России нужно пересесть на правильные браузеры

Суверенные сертификаты для суверенного интернета. И речь совсем не про блокировки

Иностранные центры, выдающие сертификаты для обеспечения защищенного соединения HTTPS, разорвали отношения с организациями, попавшими под санкции. Казалось бы, ничего страшного. Можно использовать российские сертификаты, например, от Национального удостоверяющего центра (НУЦ) при Минцифры РФ.

России нужно пересесть на правильные браузеры

Но есть проблема, вытекающая из устройства сети. Корневые УЦ — это ограниченное число широко известных и доверенных организаций, которые подтверждают «личность» локальных УЦ по всему миру. И уже эти второстепенные центры выпускают сертификаты, подтверждающие, что сайт Х — действительно сайт Х.

Вот только корневой сертификат, выданный НУЦ, не считается доверенным иностранными УЦ. Не потому, что он чем-то отличается от «западных» сертификатов — решение сугубо политическое.

Поэтому российские сертификаты в иностранных браузерах и на иностранных ОС помечены как «ненадежные», и безопасное соединение с такими сайтами не установить.

Чтобы они адекватно воспринимались, необходимо установить корневой сертификат Минцифры на все устройства россиян или «пересадить» их на «правильные» браузеры («Яндекс Браузер» или «Атом»).

✖

Проблема в том, что все это неудобно и непонятно для пользователей. Так как речь идет о безопасности устройства, все действия проводятся вручную. Автоматизировать процесс нельзя. Еще 20 октября «Сбер» выпустил видеоинструкции, но это не сильно помогло.

Пока речь идет прежде всего о корпоративных клиентах. Уже 30 января «Сбер» переведет свой платежный шлюз на TLS-сертификаты, выпущенные НУЦ. Интернет-магазинам и веб-сервисам необходимо до конца января добавить на свои серверы корневой сертификат Минцифры для продолжения корректной работы с API банка, а также проверить его работу.

Ближайшие месяцы будут сложными и для бизнеса, и для пользователей. Краха рунета не случится, но «попотеть» придется. Пусть переход на отечественные сертификаты и будет болезненным, зато обеспечит независимость наших сайтов от международных УЦ.

Источник:

#АТОМ #Россия #Яндекс #интересно #протоколы #сбер #сертификаты

Fishki в Телеграм

Посты на ту же тему

Почему честная статистика важна

Заброшенные корабли на севере России

Самые молодые города России

61 комментарий

Алексей

217

Год назад

Проблема как раз в другом, что народ не очень доверяет российским сертификатом в силу того, что у нас любые базы данных продаются на черном рынке, а значит и корневые сертификаты могут попасть в очень нехорошие руки, а после этого будет взломана защита ЛЮБОГО сайта построенного на этих сертификатах. То есть переход на отечественные сертификаты это большой риск для безопасности, особенно когда множество айтишников не очень лояльны режиму.

Удалить комментарий?

Удалить Отмена

Олег

Алексей

10k

Год назад

Проблема в том, что ты понятия не имеешь как работают центры выпуска доверенных сертификатов, как и то, что такое корневой сертификат. Ты и наплюсовавшие тебе сейчас похожи на Боню которая про вышки 5G заливала...

Удалить комментарий?

Удалить Отмена

Минцифры

Олег

−3

Год назад

Хорошая работа, Олег! Но давай всё же попытаемся объяснить товарищу с его сотоварищами от чего он отказывается не доверяя Минцифрам. Общая схема "защищенного соединения" имеет форму треугольника. Алиса(пользователь)-Боб(сайт)-и Удостоверяющий центр. Когда Алиса хочет инициировать защищенное соединение с Бобом, она обращается по каналу связи к Удостоверяющему центру за сертификатом(справкой), подтверждающим(подписывающим), что Боб этот Боб. С помощью этого подтверждающего ключа шифрует свое обращение и оправляет по каналу связи Бобу. Боб, в свою очередь, получив зашифрованное, может расшифровать это сообщение имея свой секретный фрагмент ключа, математическими формулами связанный с хранящимся в Удостоверяющем центре. Когда любопытный Ваня из Минцифр хочет отследить переписку Алисы с Бобом, он ставит на канал между Алисой и центром, и на канал между Алисой и Бобом своё оборудование, которое по запросу Алисы сначала выдаст поддельный открытый ключ Боба, а потом расшифрует, прочитает и обратно зашифрует своим ключом для дальнейшей передачи Бобу. Таким образом, прежде все коммуникации сливались сразу в АНБ, а теперь идут через посредника в Минцыфры: "Родина слышит" всегда, - поэтому не уважаемые кибердрочилы пользуются стеганографией, позволяющей в открытое фото или видео-сообщение типа бессмысленного youtu . be/92nkyHjKv5M благополучно вплетать осмысленное.
PS: зачем это объяснять? Затем, чтобы люди понимали, на какую именно чухню очередной раз тратятся бюджетные лярды.

-3

Удалить комментарий?

Удалить Отмена

ФИШКИ - ГОВНО

Алексей

Год назад

Алексей, а расскажите пожалуйста, как попавшие не в те руки корневые сертификаты позволяют обоже-боже взломать защиту ЛЮБОГО сайта?

Можете начать с обьяснения, как вы взломаете защиту, ну не знаю там, Пентагона. Мне кажется это нобелевка сразу, если б ее давали за криптографию, ну уж точно все награды года в области кибербезопасности.

TLS решает 2 задачи, разные, аутентификация (сайта, но может быть и двусторонняя) + шифрование трафика. Причем вторая задача требует доступа к трафику, что без физического доступа к линии абонента может провайдер (и СОРМ), а не каждый левый джо. Потом нужно поймать конктретно момент обмена эфемерными ключами, потому что трафик шифруется нифига не криптографией из сертификатов. И только тогда можно получить данные логина и содержимое траффика. Но и тогда можно налететь на 2FA (нужен контроль над опсосом или поддельная БС) и шифрование уровня приложения. А с первой задачей можно влететь на пин сертификата.

И вообще это не самая плохая идея иметь разные браузеры для банков и официальных сайтов и для всего остального.

Но расскажите, пожалуйста, как вы будете ломать сайт, ну пускай, МВФ, любой сайт же, защита.

Удалить комментарий?

Удалить Отмена

Алиса

ФИШКИ - ГОВНО

Год назад

Вам же Минцифра объяснила принцип выше. Неужели не доходчиво? Ок, рассмотрим конкретный кейс, на примере Спёр-банка, того самого, который оказывал финансовую поддержку спецоперации по развалу СССР, а ныне здравствует. Банк с завидной регулярностью обновляет своё приложение, блокируя старые версии. Где рядовому пользователю скачать его обновление? Только с "официального" сайта банка. А если у тебя на правах Центра сертификации есть возможность указывать пользователям какие сайты заслуживают официального доверия, а какие нет, то ты сможешь перенаправить трафик с адреса банка на свой домен, даже с тем же именем (так как клиенты все-равно брали сертификат не в банке, а в твоём карманном Центре сертификации). На сертицифированном таким способом сайте располагается приложение-прокладка, которое в дальнейшем ко всем операциям пользователя, естественно авторизовавшегося по 2fa со всеми внешними атрибутами надёжности, зеленой галочкой в гос-браузере, добавляет небольшую комиссию за посредничество. Невероятно? Но схема рабочая! На практике давно можно наблюдать как трафик с китайского aliexpress.com уводит Mail.ru Group и уже сумели законно оформить эту сделку без ведома самих китайцев hi-tech .mail. ru/review/vse-o-sdelke-goda-Aliexpress/
PS: по поводу 5G, а сколько одиноких стариков нашли и довели до самоубийства Ростелекомовские дельцы с применением RF-зрения по Wi-Fi, позволяющего видеть движения сквозь стены и буквально выжигать мозги людям - не счесть, плачут бедные со стонами "Он нам и нах й не нужон ваш Интернет!"(С)

Удалить комментарий?

Удалить Отмена

Frank Borman

Год назад

-1

Удалить комментарий?

Удалить Отмена

Показать 61 комментарий