Pull to refresh

Comments 36

При заходе сейчас на https://sberbank.ru просто ругается браузер по аналогии с самоподписанным сертификатом, можно его просто принять и пользоваться и ничего в систему не ставить, ни яндекс.браузер, ни тем более корневой сертификат. Вот такой вот лайфхак.

Отдельный профиль в ФФ сделайте под сертификат и операции со сбером и будет вам счастье.

Эксперты «Роскомсвободы» считают, что установка российских TLS-сертификатов создаёт серьёзную угрозу пользователям, так как они не признаются ни одним современным иностранным браузером, а их установка в системе открывает «окно» для утечки данных и слежки за действиями пользователей в сети.

А есть какие-то другие причины, кроме нарушения процедуры сертификации удостоверяющего центра, доверять иностранным ЦС и не доверять нашему?

если товарищ майор попросить сделать для него MitM и выдать валидный сертификат для произвольного домена - где его пошлют очень далеко а где возможно не пошлют?

Тут всё зависит от того, какой майор попросит. Если майор России, то пошлют на западе, и не пошлют в России. Ну а если майор США, то пошлют в России и не пошлют на западе.

Майор США физически находится значительно дальше, чем майор России. И если вы не персонаж уровня Сноудена, то майор США вряд ли вами заинтересуется, в отличие от.

Всё зависит от моего места работы.

В своё время работал на оборонном предприятии и даже имел 2 уровень секретности. Так что в этом случае как раз заинтересованность во мне товарища майора из США гораздо вероятнее чем майора из России.

если вы не персонаж уровня Сноудена

Так я даже не близко. Таких персонажей в принципе не так много бывает. Тем более что Сноудена никто не вербовал. Он сам выдал секретную информацию по личным мотивам. Т.е. как раз товарищ майор из США в данном случае сильно лажанулся.

В случае же, если товарищ майор из США мной заинтересовался, тем более с возможность перехвата моих сообщений, то он не будет ждать пока я из личных мотивов что-то выдам на гора, на просто постарается нарыть компромат чтобы "попросить" меня "помочь" ему.

Т.е. если вы боитесь местного товарища майора, значит вы делаете что-то незаконное. А значит у майора из США есть возможность это незаконное обнаружить и на основании этого сделать предложение, от которого будет трудно отказаться.

Таких персонажей в принципе не так много бывает

У Сноудена ещё во времена работы в АНБ был доступ "Top Secret", он же "второй уровень допуска". Им и до скандала интересовались.

если товарищ майор из США мной заинтересовался, он просто постарается нарыть компромат

Компромат - это хорошо, но только когда есть возможность его реально применить. Местному майору и компромат не нужен, есть целая пачка расплывчатых законов в УК.

если вы боитесь местного товарища майора, значит вы делаете что-то незаконное

Да-да, "законопослушному гражданину нечего скрывать от его горячо любимого государства."

Я боюсь местного товарища майора потому что он сам может решить что законно, а что - нет. И инструментов противостоять ему нет. Точнее, формально они есть, только не работают соответственно их описанию.

Я боюсь местного товарища майора потому что он сам может решить что законно, а что - нет. И инструментов противостоять ему нет. 

Если, как вы пишите, нет инструментов противостоять, то сертификат тут вообще не при чем. И нет смысла бояться что кто-то там через MitM будет слушать ваши беседы. Если такому майору понадобится знать содержание, то он "попросит" вас прийти и рассказать. И вам придется это сделать.

Намного интереснее длительное время вести скрытое наблюдение, не выдавая себя, чем «попросить рассказать».

Ну а если майор США, то не пошлют на западе.

А есть хоть 1 прецедент за десятки лет существования системы (чтобы после него виновный не получил волчий билет)? Вот в случае с РФ регистратором я более чем уверен, что и года не пройдет, как факт MITM будет зарегистрирован.

Так Сноуден как раз и раскрыл информацию о незаконной слежке. И вроде даже какой-то суд в США признал факт слежки незаконным. Но не слышал, чтобы там кого-то за это наказали. Разве что Сноудена

Ну это как посмотреть, товарищ майор из США не может меня посадить за решетку или отнять у меня активы какие, а вот наш очень даже может

«Сбер» предупредил, что скоро большинство сайтов в рунете перейдут на российские TLS-сертификаты

Кто-нибудь может подтвердить? Не тот факт, что Сбер заявил, а то, что большинство сайтов в рунете перейдут на такие сертификаты?

Чудеса интеграции: Сбер рекламирует Яндекс Браузер, а за техподдержкой отправляет в Госуслуги. Интересный бизнес-план.

План, на первый взгляд, нехитрый. Вместо того, чтобы объяснять неопытным пользователям как установить корневой сертификат, проще попросить поставить Яндекс Браузер. С Госуслугами тоже нехитрая схема, зачем напрягать свою поддержку потоком негодующих пользователей, если можно напрягать кого-то другого?

Есть кто из Казахстана? Там такую же ерунду вроде проводили. Как сейчас обстоят дела? Или просто для нас обкатывали?

Никто ничего не поставил и все забили

Может еще отключить зарубежные сертификаты или их часть?

А можете пояснить для не сильно шарящего во всех этих сертификатах - тот сертификат, о котором тут говорят, он устанавливается в систему и через него проходит весь трафик, или он устанавливается только в браузер, или вообще ничего не устанавливается, просто работает только во время подключения к сайту?

Просто уточняю, какое минимальное действие нужно - отдельный браузер, отдельную винду, отдельный компьютер... Старые смартфоны, ваше время пришло!

Минимально - отдельный профиль в браузере (мой любимый Firefox позволяет).

Отдельный браузер - если бы этот браузер не был столь активен в попытках проникнуть на мой компьютер...

Отдельную винду - почему бы и нет, виртуальная машина или загрузочная флешка только для банковских операций и пользования госссервисами - вполне разумный вариант. Причем не обязательно с виндой, я себе сделал usb3 SSD c Alt Linux - удобно, без каких либо проблем грузится на любом современном железе.

m.2 SSD на 128 GB в боксике с Ali, убер-флешка с 300-400 МБ/сек

Отдельный компьютер - да пожалуйста, но не очень удобно.

Я бы рекомендовал отдельный компьютер, или отдельный смартфон.
Вероятность загрузки зловредного кода на канале связи с таким сертификатом, многократно увеличивается.
Мы же понимаем, что mitm-атаку можно использовать не только для
наблюдения за траффиком, но и для модификации данных.

У меня для вас плохие новости. У яндекса уже есть свой CA. Раньше они его использовали на каких-то своих доменах, но сейчас найти домены с ним я не могу.

Ничего не мешает ФСБ нагнуть яндекс, запросить у них приватные ключи и подписывать этим сертификатом mitm-атаки. Про количество CA в Китае я вообще молчу.

Для того чтобы доверять SSL-шифрованию нужно внимательно изучать цепочку сертификатов. Но даже внимательный просмотр не даст гарантии того, что какой-нибудь корневой CA не дал дочерний сертификат провластным структурам.

Резюмируя вышесказанное: опасно доверять SSL-шифрованию при том, как корневые CA разбрасываются дочерними сертификтами и кому они их выдают. Я считаю, разработчикам опенсорсного ПО давно настало время пересмотреть каким корневым сертификатам доверять а каким нет.

UFO just landed and posted this here

Могут. Наличие корневого сертификата в системе даёт возможность делать mitm-атаку на любой сайт, хоть на nsa.gov.

Но это не имеет значения. Как я писал выше, mitm-атаку можно провести и без установки каких-либо корневых сертификатов. Для этого силовикам достаточно заиметь приватный ключ удостоверяющего центра яндекса.

А этот удостоверяющий центр Яндекса скаропки в нормальных браузерах то есть ?

Удостоверяющий центр яндекса является промежуточным. Корневой УЦ - Certum Truste­d Network CA, который есть во всех браузерах и во всех ОС.

Т.е. Certum Truste­d Network CA выдал яндексу промежуточный сертификат, и ФСБ яндекс с помощью этого сертификата может уже выпускать серт на любой другой домен, хоть на microsoft.com.

Как только вскроется - отзовут. Эдакая одноразовая и очень дорогая игрушка.

У симантека отозвали же.

Одно время популярные браузеры показывали SSL сертификат при клике на иконку рядом с адресной строкой. Можно было глазками проверить не изменилась-ли подпись на случай подмены сертификата.

Со временем просмотр свойств сертификата оказался закопан глубоко в devtools, а на виду осталась лишь иконка, убеждающая пользователей, что их соединение надёжно защищено.

Смысл всей этой системы с CA/УЦ изначально давать доступ тем кому надо, а не всем подряд. Только и всего. Этим охотно пользуются компании, устанавливающие свои корневые сертификаты на корпоративное железо. Есть хоть одна причина отказываться от такой же возможности государству?

UFO just landed and posted this here

это проблема архитектуры в целом, а не российского СА.

это так же как запуск от имени администратора на компе даёт программе любые права доступа, хотя по факту ей нужны только права в определённую папку. но всем пофиг

UFO just landed and posted this here

А могут они наравне с подменой сертификата, изменять содержимое ответа, скажем внедрить вредоносный javascript?

Могут любой, и необязательно вредоносный. Технически сертификат не подменяется, просто трафик перешифровывается другим сертификатом, которому система тоже по какой-то причине доверяет. Отследить подмену на стороне клиента в принципе возможно, если он хранит историю предыдущих сеансов. В прочем, мне не известно популярных браузеров, где бы это пытались реализовать.

Sign up to leave a comment.

Other news