России нужно пересесть на правильные браузеры
Суверенные сертификаты для суверенного интернета. И речь совсем не про блокировки
Иностранные центры, выдающие сертификаты для обеспечения защищенного соединения HTTPS, разорвали отношения с организациями, попавшими под санкции. Казалось бы, ничего страшного. Можно использовать российские сертификаты, например, от Национального удостоверяющего центра (НУЦ) при Минцифры РФ.
Но есть проблема, вытекающая из устройства сети. Корневые УЦ — это ограниченное число широко известных и доверенных организаций, которые подтверждают «личность» локальных УЦ по всему миру. И уже эти второстепенные центры выпускают сертификаты, подтверждающие, что сайт Х — действительно сайт Х.
Вот только корневой сертификат, выданный НУЦ, не считается доверенным иностранными УЦ. Не потому, что он чем-то отличается от «западных» сертификатов — решение сугубо политическое.
Поэтому российские сертификаты в иностранных браузерах и на иностранных ОС помечены как «ненадежные», и безопасное соединение с такими сайтами не установить.
Чтобы они адекватно воспринимались, необходимо установить корневой сертификат Минцифры на все устройства россиян или «пересадить» их на «правильные» браузеры («Яндекс Браузер» или «Атом»).
Проблема в том, что все это неудобно и непонятно для пользователей. Так как речь идет о безопасности устройства, все действия проводятся вручную. Автоматизировать процесс нельзя. Еще 20 октября «Сбер» выпустил видеоинструкции, но это не сильно помогло.
Пока речь идет прежде всего о корпоративных клиентах. Уже 30 января «Сбер» переведет свой платежный шлюз на TLS-сертификаты, выпущенные НУЦ. Интернет-магазинам и веб-сервисам необходимо до конца января добавить на свои серверы корневой сертификат Минцифры для продолжения корректной работы с API банка, а также проверить его работу.
Ближайшие месяцы будут сложными и для бизнеса, и для пользователей. Краха рунета не случится, но «попотеть» придется. Пусть переход на отечественные сертификаты и будет болезненным, зато обеспечит независимость наших сайтов от международных УЦ.
Источник:
61 комментарий
Год назад
Ну, как бы в организациях корневые сертификаты можно распространить через Active Directory. Вполне себе автоматизировано. И сидите себе на любых браузерах, кому какой удобнее.
Удалить комментарий?
Удалить ОтменаГод назад
и да а что в доменах организаций сидят в любых браузерах? очень сомнительно...
наверняка там вообще не сидят в браузерах, а если и сидят то в тех что поддерживают групповые политики, читай тот же яндекс браузер для организаций
Удалить комментарий?
Удалить ОтменаГод назад
Удалить комментарий?
Удалить ОтменаГод назад
Правда говорят, что мне норму интернета сократили из-за систематической пьянки, невыполнение нормы и проё@б казенных валенков...
Удалить комментарий?
Удалить ОтменаГод назад
Удалить комментарий?
Удалить ОтменаУдалить комментарий?
Удалить ОтменаГод назад
Удалить комментарий?
Удалить ОтменаГод назад
Удалить комментарий?
Удалить Отмена