Что там с сертификатами?
От: qqqqq  
Дата: 13.10.22 15:18
Оценка: -1
При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень? Опасно ли это, не перестанут ли работать существующие? Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
Re: Что там с сертификатами?
От: __kot2  
Дата: 13.10.22 15:24
Оценка: 3 (2) +2
если совсем не хочешь заморачиваться, можешь просто яндекс бразуер поставить и испльзовать его только для Сбербанка. там этот сертификат стоит
Re: Что там с сертификатами?
От: bnk СССР http://unmanagedvisio.com/
Дата: 13.10.22 15:27
Оценка:
Здравствуйте, qqqqq, Вы писали:

Q>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень? Опасно ли это, не перестанут ли работать существующие? Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.


Дык санкции же, старые сертификаты сбера заблокированы. Аналогично с Альфой (и соответствующими приложениями в сторах)
Re: Что там с сертификатами?
От: vsb Казахстан  
Дата: 13.10.22 15:38
Оценка: +1
Здравствуйте, qqqqq, Вы писали:

Q>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты.


Да.

>Что это за хрень?


Сбербанк использует российский сертификат вместо зарубежного. Предположительно потому, что зарубежные УЦ отказались с ним сотрудничать из-за санкций.

>Опасно ли это


Устанавливать российские сертификаты — опасно. Главная опасность в том, что российские спецслужбы получат теоретическую возможность подменять сертификаты зарубежных сайтов, прослушивать и подменять трафик до зарубежных сайтов.

Для того, чтобы уменьшить эту опасность, можно применять отдельный браузер с этими сертификатами. Советуют яндекс, но надо понимать, что ставить российский софт с такими опасениями не менее глупо, а то и более. Я бы советовал установить фаерфокс, создать в нём отдельный профиль и в этом профиле уже установить российские сертификаты. Если, конечно, есть основания опасаться интернет-атаки со стороны российских спецслужб.

> не перестанут ли работать существующие?


Нет.

>A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.


В твоём браузере и операционной системе есть списки сертификатов, которым есть доверие по умолчанию. В основном это американские и европейские компании.
Re[2]: Что там с сертификатами?
От: Nnova  
Дата: 13.10.22 23:31
Оценка: +2
Здравствуйте, vsb, Вы писали:

vsb>Устанавливать российские сертификаты — опасно. Главная опасность в том, что российские спецслужбы получат теоретическую возможность подменять сертификаты зарубежных сайтов, прослушивать и подменять трафик до зарубежных сайтов.


каким образом установка российского сертификата может скомпроментировать существующие? Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?
Re[3]: Что там с сертификатами?
От: m2user  
Дата: 14.10.22 00:37
Оценка: +1
vsb>>Устанавливать российские сертификаты — опасно. Главная опасность в том, что российские спецслужбы получат теоретическую возможность подменять сертификаты зарубежных сайтов, прослушивать и подменять трафик до зарубежных сайтов.

N>каким образом установка российского сертификата может скомпроментировать существующие? Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?


Это зависит от того, как автор вопроса настроит использование сертификата российского УЦ.
Если только для конкретного сайта (Сбер), а firefox это позволяет, то другие сайты по идее никак не затронет.
Если же для всех сайтов, или например добавит в хранилище trusted сертификатов уровня ОС, то злоумышленник (при участии российского УЦ, который подпишет ему сертификат/цепочку сертификатов для атакуемого сайта) может осуществить MITM атаку на автора.

P.S. сам я добавил сертификат для конкретного сайта — firefox это автоматом делает при добавлении исключения.
Re[3]: Что там с сертификатами?
От: vsb Казахстан  
Дата: 14.10.22 01:06
Оценка:
Здравствуйте, Nnova, Вы писали:

vsb>>Устанавливать российские сертификаты — опасно. Главная опасность в том, что российские спецслужбы получат теоретическую возможность подменять сертификаты зарубежных сайтов, прослушивать и подменять трафик до зарубежных сайтов.


N>каким образом установка российского сертификата может скомпроментировать существующие?


Почему это опасно — я написал. Что значит фраза "скомпрометировать существующие" я не знаю.

> Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?


Для защиты от этого сценария есть технология certificate transparency.
Re[4]: Что там с сертификатами?
От: Nnova  
Дата: 14.10.22 01:49
Оценка:
Здравствуйте, m2user, Вы писали:

M>Если же для всех сайтов, или например добавит в хранилище trusted сертификатов уровня ОС, то злоумышленник (при участии российского УЦ, который подпишет ему сертификат/цепочку сертификатов для атакуемого сайта) может осуществить MITM атаку на автора.


что-то я не понимаю как это работает, есть ссылки на описание такой атаки? Существует иностранный сайт, майкрософт например, как злоумышленник сможет подписать мне его сертификат, если сертификат принадлежит майкрософту?
Re[5]: Что там с сертификатами?
От: m2user  
Дата: 14.10.22 03:15
Оценка: 1 (1)
N>что-то я не понимаю как это работает, есть ссылки на описание такой атаки? Существует иностранный сайт, майкрософт например, как злоумышленник сможет подписать мне его сертификат, если сертификат принадлежит майкрософту?

Злоумышленник при перехвате трафика подменит сертификат MS на свой сертификат, подписанный российским УЦ.
Браузер посчитает сертификат валидным, т.к. сертификат УЦ добавлен в trusted authoritities хранилище уровня ОС (или в trusted authorities браузера, если он не использует сертификаты из ОС).
Так работает PKI (public key infrastructure).

Для демонстрации атаки возьмите squid (https://wiki.squid-cache.org/Features/SslBump), или вот этот более специализированный https прокси https://crypto.stanford.edu/ssl-mitm/

(понятно, что в реальной атаке проксирование будет прозрачным (transparent) и на стороне злоумышленника).

Примеры таких уязвимостей при участии скомпрометированного УЦ:

Выявлены обманные SSL-сертификаты, полученные из-за халатности удостоверяющего центра TurkTrust
https://www.opennet.ru/opennews/art.shtml?num=35754

Mozilla объявляет ультиматум удостоверяющим центрам
https://www.opennet.ru/opennews/art.shtml?num=33127

Проект Mozilla разослал всем удостоверяющим центрам, корневые сертификаты которых поставляются в составе Firefox и других продуктов Mozilla, письмо с требованием отозвать все выданные сторонним организациям вторичные корневые сертификаты.

В последнее время становятся обычной практикой случаи генерации вторичных корневых сертификатов для обеспечения работы систем, направленных на транзитный перехват и расшифровку SSL-трафика, например, систем корпоративного отслеживания утечек данных. Генерируемые для подобных систем вторичные корневые сертификаты позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети, без привлечения удостоверяющего центра, авторизованного на выполнение подобных операций.

Re[6]: Что там с сертификатами?
От: m2user  
Дата: 14.10.22 03:48
Оценка:
M>Mozilla объявляет ультиматум удостоверяющим центрам

Из более свежих новостей:

В Firefox, Chrome, Edge и Safari заблокирован сертификат, используемый для перехвата трафика в Казахстане
https://www.opennet.ru/opennews/art.shtml?num=54284


В РФ началось продвижение собственного корневого TLS-сертификата
https://www.opennet.ru/opennews/art.shtml?num=56830

В случае начала навязывания нового удостоверяющегося центра или выявления фактов злоупотреблений, таких как совершение MITM-атак, вероятно, что производители браузеров Firefox, Chrome, Edge и Safari предпримут действия по добавлению проблемного корневого сертификата в списки отозванных сертификатов, как это уже было сделано с сертификатом, внедрённым для перехвата HTTPS-трафика в Казахстане.

Re: Что там с сертификатами?
От: qqqqq  
Дата: 14.10.22 04:33
Оценка:
Я почему только Сбербанк озаботился сертификатами? А как же другие: типа МТС, РЖД, или там скажем личный кабинет за вывоз мусора или домофон?
Re: Что там с сертификатами?
От: Pavel Dvorkin Россия  
Дата: 14.10.22 04:48
Оценка:
Здравствуйте, qqqqq, Вы писали:

Q>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень? Опасно ли это, не перестанут ли работать существующие? Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.


Мне другое не совсем понятно.
При входе на online.sberbank.ru все работает и ничего ставить не надо. Хотя и предлагают поставить.
У них сертификатов хватает только на один сервер ?
With best regards
Pavel Dvorkin
Re[2]: Что там с сертификатами?
От: qqqqq  
Дата: 14.10.22 05:14
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Мне другое не совсем понятно.
PD>При входе на online.sberbank.ru все работает и ничего ставить не надо. Хотя и предлагают поставить.
PD>У них сертификатов хватает только на один сервер ?
Видимо пока работатет
Re[2]: Что там с сертификатами?
От: BlackEric http://black-eric.lj.ru
Дата: 14.10.22 08:41
Оценка:
Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Здравствуйте, qqqqq, Вы писали:


Q>>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень? Опасно ли это, не перестанут ли работать существующие? Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.


PD>Мне другое не совсем понятно.

PD>При входе на online.sberbank.ru все работает и ничего ставить не надо. Хотя и предлагают поставить.
PD>У них сертификатов хватает только на один сервер ?

А не по http ли оно в этом случае работает?
https://github.com/BlackEric001
Re: Что там с сертификатами?
От: velkin Удмуртия https://kisa.biz
Дата: 14.10.22 08:42
Оценка:
Здравствуйте, qqqqq, Вы писали:

Q>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень?


Решил зайти на сайт https://sberbank.ru проверить ситуацию. Да, действительно для России начался процесс перехода на собственные сертификаты.

Q>Опасно ли это, не перестанут ли работать существующие?


Нет, не перестанут, если сам не отключишь. И нет, установка сертификатов не опасна. Грубо говоря, если браузер не видит для сайта сертификатов из операционки или из внутреннего хранилища, то зайти на него сможешь только по http, но не https. То есть опасно не устанавливать сертификат, а не наоборот.

Q>Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.


Сертификаты для браузеров идут в комплекте с операционкой и с браузером. Меня со сбербанка по ссылке выкинуло на госуслуги, я там скачал два российских сертификата и установил в операционку Android.

Там ещё были ответы на вопросы про то, откуда приложение мобильного сбербанка берёт российские сертификаты. И ответ они там встроены в приложение.

Фишка по сути в приложениях, в частности в браузерах. Не зря же гугл и эпл топят за свою повесточку в виде браузеров, чтобы управлять распространением сертификатов.

А пользователи слишком к этому привыкли. Но теперь всё, добро пожаловать в новую реальность. Фактически я установил не просто российские сертификаты, а чебурнет.
Re[3]: Что там с сертификатами?
От: Pavel Dvorkin Россия  
Дата: 14.10.22 11:22
Оценка:
Здравствуйте, BlackEric, Вы писали:

BE>А не по http ли оно в этом случае работает?


По http сервер, где есть доступ к личному кабинету и всем операциям надо счетами ???

Нет, конечно. Нормальный замочек в строке.
With best regards
Pavel Dvorkin
Re[4]: Что там с сертификатами?
От: Kerk  
Дата: 14.10.22 11:49
Оценка:
Здравствуйте, vsb, Вы писали:

>> Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?


vsb>Для защиты от этого сценария есть технология certificate transparency.


Это как это? Что им мешает MITM сделать?
Re[5]: Что там с сертификатами?
От: vsb Казахстан  
Дата: 14.10.22 12:57
Оценка:
Здравствуйте, Kerk, Вы писали:

>>> Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?


vsb>>Для защиты от этого сценария есть технология certificate transparency.


K>Это как это?


Все выпущенные сертификаты публикуются в специальном публичном журнале. Браузер проверяет, что данный сертификат опубликован.

> Что им мешает MITM сделать?


То, что потом их корневой сертификат браузеры выкинут за нарушение правил и многомиллиардный бизнес пойдёт насмарку.
Re[6]: Что там с сертификатами?
От: Nnova  
Дата: 14.10.22 21:51
Оценка:
Здравствуйте, vsb, Вы писали

vsb>Все выпущенные сертификаты публикуются в специальном публичном журнале. Браузер проверяет, что данный сертификат опубликован.


А публичный журнал конечно же не под контролем западных спецслужб?
Re[7]: Что там с сертификатами?
От: vsb Казахстан  
Дата: 14.10.22 22:25
Оценка: +1
Здравствуйте, Nnova, Вы писали:

vsb>>Все выпущенные сертификаты публикуются в специальном публичном журнале. Браузер проверяет, что данный сертификат опубликован.


N>А публичный журнал конечно же не под контролем западных спецслужб?


Публичный журнал использует технологии блокчейна и менять его не получится.
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.