Начинается эксперимент по переходу госорганов на российскую криптографию

    15 июля начинается эксперимент по использованию российской криптографии в государственных информационных системах. При этом будут использоваться только российские криптографические алгоритмы и средства шифрования (алгоритм шифрования «Кузнечик» и другие) и только российские TLS-сертификаты.

    Согласно постановлению правительства # 963 от 30 июня 2020 года, в пилотном проекте участвуют Государственная информационная система ЖКХ (ГИС ЖКХ), федеральные государственные информационные системы «Реестры программ для электронных вычислительных машин и баз данных», Единый портал государственных и муниципальных услуг (ЕПГУ) и Единая государственная информационная система социального обеспечения (ЕГИССО).

    Среди целей пилотного проекта — определение требований к криптографическим системам и определение возможностей головного удостоверяющего центра, а также определение требований к самому сертификату безопасности и порядка обеспечения шифровальными средствами граждан и организаций.

    Пилотный проект продлится до 1 марта 2021 года. К этому сроку министерство цифрового развития, связи и массовых коммуникаций РФ должно внести в правительство проекты соответствующих актов.

    Пилотный проект разработан с некоторой задержкой во исполнение поручения президента № Пр-1380 от 16 июля 2016 года. Оно предусматривает поэтапный переход федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, государственных внебюджетных фондов, органов местного самоуправления на использование российских криптографических алгоритмов и средств шифрования.

    До конца 2020 года государственный НИИ «Восход» планирует закончить создание национального удостоверяющего центра — структуры, которая будет выдавать сайтам в Рунете отечественные цифровые TLS-сертификаты. Ситуация затормозилась с 2016 года по объективным причинам: «Проблема не в том, чтобы создать национальный центр сертификации. Проблема в том, чтобы эти сертификаты акцептировались, соответственно, операционными системами или браузерами, которые пока не собираются этого делать», — объяснял директор по развитию сетевой инфраструктуры «Яндекса» Алексей Соколов.

    Производители операционных систем и браузеров должны добавить российский УЦ в список доверенных центров сертификации. По плану национальный УЦ должен быть создан до конца 2021 года, но НИИ «Восход» обещает сработать с опережением срока.

    В декабре 2019 года Владимир Путин подписал закон, обязывающий производителей электроники предустанавливать российское программное обеспечение на компьютеры, смартфоны и телевизоры. Это поможет в распространении российского центра сертификации. Чиновники считают, что обязательная предустановка отечественного софта с поддержкой российских криптоалгоритмов и цифровых сертификатов является более надёжной, чем попытки уговорить западных вендоров сотрудничать.

    Источник, близкий к НИИ «Восход», подтверждает, что предустановка софта, который поддерживает TLS с отечественной криптографией, возможна. «Но тут надо действовать очень осторожно — у нас граждане мнительные, везде видят „большого брата“, слежку. В принципе, это сделать можно, и такая возможность обсуждается, но стоит иметь в виду общественную реакцию», — сказал собеседник «Медузы».

    Можно добавить, что в рамках перехода на использование отечественных криптографических алгоритмов (ГОСТ Р 34.10-2012) в государственных и муниципальных информационных системах с 1 апреля 2020 года осуществляется веерная блокировка сертификатов, созданных по алгоритму RSA, в информационных системах, взаимодействующих с ЕСИА.

    Единая система идентификации и аутентификации (ЕСИА) — информационная система в Российской Федерации, обеспечивающая санкционированный доступ к информации в государственных информационных системах. Оператор — Минкомсвязь. Условно ЕСИА можно назвать «электронным паспортом» гражданина РФ.

    Чтобы взаимодействовать с ЕСИА, теперь необходимо получить сертификат, выпущенный с использованием криптографического алгоритма ГОСТ Р 34.10-2012, а также изменить алгоритм формирования электронной подписи на GOST3410_2012_256 в карточке ИС технологического портала в ЕСИА.

    «Вся эта история с отечественными TLS-сертификатами — лишь часть государственных амбиций по переводу всего российского сегмента сети на отечественную криптографию, — сказал руководитель крупной IT-компании в интервью «Медузе». — Есть еще масштабные истории по переводу всех платежных систем к 2024 году на российскую криптографию, продаже „доверенных“ сим-карт с отечественным шифрованием. В общем, размах довольно впечатляющий — это такое „импортозамещение 2.0“».

    Ещё одна новость на тему сертификатов и электронных подписей. В июне 2020 года подписан закон о наделении УЦ правом создавать сертификаты и выдавать ключи усиленных неквалифицированных ЭП без личного присутствия заявителя (федеральный закон «О внесении изменений в статьи 1 и 3 Федерального закона «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»). Он предусматривает «возможность создания сертификатов ключей проверки электронных подписей и выдачи таких сертификатов заявителям в отношении усиленных неквалифицированных электронных подписей без их личного присутствия при условии определения заявителей посредством простой электронной подписи, используемой в единой системе идентификации и аутентификации, и при условии организации взаимодействия удостоверяющего центра с названной системой, гражданами (физическими лицами) и организациями с применением средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия».

    См. также:

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 26

      +3

      Так, стоп, а раньше как было? У нас законодательством предписано использовать сертифицированные СКЗИ, в тех случаях, если вообще нужно хоть что-то шифровать. Все сертифицированные СКЗИ вроде как должны иметь реализацию ГОСТ-шифрования, в чем тогда эксперимент?

        +3

        Теперь пытаемся расшифровать.

        +1
        У нас законодательством предписано использовать сертифицированные СКЗИ, в тех случаях, если вообще нужно хоть что-то шифровать.


        Возможно, я ошибаюсь, но «сертифицированные» не то же самое, что «российские».
          +1
          «Вся эта история с отечественными TLS-сертификатами — лишь часть государственных амбиций по переводу всего российского сегмента сети на отечественную криптографию, — сказал руководитель крупной IT-компании в интервью «Медузе».
          Нет! Это не только «лишь часть» перевода на отечественную криптографию, а ещё как минимум реальная возможность делать MITM-атаки без какой либо боязни, поскольку «благодаря» заявлениям Алексея Соколова, как описывается в этой статье, будут принудительно предустанавливать корневые сертификаты во все возможные устройства в РФ.

          Т.е. речь идёт не о доверии к удостоверяющему центру, а о принуждении ему доверять. Избежать не получиться, т.к. все государственные сайты просто-напросто перестанут работать. Ультиматум. При этом никто не сможет контролировать незаконные действия власти государственного УЦ в весьма «демократичной» стране.

          «Но тут надо действовать очень осторожно — у нас граждане мнительные, везде видят „большого брата“, слежку. В принципе, это сделать можно, и такая возможность обсуждается, но стоит иметь в виду общественную реакцию», — сказал собеседник «Медузы».
          Они MITMом заниматься собрались, а люди ещё не должны «большого брата» увидеть? Возможно IT-специалисты и мнительны, но вот «источник, близкий к НИИ «Восход» — весьма двуличный, я считаю. Такие цитаты должны сопровождаться конкретными именами.

          P.S.: Передаю привет всем людям, которые приложили море усилий для реализации eSNI (ECH). Не самая приятная картина нарисовалась. Ещё один привет всем людям, которые всеми силами пилят полную децентрализацию ресурсов и узлов. Это необходимо. Спасибо.
            0
            Поможет ли использование canary token (по аналогии со «свидетельством канарейки») понять пользователю была ли митм-атака?
              0
              Ранее внедряли HPKP, потом его заменили Expect-CT. Мне кажется, что если крупные ресурсы начнут вовремя использовать эти подходы, то есть шанс. Если вовремя не начнут и подсуетятся надзоры, то при определённых действиях все попытки как-либо удостовериться будут сведены к минимуму — оперативно фиксироваться и блокироваться. Но всегда можно будет вручную проверить в нужный момент, если по надёжному каналу известен отпечаток настоящего публичного ключа ресурса.
                0
                Боюсь, в таком случае это будет уделом лишь энтузиастов(
                  0

                  Если российское ПО будет в себе содержать российские корневые сертификаты, что помешает ему содержать отключение проверки всяких HSTS?

                    0
                    Правильно, ничего не будет мешать.
              0

              А в других странах госорганы тоже городят свои ни с чем не совместимые национальные криптографии, или это снова наш пресловутый особый путь?

                +1
                В США да. И то что они стали стандартом, это всего лишь следствие массы причин.
                Из более-менее независимых и «сильных» остается только Китай, но как там обстоит дело просто не в курсе.
                  0
                  На самом деле все проще: хотят собственный доверенный УЦ иметь — пройдите аудит WebTrust! Но наши «ипортозаместители» не хотят проходить аудит. Почему? Единственное объяснение — с софтом что-то не так или с процедурами. А значит, использование сертификатов «по-госту» тупо небезопасно. Вы будете использовать такие сертификаты? Я нет.
                    0
                    Единственное объяснение — с софтом что-то не так или с процедурами
                    Нет. Просто «кое-кто» хочет читать весь шифрованный трафик. Гос. CA может пройти аудит, вот только при первой же жалобе на MITM их бы выперли. Потому и придумали ход конём: не можем поддерживать доверие — принудим доверять. Точка.

                    Вот вам статья за 2016ый год, в которой уже многое обсудили. В том числе и желание использовать MITM-атаки.

                    Текущая ситуация — один из 3х последних шагов к полному покрытию. Вопрос времени/ожидания. Избавиться от этого, защитить свои права — крайне тяжело и с каждым полугодием будет всё тяжелее.
                      +1
                      Я конечно понимаю вашу параною, но с другой стороны почему государству не проявить свою параною и не убрать зависимость от «левых» CA, для коммункаций с госорганами?

                      Ну а то что trusted root, считается таковым для всех без исключения URI это скорей недоработка браузеров, которую могут эксплуатировать, но не фундаментальная проблема. Как простейшее решение можно завести отдельный «православный» браузер для работы с госорганами, а в остальной мир ходить с другого.
                        0
                        Я конечно понимаю вашу параною, но с другой стороны почему государству не проявить свою параною и не убрать зависимость от «левых» CA, для коммункаций с госоррганами?
                        Если бы у них цель была именно такой, то тогда и решения были бы совсем другими. Т.е. не было бы идей принуждения, а были бы как минимум попытки анализа и разработок технологий распределённого доверия. Многие производители ПО приняли бы участие в этом процессе и даже помогали бы.

                        Как простейшее решение можно завести отдельный «православный» браузер для работы с госорганами, а в остальной мир ходить с другого.
                        Вы, как и некоторые комментаторы с указанной мной статьи, мыслите одним шагом, хотя было бы желательно несколькими. Неужели вы действительно думаете, что у вас будет возможность использовать «другой» браузер без встроенных сертификатов (в браузер или систему) где-то года через 2? Картина Казахстана перед глазами не появляется? Трафик отбрасываться не будет? При текущих решениях эта ситуация явно повторится, но с куда более приятным для СвязиКомМин исходом и с очень печальным исходом для всех ИТ-компаний в принципе, не говоря уже о пользователях. И никакие пиннинги особо не помогут, учитывая озвученные в статье планы (принуждение устанавливать ПО).

                        P.S.: Почти 8 лет прошло как заявляли, что реестр — исключительно для защиты от людей с кирпичами в метро. Что видим сейчас? Сколько раз подобные заявления уже повторялись, а потом незаконно использовались в других целях? Я сбился со счёта.
                        P.P.S.: Ещё не видел, что бы пользователи сами себя на Хабр приглашали. На 3 минуты впал в бесконечную рекурсию. :-)
                          0

                          Тут есть несколько нюансов.
                          Во-первых, использование отдельного браузера (а лучше — виртуалки) для посещения банковских и государственных сайтов — это скорее вопрос цифровой гигиены, а не паранойи, и пока уже учить окружающих нас людей делать это по умолчанию.
                          Во-вторых, если рубильник не дёрнут и не выключат внешний инет в принципе, то VPN на собственный сервер на зарубежном хостинге за $5/mo вполне решает проблему MiTM и "отбрасывания трафика". Равно как и проблему скачивания чистого браузера без "закладок".
                          Но в целом, конечно, бороться с государством техническими средствами относительно бесполезно…

                            0
                            Во-вторых, если рубильник не дёрнут и не выключат внешний инет в принципе
                            Если. Они принуждать не для того собираются, что бы потом заниматься чем угодно, кроме MITM в СОРМ. Весь TLS трафик без их сертификата в цепочке будет отбрасываться.

                            VPN на собственный сервер на зарубежном хостинге за $5/mo вполне решает проблему MiTM и «отбрасывания трафика»
                            Нет, не решает. В той же статье за 2016ый год это детально обсудили.

                            Равно как и проблему скачивания чистого браузера без «закладок».
                            И у скольки пользователей будут такие чистые браузеры без закладок и чтения хранилища системы? У 5% + 1% (родственники), которых не жалко?

                            Я считаю, что нам могут помочь телефоны и то, что в них популярно. Перестанет это работать — MITM будут вводить постепенно и выборочно — будет время новых технологий.
                              0

                              Я не вижу в той статье способа блокирования VPN. Не надо преувеличивать их возможности — вон, даже телеграм заблокировать не смогли по итогу. VPN вполне неплохо маскируется под другие виды трафика при необходимости, VPN необходим для штатной работы громадного количества сервисов и компаний, включая государственные, в качестве VPN может выступать SSH, которая нужна вообще для всех серверов (ну, кроме виндовых)… В общем, я не верю в то, что на практике смогут заблокировать вообще все VPN. А попытка разрешить только те VPN, для которых используется шифрование с возможностью MiTM государством провалится в ту секунду, когда ключи необходимые для расшифровки "утекут" из рук государства в даркнет — как сейчас утекают абсолютно все базы данных. На мой взгляд дёрнуть рубильник и отключить внешний инет вообще будет более реально и менее разрушительно чем блокирование всех VPN/SSH которые не может прослушивать государство.

                                0
                                Я не вижу в той статье способа блокирования VPN
                                Перепутал, извиняюсь. Вот ветка комментариев в статье с абсолютно аналогичной ситуацией, но более радикальной относительно времени: Казахстан внедряет свой CA для прослушивания всего TLS-трафика. Замечу, что в последнем комментарии ValdikSS речь идёт о том, что DPI пока что не определяет такого вида трафика, но в будущем ничего не мешает начать определять. Спасением может быть только жутчайшая стеганография, которая вызывает столько головной боли, что даже не счесть.

                                Не надо преувеличивать их возможности — вон, даже телеграм заблокировать не смогли по итогу
                                Его не могли вовремя блокировать только из-за того, что не было возможности перехватить push уведомления от Firebase со списком прокси серверов + сам телеграм маскировался под HTTPS с eSNI (ECH). С государственным ПО и MITM это достаточно хорошо решается.

                                VPN вполне неплохо маскируется под другие виды трафика при необходимости
                                Ну да. И DPI это не сможет отследить, конечно же. :-)

                                VPN необходим для штатной работы громадного количества сервисов и компаний, включая государственные, в качестве VPN может выступать SSH, которая нужна вообще для всех серверов (ну, кроме виндовых)…
                                В каком веке придуман механизм лицензий?

                                В общем, я не верю в то, что на практике смогут заблокировать вообще все VPN
                                Посмотрите на опыт Китая, которому определённые структуры пытается следовать. Как только появляется хоть немного намекающий на массовость VPN-сервис, сумевший любым из способов обойти DPI, так сразу же его владельцу ставят «приятный» ультиматум.

                                К тому же, в 13-14ых годах сомнения возникали и о текущем реестре.

                                когда ключи необходимые для расшифровки «утекут» из рук государства в даркнет — как сейчас утекают абсолютно все базы данных
                                В Казахстане возможность утечки ключей не остановила от массового запуска MITM. Почему должна остановить РФ?

                                дёрнуть рубильник и отключить внешний инет вообще будет более реально и менее разрушительно чем блокирование всех VPN/SSH которые не может прослушивать государство
                                Более реально? Да, это проще. Менее разрушительно? Как может быть менее разрушительной потеря связи с большим бизнесом, так необходимым бизнесу и населению РФ при отсутствии альтернатив? Я уверен в обратном.
                                  0

                                  DPI — не волшебный инструмент, у него полно своих ограничений.
                                  "Жутчайшая стеганография" — не думаю, что до этого дойдёт, скорее всего в ближайшие лет 10 будет хватать с головой более простых мер противодействия DPI. А если/когда производительность DPI вырастет настолько, что позволит обойти большинство современных ограничений, то вырастет и доступная пользователям производительность, что сделает "жутчайшую стеганографию" вполне доступной. Это всё типичная война меча и щита, и окончательных победителей в ней нет.


                                  Его не могли вовремя блокировать только из-за того, что не было возможности перехватить push уведомления от Firebase со списком прокси серверов + сам телеграм маскировался под HTTPS с eSNI (ECH).

                                  На самом деле — нет. Это пара конкретных технических приёмов, которых оказалось достаточно на определённом этапе борьбы. А победить его не смогли потому, что у телеграма оказалось достаточно воли и финансов для длительного сопротивления, не более того. Потому что технических приёмов можно придумать ещё очень много, возникни в этом необходимость.


                                  По поводу лицензий — насколько я слышал, в Китае это есть, но тем не менее желающие всё ещё в состоянии использовать там VPN.
                                  По поводу Казахстана — там ведь не взлетело… я к тому, что использовать его провал в качестве аргумента доказывающего возможность сделать то, что они сделать не смогли (или не захотели) — довольно странно, не находите? :)


                                  Менее разрушительно? Как может быть менее разрушительной потеря связи с большим бизнесом, так необходимым бизнесу и населению РФ при отсутствии альтернатив?

                                  Элементарно. Во-первых, данная разрушительность уже не остановила РКН во время попыток заблокировать телеграм… что в наших реалиях приравнивается к "учениям" и делается вывод, что это можно повторять при желании — мол, кому надо, должны были ещё в первый раз уловить намёк и переехать в русские хостинги, а остальные сами виноваты. Во-вторых, если внезапно у всех поломается SSH и VPN, то, как по мне, это окажется намного разрушительнее, чем потеря доступа к AWS, гуглу и гитхабу.

                                    0
                                    DPI — не волшебный инструмент, у него полно своих ограничений.
                                    Согласен, но не стоит считать, что обойти DPI можно легко и на хоть какое-то длительное время.

                                    На самом деле — нет. Это пара конкретных технических приёмов, которых оказалось достаточно на определённом этапе борьбы.
                                    Это пара приёмов, которые невозможно заблокировать из-за кучи поломок. C MITM можно будет блокировать не опасаясь этих самых поломок. Достаточно «мягко» внедрить MITM.

                                    Потому что технических приёмов можно придумать ещё очень много, возникни в этом необходимость.
                                    Когда государственное ПО будет на устройствах, «чаша перевесит» и начнут всё шифрованное блокировать, то что прикажете делать? Какие технические средства найдёте?

                                    желающие всё ещё в состоянии использовать там VPN
                                    Их состояние под большим вопросом, я считаю.

                                    По поводу Казахстана — там ведь не взлетело… я к тому, что использовать его провал в качестве аргумента доказывающего возможность сделать то, что они сделать не смогли (или не захотели) — довольно странно, не находите? :)
                                    Во-первых, я доказывал отсутствие страха компрометации ключей. Банальной попытки запуска глобального MITM вполне для этого хватает. Или вы считаете, что до запуска не предполагали, что ключи вообще могут куда-то утечь?

                                    Во-вторых, для MITM не обязательно кому-то приватные ключи CA передавать, достаточно подписывать сертификаты для нужных доменов наперёд или real-time, отслеживая кто, когда, откуда и для чего запросил; в несколько цепочек. При этом исключительно для опечатанного оборудования, обрабатывающего трафик «как нужно».

                                    В-третьих, если вы предполагаете, что у государственного CA утекут приватные ключи, то почему не думаете такое же о зарубежных CA? Или только в РФ данные из баз утекают? Или государственный CA не может действовать как зарубежные CA в случае утечки? Как вы относитесь к ЭЦП и текущим УЦ, которые участвуют в схеме?

                                    В-четвёртых, в Казахстане MITM не прошёл из-за того, что они не спланировали свои шаги и делали всё достаточно быстро. Ни о каком принуждении устанавливать сертификаты и ПО на устройства за годы до их MITM'а речи и не было.

                                    Во-первых, данная разрушительность уже не остановила РКН во время попыток заблокировать телеграм…
                                    Таки остановила. Или вы думаете, что они просто так перестали блокировать миллионы IP адресов? Как только стали заметными проблемы бизнеса (большого и среднего), так сразу же массовые блокировки и были поставлены на паузу. В дальнейшем они были точечными отлавливая прокси-серверы и зеркала.

                                    Во-вторых, если внезапно у всех поломается SSH и VPN, то, как по мне, это окажется намного разрушительнее
                                    Из-за этого они и действуют намного медленнее Казахстана.

                                    В целом не вижу аргументов, которые бы действительно убедили в том, что ситуация через несколько лет не будет подобной к мной описанной.
                                      0
                                      обойти DPI можно легко и на хоть какое-то длительное время.

                                      Не знаю, как сейчас, но раньше DPI довольно сложно было обновлять, так что если уже удалось его обойти, то обычно это было как раз на весьма длительное время.


                                      Когда государственное ПО будет на устройствах

                                      Лично я надеюсь, что никогда. Частично по причине саботажа на местах (а-ля нормально прошивку для тех же андроид-телефонов не сделают, а значит многие будут ставить LineageOS и прочие "альтернативные", часть телефонов будет по-прежнему покупаться на Ali без русской прошивки, на iPhone вероятность появления государственной прошивки примерно нулевая — как и вероятность отобрать все iPhone у населения, Mozilla тоже вряд ли добавит этот CA в Firefox, …), но в большей степени из-за того, что уже существуют миллиарды устройств, прошивки которых никто обновлять просто не будет (просто посмотрите на скорость и прогресс внедрения IPv6, как пример — а ведь IPv4 никто выключать даже не пытался).


                                      Во-первых, я доказывал отсутствие страха компрометации ключей.

                                      Я где-то сказал, что государство этого боится? Нет, конечно, не боится. Ему на это плевать. Поэтому утечки в РФ таки заметно отличаются качественно и количественно от утечек не в exUSSR (хотя бы потому, что в других странах такие вещи обычно расследуют и сажают).


                                      Я имел в виду нечто иное — когда (не если!) случится утечка и все желающие получат возможность расшифровывать любой трафик, как крупного бизнеса так и государства, в этот момент корневой сертификат будет большинством бизнесов моментально удалён — потому что ущерб для бизнеса от недовольного этим государства будет намного меньше ущерба от конкурентов и хакеров.


                                      Или государственный CA не может действовать как зарубежные CA в случае утечки?

                                      Конечно, не может — иначе бы государственный CA просто штатно зарегистрировался как все остальные. Но тогда ведь наступит ответственность за свои действия, а это для государства неприемлемо. А без ответственности и риска потерять клиентов государственный CA никогда не будет оберегать свои ключи так же тщательно — что мы и наблюдаем на примере уже произошедших утечек.


                                      Как вы относитесь к ЭЦП и текущим УЦ, которые участвуют в схеме?

                                      Это к тем, которые выдают чужие ЭЦП кому попало (о чём уже несколько раз писали на хабре) и тоже не несут за это никакой ответственности? Плохо я к ним отношусь, а какие тут варианты?


                                      Таки остановила. Или вы думаете, что они просто так перестали блокировать миллионы IP адресов? Как только стали заметными проблемы бизнеса (большого и среднего), так сразу же массовые блокировки и были поставлены на паузу.

                                      Если бы "остановила", то "как только стали заметными проблемы бизнеса (большого и среднего)" случилась бы моментальная разблокировка тех диапазонов адресов, которые эти проблемы вызвали. А этого не произошло, их разблокировали только спустя сколько… полтора года? И я бы не сказал, что кто-то что-то ставил на паузу — просто блокирование большими диапазонами "просто чтобы не отслеживать конкретные адреса и быстро решить проблему" проблему всё-равно не решило, и в результате перешли на отслеживание и блокирование конкретных адресов.


                                      Сами подумайте, с чего бы им "останавливаться"? Вышестоящие чиновники против таких действий РКН не возражали, а на всех остальных плевать — никто ведь, как обычно, никакой ответственности за эти действия и нанесённый ущерб не понёс, никаких компенсаций платить не пришлось, так с чего им "останавливаться"?

                  0

                  А есть ли инструменты для ограничения таких недоверенных корневых сертификатов?

                    0
                    Вручную убрать его из хранилища сертификатов в ОС или другом ПО (браузеры). Соединение не будет установлено. Если будут заниматься MITMом направо и налево как в Казахстане, то по сути пропадёт доступ ко всем ресурсам с шифрованным каналом.
                      0

                      Не устанавливать их вообще в основной ОС/браузере. Если очень надо ходить на сайты, которые без этого не работают — завести отдельный браузер для этих целей, а лучше виртуалку.


                      P.S. Мне тут на днях пришло "письмо счастья" от WebMoney, что мой сертификат скоро закончится, и что нужно бы его обновить… только вот там дополнение было, что для обновления сертификата необходимо сначала установить корневой сертификат WebMoney… я вот посмотрел на это, подумал немного, и решил что я как-нибудь без WebMoney обойдусь вообще.

                      0
                      федеральный закон «О внесении изменений в статьи 1 и 3 Федерального закона «О внесении изменений в Федеральный закон «Об электронной подписи»

                      Это типа как патч для патча? Релизами распространять — не канифоль?

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое