26 сентября основной сайт «Сбера» переводится на российские TLS-сертификаты

[egaxegax]

А как же Firefox? В российских дистрибутивах Linux используется только этот браузер.

[denis-19]

Ответ от «Сбера» для Хабра (в комментариях есть в конце нововсти):

При установке сертификатов безопасности Национального удостоверяющего центра (НУЦ) Минцифры на устройства пользователей сервисы и ресурсы «Сбера» будут доступны в различных, в том числе наиболее популярных браузерах (Safari, Google Chrome, EDGE, Firefox и др.) на различных операционных системах, что подтверждается заранее проведённым тестированием «Сбера».

[denis-19]

По поводу «Яндекс Браузера» и его совместимости с российскими дистрибутивами Linux.

[dartraiden]

Пользователям Firefox я советую создать отдельный профиль, импортировать туда сертификаты (в настройках браузера), создать ярлык для запуска этого профиля. Таким образом, онлайн-платежи (поскольку много где используется гейт Сбера) вы делаете в этом профиле, а весь остальной серфинг происходит в вашем старом профиле, где отечественных сертификатов нет. При этом в системе не плодится лишних сущностей в виде другого браузера.

[LiarParadox]

Можете ли поделиться инструкцией, как у вас это получилось?

Я создал новый профиль и в нем всё сделал по инструкции https://internet-lab.ru/digital_ru_root_tls - но в результате в этом профиле сайт Сбербанка вообще перестал открываться.

Спасибо.

[tzlom]

Хотя казалось бы что мешает подписывать 2мя сертификатами

[DarkHost]

Они наверное думают, что для этого надо 2 копии сайта иметь.

[sintech]

Отсутствие второго сертификата?

[damewigit]

Поясните пожалуйста, при установке этого сертификата в систему, российские провайдеры смогут делать mitm?

[dreesh]

в перспективе

[baldr]

И провайдеры, и Рос-всекомуугодно-надзор, и ФСБ..

А после того как утечет приватный ключ от сертификата (не скоро, через месяц минимум) - даже и мы с вами.

[AMaxKaluga]

но цивилизованное сообщество даже не даст возможности им обделаться!

судите тогда и за изнасилование, аппарат то есть.

[DarkHost]

На самом деле просто никому не пользоваться, и через некоторое время сберу надоест фигней заниматься.

[Barnaby]

В итоге он открывается по http, лол. А что мешает продлить сертификат, как сделали все нормальные банки?

[ShadF0x]

Райф вроде как не под санкциями, в отличие от Сбера.

[baldr]

Санкции мешают.

Эксперты считают, это произошло из-за того, что регистратор и провайдер
GlobalSign по причине наложенных на «Сбер» санкций отказывается
продлевать с компанией ранее заключённые договоры, а бесплатные
сертификаты Let’s Encrypt внутри «Сбера» запрещены по внутренним
политикам безопасности компании.

Обсуждали тут уже недавно.

[TheNovProgr]

Было бы замечательно увидеть, какой-то гайд по банкам с нормальными мерами безопасности. Звонил в Тинькофф узнать про их намерения относительно, заканчивающегося в январе сертификата, но там даже не знают что это...
Но это скорее не статья для Хабра.

[malykhin]

А может быть есть какая-то возможность ограничивать область действия корневых УЦ определенными доменами? Ну, например, пусть бы наши УЦ могли выдавать сертификаты только для наших dns зон и все.
Если посмотреть список корневых сертификатов, то можно легко найти, что свои УЦ есть у Китая, Турции, Индии, Пакистана и пр. Неужели все эти УЦ могут выдавать сертификаты на любые домены? Тогда кто мешает тому же Китаю шпионить за всем мировым трафиком?
Любопытна эта тема, но не пойму где можно про это почитать подробнее.

[baldr]

Мало выпустить сертификат - нужно чтобы пользователь попал на поддельный сайт вместо основного. То есть провайдер должен ваш запрос перехватить. Если не будете ходить через китайского провайдера - может и ничего. А Китай - вполне может и шпионит за своими...

Что касается ограничений на использование сертификатов - возможно, какой-то плагин для браузера может помочь. Но вопросов много возникает - с CDN и прочим . Тоже обсуждали уже это в соседней теме.

[qw1]

Можно ли установить не корневой сертификат, а конкретно на домен (online.sberbank.ru), ну и менять его вручную раз в год? (текущий сертификат online.sberbank.ru от GlobalSign выписан на год: Not Before 24.12.2021, Not After 25.01.2023)

[Kotenod]

Может ли владелец корневого TLS сертификата проникнуть в зашифрованный туннель между VPN-клиентом и VPN-сервером и видеть незашифрованный интернет трафик?