Comments 21
А как же Firefox? В российских дистрибутивах Linux используется только этот браузер.
При установке сертификатов безопасности Национального удостоверяющего центра (НУЦ) Минцифры на устройства пользователей сервисы и ресурсы «Сбера» будут доступны в различных, в том числе наиболее популярных браузерах (Safari, Google Chrome, EDGE, Firefox и др.) на различных операционных системах, что подтверждается заранее проведённым тестированием «Сбера».
Можете ли поделиться инструкцией, как у вас это получилось?
Я создал новый профиль и в нем всё сделал по инструкции https://internet-lab.ru/digital_ru_root_tls - но в результате в этом профиле сайт Сбербанка вообще перестал открываться.
Спасибо.
Хотя казалось бы что мешает подписывать 2мя сертификатами
Поясните пожалуйста, при установке этого сертификата в систему, российские провайдеры смогут делать mitm?
На самом деле просто никому не пользоваться, и через некоторое время сберу надоест фигней заниматься.
В итоге он открывается по http, лол. А что мешает продлить сертификат, как сделали все нормальные банки?
Райф вроде как не под санкциями, в отличие от Сбера.
Санкции мешают.
Эксперты считают, это произошло из-за того, что регистратор и провайдер
GlobalSign по причине наложенных на «Сбер» санкций отказывается
продлевать с компанией ранее заключённые договоры, а бесплатные
сертификаты Let’s Encrypt внутри «Сбера» запрещены по внутренним
политикам безопасности компании.
Было бы замечательно увидеть, какой-то гайд по банкам с нормальными мерами безопасности. Звонил в Тинькофф узнать про их намерения относительно, заканчивающегося в январе сертификата, но там даже не знают что это...
Но это скорее не статья для Хабра.
А может быть есть какая-то возможность ограничивать область действия корневых УЦ определенными доменами? Ну, например, пусть бы наши УЦ могли выдавать сертификаты только для наших dns зон и все.
Если посмотреть список корневых сертификатов, то можно легко найти, что свои УЦ есть у Китая, Турции, Индии, Пакистана и пр. Неужели все эти УЦ могут выдавать сертификаты на любые домены? Тогда кто мешает тому же Китаю шпионить за всем мировым трафиком?
Любопытна эта тема, но не пойму где можно про это почитать подробнее.
Мало выпустить сертификат - нужно чтобы пользователь попал на поддельный сайт вместо основного. То есть провайдер должен ваш запрос перехватить. Если не будете ходить через китайского провайдера - может и ничего. А Китай - вполне может и шпионит за своими...
Что касается ограничений на использование сертификатов - возможно, какой-то плагин для браузера может помочь. Но вопросов много возникает - с CDN и прочим . Тоже обсуждали уже это в соседней теме.
Может ли владелец корневого TLS сертификата проникнуть в зашифрованный туннель между VPN-клиентом и VPN-сервером и видеть незашифрованный интернет трафик?
26 сентября основной сайт «Сбера» переводится на российские TLS-сертификаты