Comments 28
А установка яндекс браузера означает установку российского сертификата в систему в целом или нет?
Не означает. Браузер использует те сертификаты, что в нём хранятся, только для своих нужд.
Установка на уровне системы подразумевает, что сертификат сможет использовать любой браузер (если уж углубляться, там есть тонкости, но из более-менее популярных - любой).
Ну значит до какого-то момента можно пользоваться яндекс браузером без виртуалки... До тех пор, пока
вот они
не сделают яндексу предложение, от которого сложно отказаться, незаметно ставить сертификат на уровень системы...
Не уверен, что это можно сделать совсем незаметно. Другой вопрос, что большая часть пользователей все диалоговые окна прокликивают с согласием не глядя.
Есть еще вариант (мы хабре или где?)
Яндекс (как и обещал) опубликовал свой патч для поддержки этих сертификатов "правильно" (с CT и прочим).
https://github.com/yandex/domestic-roots-patch
Берем и собираем Chromium с этим патчем.
Ну если конечно Яндекс не соврал и патч рабочий… но зачем им врать то тут?
На мой взгляд (пусть даже среда разработки для C++ последний раз мной запускалась несколько лет назад, я больше по мобилкам сейчас) патч выглядит делающим то что заявлено.
Лучше бы минцифры ответило на основании каких НПА они вообще выдают сертификаты? регламенты, как проверяют права на домен и вот это вот всё.
Простым поиском по .com в реестре находятся сайты всяких LLC и LTD у них есть аккаунт на Госуслугах?
Ладно zolla.com а вот ccb.com как попал?
"Нет доверия к этому корневому сертификату" -- да, именно так.
гарантирует пользователям безопасный доступ
Ну да, в стране, где регулярно утекают базы гибдд, налоговой, банков самое наивное - верить в безопасность.
А третий вариант — открывать без страха несмотря на «ругань» браузера?
Тот же Хром в режиме инкогнито игнорирует ошибки сертификатов.
Или они вообще никак открываться не будут?
Всё это прикольно, НО я как ЧАСТНОЕ/ФИЗИЧЕСКОЕ лицо НЕ могу получить сертификат для своего сайта, как и для сайта своей гос. конторы, которая 20 лет не может оформить интессектуальную собственность на домены и поставить их на баланс, из за чего продление доменов и сертификаты за счёт меня как СисАдмина...
А вот буквально вчера почтовик (CommuniGatePro версия 6.2.15, на 6.3.15 всё работает и в ченьдж логах написано, что они обновляли работу с TLS) перекосило и он отказался работать с Let's Encrypt сертификатами (в апаче серт работает, а в веб-интерфейсы и секьюрные пересылки почты не работают).
Вот думаю, что делать дальше, пока поставил самоподписанный к которому нет доверия, но хоть как-то работает.
Ха-ха, напридумывают же "все ради безопасности'
Просто Сбер не может продлить (купить) сертификат, так как они под санкциями, а их сертификат от GlobalSign истекает совсем скоро - 28 сентября.
Вот и в спешном порядке озаботились "безопасностью"
Я не тормоз, я медленный газ, сказали в минцифры и выпустили свой сертификат. Вот до 2014 года этого никак нельзя было решить? Можно можно было создать какую нить некоммерческую ассоциацию, которая выпустила бы эти корневые сертификаты. Через госконтракты продавить добавление этих сертов в списки операционных систем. Ну т.е. нет российских сертов - нет участия в госзакупках. Можно было б порешать это и после 2014, но кто ж знал?.. Никто ж не догадывался что можно все серты в одночасье превратить в тыкву. По итогам со временем все мы будем жить и работать с этими сертификатами. Если вы надеетесь что есть летс энкрипт. Не надейтесь. Со временем он тоже сделает то же самое что сделали его "коммерческие коллеги".
Я тут разбирался с косяками добавления Let's Encrypt TLS в CommuniGate и наткнулся на CA сертификаты Яндекса и Ru-Centre т. е. не только Мнцифры могут, если захотят 😎
RU-CENTER High Assurance Services CA Yandex CA
P. s. у Let's Encrypt есть косяк из за 2х сертификатов ISRG Root X1 с разными датами окончания - 2024 и 2035 года и из их одновременного нахождения в почтовике - все сервисы использующие tls перекосило - пришлось убирать серт со срокои до 35 года и вычищать цепочку подписания из конфига.
Там проблема скорее в том что процедура добавления демократическая достаточная и пришлось бы отвечать на вопросы почему этот сертификат НЕ будет использоватся для MITM (с учетом что например в Казахстане — пробовали), при этом "мамой клянусь" — не подходит. При этом — ладно допустим через госконтракты продавили MS.
А Firefox(свое хранилище сертификатов) и Chrome(запросто может забанить конкретный сертификат за небезопасность и плевать в каком он хранилище, Казахстанский вот банили) что — по госконтрактам покупаются? И что?
Хотя да — если цели соответствуют заявленным то проблему можно было решить. Только ее надо было решать.
Firefox -p можно запускать с разными профилями, и он системные не видит, вот наверно можно отдельный профиль создать для посещения таких сайтов)
кто знает как можно подтвердить домен по ДНС записи или через почту?
Минцифры пояснило, зачем «Сбер» и другие компании переходят на российские TLS-сертификаты