Suicide
12.03.2022, 01:29
Пользователи портала государственных услуг Российской Федерации (gosuslugi.ru) получили (https://bugzilla.mozilla.org/show_bug.cgi?id=1758773) уведомление о создании государственного удостоверяющего центра (https://www.gosuslugi.ru/tls) со своим корневым TLS-сертификатом, не включённым в хранилища корневых сертификатов операционных систем и основных браузеров. Сертификаты выдаются на добровольной основе юридическим лицам и нацелены на использование в ситуации отзыва или прекращения продления TLS-сертификатов в результате санкций. Например, удостоверяющие центры, находящиеся в юрисдикции США, такие как DigiCert, прекратили предоставление сертификатов для сайтов организаций, входящих в санкционный список.
В настоящее время государственный корневой сертификат интегрирован только в продукты Яндекс.Браузер (https://browser.yandex.ru/) и Атом (https://atom.browser.ru/). Для обеспечения доверия к сайтам, использующим сертификаты от государственного удостоверяющего центра, в других браузерах, требуется ручное добавление корневого сертификата в системное или браузерное хранилище сертификатов.
Среди сайтов (https://gu-st.ru/content/lending/tls_list2.csv), которые уже получили государственные TLS-сертификаты, различные банки (Сбер, ВТБ, ЦБ) и аффилированные с госструктурами организации и проекты. При этом на момент написания новости на основных сайтах Сбер и ВТБ продолжают использоваться традиционные TLS-сертификаты, поддерживаемые во всех браузерах, но отдельные поддомены (например, online-alpha.vtb.ru) уже переведены на новый сертификат.
В случае начала навязывания нового удостоверяющегося центра или выявления фактов злоупотреблений, таких как совершение MITM-атак, вероятно, что производители браузеров Firefox, Chrome, Edge и Safari предпримут действия по добавлению проблемного корневого сертификата в списки отозванных сертификатов, как это уже было сделано (https://www.opennet.ru/opennews/art.shtml?num=54284) с сертификатом, внедрённым для перехвата HTTPS-трафика в Казахстане.
https://www.opennet.ru/opennews/pics_base/0_1646888034.png (https://www.opennet.ru/opennews/pics_base/0_1646888026.png)
10.03.2022
https://www.opennet.ru/opennews/art.shtml?num=56830
В настоящее время государственный корневой сертификат интегрирован только в продукты Яндекс.Браузер (https://browser.yandex.ru/) и Атом (https://atom.browser.ru/). Для обеспечения доверия к сайтам, использующим сертификаты от государственного удостоверяющего центра, в других браузерах, требуется ручное добавление корневого сертификата в системное или браузерное хранилище сертификатов.
Среди сайтов (https://gu-st.ru/content/lending/tls_list2.csv), которые уже получили государственные TLS-сертификаты, различные банки (Сбер, ВТБ, ЦБ) и аффилированные с госструктурами организации и проекты. При этом на момент написания новости на основных сайтах Сбер и ВТБ продолжают использоваться традиционные TLS-сертификаты, поддерживаемые во всех браузерах, но отдельные поддомены (например, online-alpha.vtb.ru) уже переведены на новый сертификат.
В случае начала навязывания нового удостоверяющегося центра или выявления фактов злоупотреблений, таких как совершение MITM-атак, вероятно, что производители браузеров Firefox, Chrome, Edge и Safari предпримут действия по добавлению проблемного корневого сертификата в списки отозванных сертификатов, как это уже было сделано (https://www.opennet.ru/opennews/art.shtml?num=54284) с сертификатом, внедрённым для перехвата HTTPS-трафика в Казахстане.
https://www.opennet.ru/opennews/pics_base/0_1646888034.png (https://www.opennet.ru/opennews/pics_base/0_1646888026.png)
10.03.2022
https://www.opennet.ru/opennews/art.shtml?num=56830