Комментарии 32
В принципе добровольная установка сертификатов минцифры на свою машину (если это не отдельная изолированная виртуалка чисто для этого) не сильно отличается от установки яндекс браузера.
Если ЯБро не добавляет сертификаты в хранилище ОС то отличается, так же ФФ может работать с своим хранилищем и нет нужды ставить серты в систему.
Т.к. нет вариантов дальше использовать нормальные антивирусы купил каспера, он втихаря поставил серты минцифры при установке )
он втихаря поставил серты минцифры при установке )
Ничоси. Было бы отл, если бы кто-нибудь провел исследование, какой именно сертификат ставится, и удаляется ли при сносе Касперского
с FF в данном случае есть проблема потенциальная — поставленный в его хранилище сертификат будет доверенный для всех доменов а не тех что в gosuslugi.ru/tls+ct-логи.
Или можно как то там ограничить доверие хотя бы для ru?
В системе с установленным АК попробовал зайти на страницу проверки - говорит, не установлено, ставьте сертификаты или ЯБраузер.
Есть пруфы, что Касперский ставит серты втихаря?
Сейчас нет под рукой винды, я не могу проверить это переустановив его.
Но сертификатов не было, т.к. при заходе на сайты все время вручную подтверждал согласие на открытие сайтов с кривыми сертификатами.
Есть шанс, что сертификаты были установлены кем то еще, просто так совпало, что я пошел сносить сертификат каспера, который он использует для просмотра всего ssl на предмет "атак" и рядом нашел серты минцифры.
Зашел в браузер, открыл сбер и все запустилось без запроса разрешения на открытие. Снес серты все вернулось на круги своя.
Нет я не могу подтвердить, что серты поставил каспер. Их мог поставить кто то другой так же без моего ведома. Точно могу сказать, я их не ставил сам.
Если Яндекс сказал правду (а как бы на прямой лжи их вроде пока не ловили) как у них это реализовано (была статья словами + тот же https://github.com/yandex/domestic-roots-patch/blob/main/domestic_roots.patch можно в конце концов посмотреть, и да, мной он смотрелся и вроде соотвествует тому что в их статьх — https://habr.com/ru/company/yandex/blog/655185/ первая + https://habr.com/ru/company/yandex/blog/667300/ про ct-логи и то что
Мы уже добавили поддержку новых CT-логов в Яндекс Браузер для Windows, macOS, Linux, Android и iOS. Теперь мы прекращаем обновлять список доменов с gosuslugi.ru/tls, замораживаем состав этого списка на наших серверах. Примерно год он продолжит использоваться в Браузере для тех сертификатов, которые были выпущены по старой схеме (пока не истечёт их срок действия).
Для новых национальных сертификатов, выпущенных с поддержкой CT-логов, сейчас действует простое правило: Браузер принимает сертификат, только если для него есть подписанная метка CT-лога Яндекса. Это стартовое решение.
+есть вкшаный ct-лог и минцифры
) то отличается, в лучшую сторону. В том плане что выпуск левого сертификата для mitm'а habr.com либо отразится в ct-логах либо не будет работать. и в систему ничего левого не ставится.
Ну и если мы яндексу не очень верим — можно попробовать собрать свой хромиум с тем патчем от них.
Возможно дело в каких-то заголовках, которые браузер шлет сайту, хотя бы user agent, нужно это проверить.
Сегодня там был без дополнительных телодвижений - греческому сертификату Firefox доверяет искаропки.
Вот бы право в стране работало, за такие финты которые 100% повлекут злоупотребления, наказывать рублём и робой. Даже если они законом закрепят право минцифры на этот сертификат, даже если постфактум с этим можно согласиться, хотелось бы официальными путями чтобы корневой был доставлен в ОС и прикладное ПО.
Одна из проблем — либо этот сертификат надо с поддержкой https://www.rfc-editor.org/rfc/rfc5280#section-4.2.1.10 name constraints только для .ru/.рф выпускать (а вроде как не весь софт Name Constraints вообще умеет + вот не факт что Минцифры или кто там его реально сделал согласятся на такое ограничение) либо имеем техническую возможность для тех у кого закрытый ключ к этому сертификату делать mitm для habr.com а значит нужно доверие от Google, Mozilla, Microsoft что владельцы данного CA НЕ будут делать mitm.
Ватерфокс разве тоже не признаёт? Вроде там нормально всё с «корпоративными сертификатами для внутреннего пользования»…
Тандербёрд точно работает нормально со всякой корпоративной самоподписаниной, но почта в этом плане по определению более «расхлябанная», чем https.
UPD: обновил Ватерфокс. Зашёл, силой поставил в адресе https. Он пожаловался на сертификат, я посмотрел, кем подписан, подтвердил исключение. Всё работает. Я что-то сделал не так?
Поясните для непонимающего во всех этих сертификатах - что надо будет сделать по-минимуму, без установки ЯБ и впихивания сертификатов в винду, а не в отдельный браузер? Создать отдельный профиль Хрома/Файрфокса, где будут только сайты, работающие со оплатой Сбера? Или придётся накатывать отдельную ОС только для этого?
У меня только что прокатило тупо подтвердить исключение в Ватерфоксе. Я просто за ним знаю эту фишку — он неплохо со всякой корпоративной внутрянкой работал и раньше в этом плане.
Но могут быть подводные камни, жду комментария от специалистов (ну то есть теперь вместе ждём, как я понимаю).
Тестировал на sberbank.ru (не online.sberbank.ru) — там давно уже отвалился глобальный сертификат и он мне показывал только http до подтверждения исключения. После этого вернулся https.
тупо подтвердить исключение
Подводный камень в том что однажды так можно попасть на фишинговый сайт, и он даже может открыться по сбербанковому реальному домену, и вместо того чтобы уйти с него, как раньше, - добавите в исключение, со всеми вытекающими.
Он же вроде должен хранить исключения и переспрашивать, если изменились… или это надо отдельно настраивать…
UPD1: Тандербёрд точно хранит, но почта такая почта.
UPD2: А как глазами посмотреть и сравнить ключи? Он же их вроде показывает среди всего прочего (когда и кем выдан и т. д.)
Да, хранит соответствие сертификата и адреса, но я и говорю что можно так случайно не то исключение добавить. Но как хоть какая-то альтернатива установке сертификатов - возможно можно глазами сравнивать добавляемое исключение и данные нормального вот точно нужного сертификата, который надо брать из надежного источника...
[del]
Товарищу, как владельцу торговой точки с эквайрингом Сбера пришла инструкция по переходу на новые сертификаты. И в ней - интересный подпункт
Сбербанк проводит активную коммуникацию с целью поддержки сертификатов НУЦ Минцифры клиентами Банка и интернет-эквайринга, но из-за длительного процесса применения сертификатов на клиентский устройствах, со стороны Банка предусмотрена настройка в платежном шлюзе, позволяющая отдать ссылку на ПС на домене с сертификатами международных УЦ, которые уже установлены на клиентских устройствах (что в свою очередь не потребует дополнительных действий со стороны клиента для осуществления платежа).
Список доступных альтернативных доменов для ПС:
<тут много ссылок типа секьюрпеймент.ру>
Я правильно понимаю, что это полулегальный способ обхода?
Там сайты судебной системы перевели на аналогичный сертификат. Социалка вроде больниц и прочего, видимо, на очереди.
Например, на сайтах «Детского мира», «Связного», «Делимобиля», «Леруа Мерлен» и «Онлайн Трейд.ру» при вводе данных банковских карт появилось предупреждением о том, что «для стабильной работы пользователям скоро потребуются сертификаты Минцифры».
При заказе на СберМаркете таких предупреждений вроде нет.
Если получится так, что при заказе на том же Озоне надо будет выполнить танец с бубном, а при заказе со СберМегаМаркета можно не заморачиваться, то на вытеснение конкурентов похоже.
В конце сентября после перевода на российские TLS-сертификаты основной сайт «Сбера (sberbank.ru) стал открываться по http
Неужели решение перейти на http было лучше, чем установка сертификатов от Let's encrypt?
- У тебя хата загорелась, потуши! Вон, рядом же стоит огнетушитель!
- Нет, он выглядит слишком бесплатным. Лучше откроем дверь, пусть все заходят, забирают что хотят, чего добру то пропадать?
Они писали, что сертификат Let's encrypt не соответствует их политикам безопасности.
Let's Encrypt может тоже забанить и делали так с Ираном.
Их обсуждение
https://community.letsencrypt.org/t/certificates-ban-for-russian-government-websites-following-the-war-in-ukraine/173643 — и кратко — The recap is, if you are not on the SDN list 231 you won't get blocked. (So, most government and government-adjacent websites will be refused issuance)
Вот только Сбер разве не в SDN ?
"СОРМ посередине" + "Обязательный сертификат" = "Большая сила". Всё можно прочитать. Всё можно изменить. Всех можно поиметь...
«Сбер» переведёт платёжный шлюз на российские TLS-сертификаты с 30 января 2023 года