Комментарии 20
«Яндекс Браузер» применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке НУЦ. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.
Вроде бы как инициатива применения сертификата исходит от вебсервера, а не от браузера?
Но проверяет сертификат-то браузер. Корневые сертификаты должны быть установлены в браузере (или в ОС?), чтобы была возможность проверить сертификат сайта.
Это понятно. Но причём здесь список НУЦ и всё остальное, что написано в цитате? Цитата вроде бы как означает, что яндекс.браузер смотрит на наличие сайта в списке НУЦ и, если сайт там есть, то применяет для него национальный сертификат. В то время как в действительности, как я полагаю, браузер просто проверяет тот сертификат, который предложен сайтом, какими бы ни были сертификат и сайт.
Естественно, что если сайт предъявил сертификат, подписанный неизвестным нам лицом, то получится вопросительный диалог (по умолчанию) или блокировка.
Я думаю, да, цитата некорректная. То есть проверять он должен у того, у кого сертификат подписан.
В то время как в действительности, как я полагаю, браузер просто проверяет тот сертификат, который предложен сайтом, какими бы ни были сертификат и сайт.
Ну нет же, об этом и оговорка. Если от сайта, которого нет в списке, придёт сертификат, подписанный НУЦ (что может являться признаком MitM) - я.браузер его не примет.
То есть это на самом деле даже не Минцифра, а дирекция ООО "Яндекс" решает, валидный сертификат предъявлен или нет? Спасибо, нафиг такие мутные схемы. Государству я вынужден доверять в силу своего гражданского положения (всё равно у него есть способы добиться желаемого вплоть до терморектального криптоанализатора), а на частную фирму и лично господина Кудрина моё вынужденное доверие не распространяется в такой же степени.
Тем более, если государство решит подменить сайт microsoft.com, ему тем более не составит труда вставить его в пресловутый список НУЦ.
Беспокоит, что решения такого рода принимаются людьми, не понимающими, что такое цепочка доверия.
Читайте как "разрешает для него национальный сертификат". Если какой-нибудь microsoft.com покажет национальный сертификат — Яндекс.Браузер обещает забить тревогу и выдать предупреждение, даже если цепочка доверия будет построена успешно.
Или не использовать сервисы требующие это.
...для обеспечения надежности функционирования российских ресурсов сети рунета...
И наверняка ещё - для защиты детей?
...эксперты «Роскомсвободы»...рекомендуют использовать в случае крайней необходимости только «Яндекс Браузер», а не ставить сертификаты на свои ПК...
Эксперты такие эксперты. Всегда считал программы, которые пытаются установиться сами на ПК пользователя любым доступным образом вредоносными. Всякие мейлруяндексбраузеры и прочие суперновыекаталогиигр. Да - если вы вчера родились - несколько лет назад этот прекрасный браузер лез из любой дырки. Не раз это говно удалял с компа родителей. С тех пор в мозге отложилось яндекс=малварь/плохо/говно/удалить. Проклял и выжег калёным железом все их поделия со всех своих устройств.
Решил данный технический вопрос перездом с территории Необъятной. Отдал все свои данные гуглу и майкрософту. Их тоже ненавижу всем сердцем, но уж никуда пока не деться. Однажды перееду на необитаемый остров, предварительно выкинув все электронные устройства, и тогда точно мои данные перестанут утекать куда-либо...кроме сраных гугл мапсов, которые раз в квартал будут публиковать спутниковые снимки с моего острова...
Всегда считал программы, которые пытаются установиться сами на ПК пользователя любым доступным образом вредоносными.
яндекс=малварь/плохо/говно/удалить
Отдал все свои данные гуглу и майкрософту.
А вас не смущает, что гугловский хром тоже поначалу распространялся, мягко говоря, вредоносным методом?
А то, что майкрософт ставит программы на компьютер пользователя без спроса? Помнится я на десятке несколько раз неожиданно обнаруживал программы, которых не ставил, которые просто прилетели с очередным обновлением.
Я же специально написал, что софт от гугл и микрософт ненавижу всем сердцем. Но на данный момент это необходимое зло, от которого я ПОКА отказаться не могу. Ну не могу я пока отрастить бороду и пузо, как у Столлмана и пользовать только "правильный" софт и железо.
Хромом никогда не пользовался, только фаерфокс и его форки. И к ним, кстати, тоже есть вопросы...но не такие серьёзные, как к хрому, например...
Да, винда - тот ещё малварь. После каждого обновления приходится что-то чинить\удалять. Но опять же - от винды ПОКА отказаться не могу.
За ssl на сайте есть плюшки при ранжировании, но при установке сертификата, подлинность которого не может проверить Google, не будет ли занижения? думаю будет. Плюс мы не знаем по каким алгоритмам проверяется это же в Яндекс.
Из-за этого, если вам важны ваши позиции поисковой выдаче, значит не стоит спешить переходить на российские сертификаты.
Надеюсь отдельного профиля Лисы с установленным в ее хранилище "этим безобразием" будет достаточно на какое-то время. А потом уже будет не до сертификатов не только нам, но и самому УЦ.
А Лисичка умеет в отдельный профиль со своими сертификатами? В таком случае разумно вообще все гос- и окологоссайты в нём и держать. Сбербанк, РСХБ, госуслуги и вот это всё. *Во избежании несанкционированного доступа к конфиденциальным данным со стороны владельцев вредоносных сайтов.* И кстати, коллеги, а как проверить, установлены ли сертификаты?
В Госдуму внесён законопроект о создании информсистемы Национального удостоверяющего центра