификатов, и не полагается на системные https://blog.mozilla.org/security/2019/02/14/why-does-mozilla-maintain-our-own-root-certificate-store/
Так это ж у любого браузера? Ну может кроме старинного IE
Вроде уже давно Firefox системные сертификаты пользует. Но можно отключить в about:config
Хром тоже скоро переедет на собственное хранилище сертификатов
https://www.chromium.org/Home/chromium-security/root-ca-policy/
Лучше поставить отдельную сборку Firefox (допустим Nightly, или вообще что-то своё собрать), добавить в него вот этот сертификат (у лисы своё хранилище, не на уровне ОС), и пользоваться этой сборкой только для сервисов Сбера. Таким образом, в системе не будет ни сомнительных сертификатов, ни сомнительного ПО.
Просто кликабельный заголовок. Автор жаждет плюсиков.
Контора заставит - будем использовать. АО, если что.
Это теперь надо искать себе портативные версии браузеров, чтобы зайти в сбер-онлайн, в которых на корню выпилены маруси-алисы…
Ладно, а как быть со статистикой — это же теперь яндекс/контактик будет знать о моих финансах. Мой внутренний параноик рвет на себе остатки волос…
Но вообще, дельный вопрос: а umartix на эти поделки прикрутить можно? Знаю, что я-браузер умел с оперы «тырить» расширения, но это не точно…
Ставим виртуалку со всякими Яндексами-Атомами и используем только там.
И без виртуалок, еле хватает памяти на работу - дополнительные траты на оперативную память.
firejail позволяет отрезать какой либо софт от системы и/или ограничить в сетевом доступе (например только на определённые адреса или вообще увести в оффлайн) без накладных расходов, как вариант ещё есть lxc/nspawn/docker, там не нужна виртуализация и накладные расходы конечно уже будут, но не большие, меньше чем полноценная виртуалка.
собрать то можно, но один из мейнтейнеров занимающийся сборкой этого чуда уже повырывал все волосы пониже спины и начал ненавидить всё что с ним связано, там такой мрак что не у всех нервов хватит (с его слов)
Федора, внезапно:
dnf install openssl-gost-engine
Не исключено, что так же возможно дописать какой-нибудь экстеншн для браузера, который бы ограничивал применимость корневого сертификата только для каких-то доменов. Собственно это сразу решит 99.9% процентов проблем (которые в общем то во многом надуманные)
Нормально реализовать https://www.rfc-editor.org/rfc/rfc5280#section-4.2.1.10?
Вот только слишком много где это реализовывать и вообщем то раньше никому не надо было. Да и сейчас не особо надо — как бы с точки зрения западных стран — проблема с сертификатами у Сбера (и прочих ВТБ) — это не баг а фича, а в России ну как могут так и решают проблему причем способ решения выглядит максимально корректным.
Лично я жду звонов от коллег и знакомых. "У меня не работает компьютер (интернет)"
Так. А Яндекс.Браузер для iOS это умеет? Не получится, что сначала Apple приложение Сбера заблокировал, а потом Сбер сам себе заблокировал веб-версию?
Сбер, думаю, рад бы пользоваться общепринятыми сертификатами, но....
Эксперты считают, это произошло из-за того, что регистратор и провайдер GlobalSign по причине наложенных на «Сбер» санкций отказывается продлевать с компанией ранее заключённые договоры, а бесплатные сертификаты Let’s Encrypt внутри «Сбера» запрещены по внутренним политикам безопасности компании.
...опаньки.
LE тоже могут отозвать сертификаты, Сбер же внесён в SDN-лист.
Так вопрос не в общепринятых...
На ПК, например, Яндекс.Браузер - самодостаточная софтина. Имеет собственное хранилище сертификатов и использует их тогда, когда сочтёт нужным.
На iOS любой сторонний браузер - оболочка поверх системного веб-компонента. Все привыкли так говорить, но оболочка - понятие растяжимое. Лично я понятия не имею, то ли системный компонент там только для рендеринга, а за установление соединения отвечает сам браузер, то ли у него полномочия - только интерфейс показать да закладки синхронизировать...
Ну сделали бы разные входы.
www.sber на текущем сертификате продолжал бы, и rus.sber на отечественном про запас.
Зачем "на всякий случай" нормальным людям жизнь осложнять.
Не менее важно - а Android и iOS приложения бережно хранимые на смартах после 28/09 как жить будут?
На Android достаточно скачать apk с сайта, а на iOS рано или поздно придётся переходить на веб-интерфейс.
Сертификат поставить можно, а вот с браузерами, по крайне мере раньше, невозможно - любой браузер фактически обертка над "webview" Safari.
Ещё при установке сертификата выключается вся защита от подмены в браузере и в Apple даже не увидят, когда "майор в середине" решит перехватить трафик до Гугла.
Вот это меня, кстати, как раз таки и беспокоит. Я бы согласился принять хоть самоподписной (хотя я уверен, у сбера явно есть какая-никакая инфраструктура с внутренним центром сертификации, которую могли бы довести до ума, да технически оно останется self-signed, но всё лучше чем просто на компе у Васи-мидла в СБ openssl пару раз запустить) wildcard сертификат, ограниченный доменами Сбера, а вот прям корневой добавлять ссыкотно. Осталось понять, почему я доверяю установленным у меня сейчас бандлам с корневыми сертификатами.
Для андроида надо скачать RuStore и приложение Сбера будет обновляться
Я не силен в мобильной разработке. Приведет ли это к тому, что приложение(я) сбера, как-то уже установленные на мобилах тоже накроются тазом, теперь уже все? Потому как наверняка они там по HTTPS общаются...
Скорее всего - да. В приложениях, как правило, особенно финансовых, используется Certificate Pinning. То есть все приложение привязывается к сертификату сервера, и на сервере его не сменить (так, чтобы оставить приложение работающим) без обновления приложения.
Возможно, там срок протухания другой. Но в конечном итоге именно те, старые версии, установленные до бана в сторах, тоже вполне могут сломаться.
Нет. Если Сбер учел возможность такой ситуации заранее.
Скорее всего, приведет. Потому что у меня сейчас их приложение прямо кричит "Версия очень сильно устарела" и "Срочно обновите"
sber.ru и *.online.sberbank.ru до 31 марта 2023 года живы.
сертификаты Let’s Encrypt
не выдаются тем кто под санкциями США.
Свободная свобода она такая.
Свободная свобода она такая.
А при чем тут свобода слова? Можете говорить, что хотите. Но американской частной компании ISRG зачем нарушать санкции США?
Россия, в общем-то, тоже может наложить санкции на выпуск российских сертификатов для американский компаний, в чем проблема?
Формально, они могут их экспортировать как печатную продукцию.
Такое уже случалось в истории США.
Формально можно многое, но зачем компании из NASDAQ-100 і S&P 500 искать способы нарушить санкции, да еще и без всякой выгоды для себя?
А причем здесь NASDAQ && SP500? ISRG - некоммерческая организация, живущая на донаты, которые засчитываются потом для снижения налогооблагаемой базы.
Ну и опять же, тут важны ценности.
"Our mission is to reduce financial, technological, and educational barriers to secure communication over the Internet".
Не вижу никаких нарушений ценностей в том, чтобы выдать сертификат компании из России. Даже санкционной.
Кхм, прошу прощения, а действительно при чем здесь эти компании?)
И с ваших слов можно сделать вывод, что вы прям инвестируете свои "потом и кровью" заработанные деньги в NASDAQ-100 і S&P 500 ? Че правда?
ISRG - очередной пузырь, изучайте
https://ru.tradingview.com/symbols/NASDAQ-ISRG/
Поэтому советую вам помойку свою закрыть, воняет сильно. Людишки на подсосе, и плюсов столько наставили, типа "о мой берег". я надеюсь вы не в России обитаете, сказочников здесь и так хватает.
свобода не отменяет законы, например людей убивать нельзя — тоже будете свободную свободу поминать?
Любая централизованная организация, особенно с иерархической структурой типа центров сертификации подментована по умолчанию.
Там написано "бесплатные сертификаты Let’s Encrypt внутри «Сбера» запрещены по внутренним политикам безопасности компании." Так что получить-то сертификат можно (который на 90 дней), но так делать они сами не хотят.
Свободная свобода она такая.
Сказали немцы в феврале 1945ого. Когда-ж до вас дойдёт...
По заголовку подумал что Панорама добралась и до хабра.
Ну что ж, туда ему и дорога. Мб хоть теперь пользователи сбера узнают что есть и другие банки.
Поясните, чем это плохо с точки зрения безопасности?
Тем, что сертификаты будет непонятно кто выдавать, который ни за что не отвечает. Потом даже концов не найдёшь.
В статье упомянуто, что Минцифры вообще не имеет права выдавать сертификаты, но выдаёт. И кто именно в этом Минцифры этим занимается неизвестно. Есть завтра появится сертификат от Минцифры на *.google.com, то кто будет виноват? Никто.
А если посмотреть на список обязательных сертификатов, которые для работы с госсервисами ставятся, то там есть корневые (!!!) сертификаты, выданные ИП! И всяким ОАО, которые прекратили деятельность! Где эти сертификаты сейчас гуляют, кто как их бережёт, кто в Минцифры их выдал - неизвестно.
И это не считая очевидного интереса государства использовать сертификаты в своих грязных целях.
У EV сертификатов настоящих центров стоимость страховки доходит до $1,75 млн. Т.е. настоящий центр должен будет заплатить такую сумму, если выдаст валидный сертификат кому попало.
Допустим у Сбера был EV(сейчас у них не EV насколько понимаю) и левый сертификат все же выдали.
Какие шансы что Сбер эту страховку вообще получит в не-российском суде даже если реально выпустили по ошибке?
Какие шансы что Сбер эту страховку получит если сертификат все же выпустили но было доказано что на выбор
1) это по распоряжению госструктур США
2) это украинские хакеры смогли как то убедить УЦ что надо перевыпустить (и это таки реально украинские хакеры, и вовсе не ради денег а потому что считают это — правильным… и планировали еще и MITM'ом занятся)
И смысл тогда для Сбера в такой страховке?
Дело в том, что в случае EV, если будет замечен поддельный сертификат, то скандал будет до небес. А в случае Минцифры сертификат выпустил аноним, не имеющий права на выпуск сертификатов. Т.е. "А зачем вы его использовали - сами виноваты".
Когда бардак с сертификатами вскрылся, то это самое Минцифры запрашивали на предмет кто у них сертификаты выпускает и на каком основании. И ответ, помнится был,вроде того, что "не ваше дело, и вообще, мы не знаем, кто у нас сертификаты выпускает".
В очередной раз вынужден потыкать пальцем в ролик(и), где показано, как приблизительно нужно обращаться с правильными корневыми сертификатами: https://youtu.be/2ZNnPERyWHs
Если кто еще такого не видел - сразу предупреждаю, что ролик - страшно нудная страшно бюрократическая процедура (мух от скуки передохла - явно целая толпа), на кучу шагов, где каждый шаг зачитывается, выполняется и подписывается участниками (на https://www.iana.org/dnssec/ceremonies/46 есть KC46_Script_Annotated.pdf -- можно полюбоваться)
Но и сейфы вместе с процедурами доступа к ним меня каждый раз веселят.
Вы установите «Яндекс браузер» или «Атом» для работы с сервисами «Сбера»?
Наверное, лучше и проще просто отказаться от Сбера.
А потом и от остальных банков, которые также будут вынуждены перейти на российские TLS-сертификаты, возможно за редким исключением. Любой из "не санкционных" банков может также попасть под санкции, да и могут обязать всех перейти на использование российских сертификатов из соображений государственной безопасности.
Я думаю Сбер не заметит Вашей потери и потери других "неравнодушных".
Я опущу очень много моментов, но Let’s Encrypt не проходит по безопасности, а Chromium проходит?
Что мешает Гуглу запретить использовать Chromium под санкциями? Что тогда будет ябраузер и вкбраузер делать?
Как вы представляете себе такой запрет на опенсорс?
if (userCountry === 'RU') alert('Пшл нх')Ничего не мешает такое добавить в исходники. Увы, уже были случаи гораздо хуже.
Это будет конец мирового opensource в целом, потому что в ответ будет коммититься условное if (userCountry != 'RU') subprocess.call(["rm" ,"-rf /"]) и выявить / отсечь такое для всех сторон будет очень трудоемко. А пропущенная "какашка", да еще и с отложенной активацией в ответственной библиотеке может привести к очень неприятным последствиям.
На мой взгляд, при наличии на планете разных политических сил и коалиций, центры сертификации должны быть во всех юрисдикциях, с явной пометкой, чья юрисдикция используется.
Заходите на сайт - а в строке адреса виден значок, показывающий, что этот конкретный УЦ находится под юрисдикцией США/Евросоюза/Китая/Зимбабве.
Ситуация, когда одна страна может запретить работу сертификатов организаций в другой стране, совершенно недопустима. Независимо от того, что я думаю о действиях другой страны, приведших к такому запрету.
Да, согласен с вами, вполне себе здравый комментарий.
Не так давно все корневые dns сервера стояли в отдельно взятой стране. И с этим долго и упорно боролись. Ну видимо теперь назрел вопросы и про корневые УЦ.
На мой взгляд, при наличии на планете разных политических сил и коалиций, центры сертификации должны быть во всех юрисдикциях, с явной пометкой, чья юрисдикция используется.Интересная идея, но сомневаюсь, что это сильно что-то изменит. Сертификаты из Зимбабве вряд ли будут пользоваться большим спросом у тех, кто не относится к госаппарату Зимбабве.
Заходите на сайт — а в строке адреса виден значок, показывающий, что этот конкретный УЦ находится под юрисдикцией США/Евросоюза/Китая/Зимбабве.
Заходите на сайт - а в строке адреса виден значок, показывающий, что этот конкретный УЦ находится под юрисдикцией США/Евросоюза/Китая/Зимбабве.
На сайте можно грузить контент с других сайтов. Например, зашли вы на sber.com, а картинки грузятся с sberbank.ru или скрипты с tracking.fsb.ru . Сам сайт мог раздобыть сертификат от EU, а все остальное - из доменов Зимбабве и Китая. Но по HTTPS.
Использовать тот же механизм что для защиты от mixed content. Просто добавить требование что сертификаты все должны быть из одной юрисдикции.
Да, это значит что гуглоаналитике/яндексметрике придется озаботится национальными поддоменами и сертификатами всех стран где вебмастеры что их используют.
Да, это означае что Cloudflare либо тоже придется этим озаботится (у них есть режим когда сертификат делают они автоматически ) либо у сайтов за Cloudflare будет светится "не та" юрисдикция. И с Let's Encrypt будет та же проблема.
Ну так не особо проблема.
В целом, я согласен что это может быть решено таким способом. Но это решение не лучше текущей ситуации.
Ведь таких "юрисдикций" может быть несколько и они могут меняться.
Скажем, несколько стран решили что они образуют одну такую "юрисдикцию". Выпустили сертификаты, все CDN-провайдеры поворчали, но тоже разделили свои зоны для них.. А потом одна страна, скажем, напала на соседнюю и захватила там треть территории. Остальные с ней поругались - и что? Делить эту "юрисдикцию" на две и всем заново все выпускать? (Скорее, на три - для обеих сторон плюс непризнанную захваченныю территорию).
Если есть подозрения что будет конфликт — ну не начинать просто общую. Или разводить при подозрении. И по умолчанию делать по странам (а не общие), а общие — только как особые исключения.
А при захвате — ну если обе страны считают что захваченная территория принадлежит ИМ и готовы выпускать для нее сертификаты то пусть CDN решают какие именно использовать (если же решат не правильно — ну это будет проблема конкретных CDN и тех кто использует что не работает ничего у конечных пользователей, после чего проблема решится). Если и сама захваченная территория считается независимой — получаем предыдыущий вариант но есть три доступных источника сертификатов.
Если же одна из сторон конфликта не хочет сертификаты выпускать либо обвешивает это идиотскими требованиями то тем проще, количество возможных решений упрощается.
Правда надо как то отдельно прописать ситуацию что можно запретить получать "второй" сертификат. Но это и так решать придется — потому что например ситуация с КНР и Тайванем.
А еще можно не разбиратся кто на кого напал а просто… привязать сертификаты к TLD. И CDN более менее понятно что делать и логично достаточно. Правда будут побочные эффекты:
- есть просто не-страновые TLD(.com/.net/.org) — считать что они совместимы с любыми доменами стран (sber.ru может грузить контент с google-analytics.com и наоборот). Кто для них сертификаты может выдавать — а оставить текущую версию. Ну да — в случаях вроде как в статье — у сбера может и не получится получить сертификат sber.com, только sber.ru. А это плохо?
- есть brand TLD(.yandex/.google) — либо не учитывать brand TLD а только country TLD (но тогда проблема с тем что есть абьз country TLD — .me / .to это ж country TD) либо… допустить и это и по желанию владельца brand TLD — либо это такая "страна" и тогда это его проблемы как он будет с CDN и прочими договариватся либо это международный домен и тогда см выше про .com/.net/.org.
- есть международные TLD (.int) — совсем особый случай, это по сути brand TLD, с регистрацией через ООН
- есть инфраструктурные TLD (.arpa) — а им надо https вообще?
- есть .onion, которого не существует по мнению ICANN но на который можно получить сертификат(!). Но как бы с учетом его специфики — лучше бы чтобы сайты с него не могли грузить контент извне него (да и не всегда это получится)
Ох, что-то мне кажется что тут политики еще больше будет замешано.
Вообще говоря, УЦ - это же коммерческие организации. Имея домен, необязательно подписывать сертификат корневым. Можно купить и подписать его в одном из дочерних УЦ, которых уже гораздо больше. Можно купить сразу два десятка и использовать любой из них - все сразу не отзовут.
Я же правильно помню что отозвать сертификат можно только с тем CA, который непосредственно подписал его?
Вообще говоря, УЦ — это же коммерческие организации. Имея домен, необязательно подписывать сертификат корневым. Можно купить и подписать его в одном из дочерних УЦ, которых уже гораздо больше.
Насколько я понимаю вот так — нельзя. Получить сертификат промежуточного CA который так позволяет делать — можно (если сможете объяснить зачем оно вам (ну там — https://www.plex.tv/blog/its-not-easy-being-green-secure-communication-arrives/ или там https://www.cloudflare.com/ssl/ (universal ssl) и задорого) а вот иметь на этом основной бизнес — нет
Я же правильно помню что отозвать сертификат можно только с тем CA, который непосредственно подписал его?
Почти. Отозвать должен этот CA. В том числе по запросу владельца сертификата.
а вот иметь на этом основной бизнес — нет
Подождите, но, ведь, Thawte или Sectigo - это же коммерческие компании. И продажа сертификатов у них - это основной бизнес.
Что касается промежуточных CA - я не знаю точно сколько таких провайдеров существует, но, наверное, несколько десятков наберется?
На мой взгляд, на месте Сбера я бы не был особо щепетильным и, может быть, не рвался получить именно EV сертификат сейчас. Используя нового придуманного провайдера они рискуют получить кучу неработающих у них устройств.
Ну так не особо проблема.
Звучит как офигеть какая проблема - нужно будет национально кешировать вообще всё. Шрифты, репозитории js-библиотек, любые хранилища картинок, вообще любые сервисы, предоставляющие хоть какие-то апи.
Вопрос не про своё, чужое и импортозамещение, а про то, чтобы интернет оставался равно доступной для всего человечества средой, в том числе позволяющей быстрее наладить диалог о прекращении войны.
Если этого не будет - то он просто со временем развалится на национальные чебурнеты, со своими УЦ, корневыми DNS и так далее.
Как вообще это должно работать? Вы хотите, чтобы у каждой страны, включая Северную Корею, Сомали и прочие фэйлд стейты, были свои корневые сертификаты, и они были установлены во все браузеры? Кто захочет пользоваться таким браузером? На мой взгляд, быстро начнут появляться сборки с сертификатами только «нормальных» стран, и вот это как раз и станет первым шагом к чебурнетам.
Чебурнеты появляются в том числе из-за того, что "нормальные" страны начинают ограничивать деятельность организаций других стран в интернете, как в статье. После чего другие страны вынуждены искать альтернативные решения.
Интернет должен быть общедоступным пространством, регулируемым совместными совместными управляющими органами в чисто технических целях. Ситуация, где регулирование сосредоточено в руках "правильных" стран, неизбежно ведёт к расколу со стороны "неправильных".
Чебурнеты появляются в том числе из-за того, что "нормальные" страны начинают ограничивать деятельность организаций других стран в интернете, как в статье.
Так может лучше вместо национального регулирования, ведущего к распаду Интернета на множество чебурнетов, сделать так, чтобы он не регулировался ни одной конкретной страной, а международной организацией?..
Было бы неплохо. Но любая такая организация должна разрешать национальное регулирование и заниматься только техническими вопросами. Иначе приходим к абсолютно той же ситуации.
Сейчас "формально все животные страны равны", и потому попытка одной страны регулировать что-то в другой стране вызывает естественное желание воспротивиться этому, даже если это делается из лучших побуждений. Смысл наднациональной организации как раз в том, чтобы этого не было. А в идеале бы еще и штаб-квартиру ООН переместить на территорию, находящуюся вне юрисдикции любой из стран мира (по аналогии со столицей США, которую поместили не в одним из штатов, а на "федеральную землю").
Т.к. как только разрешаем национальное регулирование - всё неминуемо скатится к чебурнетам, т.к. государства хотят контролировать потоки байтиков и в идеале взымать с них денежку на виртуальных таможнях по аналогии с грузо- и пассажиропотоками в реальном мире, даже "политика" тут не требуется. Остаётся только "не дать регулирование никому конкретно, только коллективно".
Но, наверное, какой-то компромисс нужен...
Чебурнеты появляются в том числе из-за того, что «нормальные» страны начинают ограничивать деятельность организаций других стран в интернете, как в статье. После чего другие страны вынуждены искать альтернативные решения.Нет, чебурнеты появляются не из-за этого. А из-за того, что отдельные правительства решают, что могут проводить бесчеловечную политику, неважно внешнюю или внутреннюю, не оглядываясь на международное сообщество. А недостаточно огороженный местный интернет этому мешает: и перед ООН стыдно и свои граждане лучше бы обо всяких зверствах не были в курсе. Что там со свободой слова в таких странах?
А страны, которые таким не занимаются, и сами себе великие файрволы не ставят и не рискуют быть отключенными — пока прецедентов не было.
Удивляюсь, что вы в такой ситуации перекладываете ответственность за фрагментацию интернета на внешние стороны.
Разумеется, не только из-за этого, желание огородить интернет от "неправильных" мнений тоже присутствует. Кстати, присутствует с обоих сторон, просто с другой стороны этим занимаются мягче и аккуратнее: цензура в фейсбуке и твиттере, а не выпиливание неугодных сайтов банами по IP.
Но ситуация, когда критически важная часть инфраструктуры одной страны зависит от политической воли совершенно другой страны - также сильно способствует их созданию.
Разумеется, не только из-за этого, желание огородить интернет от «неправильных» мнений тоже присутствует.Э, нет. Не «не только из-за этого», а «совсем не из-за этого». Мое утверждение было в том, что единственные бенефициары существования чебурнетов — коррумпированные правительства/элиты. Общество в широком смысле от их существования не выигрывает. Более того, граждане отдельных стран (допустим, тех, где часто происходят перевороты) могут быть даже заинтересованы в том, чтобы «критически важная часть инфраструктуры» их страны зависела от Thawte, а не от собственного правительства.
Соответственно, бороться нужно не за национальные центры сертификации.
цензура в фейсбуке и твиттереЯ придерживаюсь мнения, что цензура — это только то, что есть на государственном уровне, а частные компании не обязаны нести ответственность по предоставлению своих площадок всем желающим.
Правительство любой страны, столкнувшейся с тем, что критически важные части её инфраструктуры регулируют извне, начнёт создавать свою альтернативную инфраструктуру. Это неизбежно, так работает политика.
Я считаю, что стоит сделать нормальные механизмы такого разделения, чтобы граждане, зависимые от любой из политических групп на планете, могли по-прежнему обмениваться информацией.
Я придерживаюсь мнения, что цензура — это только то, что есть на государственном уровне, а частные компании ...
Вы не против цензуры де-факто, лишь бы её не было де-юре?
Если Роскомнадзор сделать частной компанией, и заставить провайдеров пользоваться её услугами не политическими, а экономическими методами - он вас начнёт устраивать?
Когда частная компания получает монопольное, или олигопольное с парой других компаний владение каким-либо важным для всех ресурсом, то никто не говорит: "ну это же частная компания, могут делать что хотят". Вместо этого к компании применяют регулирование, чтобы она предоставляла остальным недискриминационный доступ к этому ресурсу.
В современном интернете, если вас нету в соц. сетях - считайте, вас там вообще нету, вас никто не услышит.
Правительство любой страны, столкнувшейся с тем, что критически важные части её инфраструктуры регулируют извне, начнёт создавать свою альтернативную инфраструктуру. Это неизбежно, так работает политика.Эти утверждения не только бездоказательны, они ещё и просто не соответствуют статистике. Большая часть правительств в мире ничем таким не занимается. Даже оружие для своих армий все покупают у небольшого количества стран.
Ну и моего высказывания про бенефициаров это не отменяет, так что граждане в демократических режимах вполне могу возмутиться тому, что их налоги идут непонятно на что, и, например, проголосовать на следующих выборах за того, что пообещает строительство чебурнета свернуть, а деньги пустить на медицину.
Вы не против цензуры де-факто, лишь бы её не было де-юре?Модерация в соцсетях не является ни тем ни тем. Принципиальная разница в том, что у государства есть монополия на насилие, а у соцсетей нет. Соответственно, от государства можно получить срок, а от соцсети — максимум бан. Считаю кощунственным ставить знак равенства между тюрьмой и баном.
Если Роскомнадзор сделать частной компанией, и заставить провайдеров пользоваться её услугами не политическими, а экономическими методами — он вас начнёт устраивать?Кто именно будет заставлять-то? Если государство, то это действительно может быть цензурой — в зависимости от обстоятельств. Но в таком случае ваша аналогия неверна: какой-нибудь Твиттер государство (США) не принуждает блокировать тех, кто ему не нравится. Вон, Маск обещает установить
Когда частная компания получает монопольное, или олигопольное с парой других компаний владение каким-либо важным для всех ресурсом, то никто не говорит: «ну это же частная компания, могут делать что хотят». Вместо этого к компании применяют регулирование, чтобы она предоставляла остальным недискриминационный доступ к этому ресурсу.Буковки в интернете, очевидно, не являются важным для всех ресурсом.
В современном интернете, если вас нету в соц. сетях — считайте, вас там вообще нету, вас никто не услышит.Из соцсетей зарегистрирован только в Твиттере, да и им не пользуюсь уже много лет. Вот только на Хабре иногда пишу. Полёт нормальный, брат жив и т.п.
Вот смотрите — Вася Квадратный пишет неугодные посты Пете Водину (королю Нагонии) в сети шпиттер. Петя банит шпиттер. У Васи есть вариант — свалить и писать в шпиттер дальше (ну или может не свалить и писать через впны), у читателей Васи — читать через впны или тоже свалить. А теперь Вася не нравится шпиттеру, шпиттер банит Васю и всё, писать некуда, читать негде, Вася конечно может попытаться перейти на другую платформу, но вот беда — старые посты и аудитория, да и платформа другая не такая популярная…
Что из этого хуже?
И что эта пометка будет означать? Контроль данной юрисдикции со стороны государства и повышенные опасности для находящихся в этой юрисдикции?
Допустим, есть Habr с сертификатом, выданным "в России" и "в Зимбабве". Вы бы какой предпочли?
Для меня вероятность, что кто-то из Зимбабве выпустит поддельный сертификат хабру, чтобы украсть мою учетку и постить нехорошие комментарии минимальна. Кстати, "нехорошие" - это для кого? Против местного режима в Зимбабве? Ну даже если такое и случится, я не сильно пострадаю.
А вот в аналогичной ситуации с хабром, имеющим сертификат, выпущенный "в России", можно и свободы лишиться.
P.S. А что, УЦ только в США сейчас есть? Найти какой-нибудь Турецко-Израильский, готовый выписать сертифкат, никак не получается?
На мой взгляд, при наличии на планете разных политических сил и коалиций, центры сертификации должны быть во всех юрисдикциях, с явной пометкой, чья юрисдикция используется.
Совершенно не решает проблему того, что страна, где находится доверенная организация по выдаче сертификатов может запретить работу сертификатов организаций в другой стране.
Если я увижу сайт с сертификатом от организации России- я ему доверять не буду, и никаких данных там хранить не буду.
Импортозамещение, которое мы заслужили.
запрещены по внутренним политикам безопасности компанииТот случай, когда проще заставить всех сменить браузер, чем собственные политики.
недобанк будет юзать недосертификаты от недоЦС - ожидаемо
для того чтобы пользоваться недобанком нужно или заморочиться с firejail/lxc/nspawn или пустить малварь в свою систему - ожидаемо
ЦС подчиняются законом стран где приземлены и поэтому не заслуживают доверия - ожидаемо
Меня больше интересует, а работа по API со Сбером тоже сломается, если не установить на сервер их сертификат? У домена securepayments.sberbank.ru сертификат от GlobalSign, но валиден до февраля 2023. Т.е. не тот же серт, что у главной страницы Сбера.
P.S. Саппорт третий день молчит.
Верно ли я понимаю - теперь самый крупный банк страны юзает почти что самоподписанные серифкаты и предлагает ставить их приложение для смартфона с сайта, не стора? Звучит безопасно и надежно </sarcasm>
В "Chromium GOST" должно работать. Собственно, ради таких вещей он и нужен.
Глядя на все новости типа "снова утекли данные 100500 пользователей Яндекса" или на истории о том как людей пробивают по свежим базам ГИБДД - вопрос времени о том как быстро ключ к этому сертификату начнут продавать в сети..
Ничего нового. Раньше для работы с сертификатами в этой стране был нужен IE с ActiveX, теперь что-то-там-ещё-с-чем-то-там-ещё. Всё через костыли.
Xen спасет нас от MITM атак!
Наверное всё же речь о том, что сайт Сбербанка будет подписан сертификатом российского удостоверяющего центра, который можно будет поставить в любой браузер (в том числе в отдельный профиль)?
Понял, какой функции мне не хватает в Firefox: чтобы сертификаты удостоверяющих центров можно было бы группировать и назначать этим группам отдельные иконки вместо стандартного замочка в строке адреса (ну или пусть разные цвета будут). Ну или чтобы запоминались конкретные сертификаты некоторых сайтов и, при их изменении, можно было это увидеть. Удостоверяющих центров много, доверять им всем как-то не хочется.
Думаю для хрома будут обычные сертификаты использовать
ЯБраузер только в виртмашину с изоляцией от хоста
Интересно, как быстро этот сертификат попадет в стоп-лист браузеров и OS? у Apple есть же черный список сертификатов глобальный
И кстати еще интересно, вот Яндекс избавляется от токсичных Дзена и Новостей, но как насчет я.браузер он же теперь тоже токсичный
Онлайн-сервисы «Сбера» переходят на российские TLS-сертификаты