При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень? Опасно ли это, не перестанут ли работать существующие? Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
Здравствуйте, qqqqq, Вы писали:
Q>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень? Опасно ли это, не перестанут ли работать существующие? Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
Дык санкции же, старые сертификаты сбера заблокированы. Аналогично с Альфой (и соответствующими приложениями в сторах)
Здравствуйте, qqqqq, Вы писали:
Q>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты.
Да.
>Что это за хрень?
Сбербанк использует российский сертификат вместо зарубежного. Предположительно потому, что зарубежные УЦ отказались с ним сотрудничать из-за санкций.
>Опасно ли это
Устанавливать российские сертификаты — опасно. Главная опасность в том, что российские спецслужбы получат теоретическую возможность подменять сертификаты зарубежных сайтов, прослушивать и подменять трафик до зарубежных сайтов.
Для того, чтобы уменьшить эту опасность, можно применять отдельный браузер с этими сертификатами. Советуют яндекс, но надо понимать, что ставить российский софт с такими опасениями не менее глупо, а то и более. Я бы советовал установить фаерфокс, создать в нём отдельный профиль и в этом профиле уже установить российские сертификаты. Если, конечно, есть основания опасаться интернет-атаки со стороны российских спецслужб.
> не перестанут ли работать существующие?
Нет.
>A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
В твоём браузере и операционной системе есть списки сертификатов, которым есть доверие по умолчанию. В основном это американские и европейские компании.
Здравствуйте, vsb, Вы писали:
vsb>Устанавливать российские сертификаты — опасно. Главная опасность в том, что российские спецслужбы получат теоретическую возможность подменять сертификаты зарубежных сайтов, прослушивать и подменять трафик до зарубежных сайтов.
каким образом установка российского сертификата может скомпроментировать существующие? Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?
vsb>>Устанавливать российские сертификаты — опасно. Главная опасность в том, что российские спецслужбы получат теоретическую возможность подменять сертификаты зарубежных сайтов, прослушивать и подменять трафик до зарубежных сайтов.
N>каким образом установка российского сертификата может скомпроментировать существующие? Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?
Это зависит от того, как автор вопроса настроит использование сертификата российского УЦ.
Если только для конкретного сайта (Сбер), а firefox это позволяет, то другие сайты по идее никак не затронет.
Если же для всех сайтов, или например добавит в хранилище trusted сертификатов уровня ОС, то злоумышленник (при участии российского УЦ, который подпишет ему сертификат/цепочку сертификатов для атакуемого сайта) может осуществить MITM атаку на автора.
P.S. сам я добавил сертификат для конкретного сайта — firefox это автоматом делает при добавлении исключения.
Здравствуйте, Nnova, Вы писали:
vsb>>Устанавливать российские сертификаты — опасно. Главная опасность в том, что российские спецслужбы получат теоретическую возможность подменять сертификаты зарубежных сайтов, прослушивать и подменять трафик до зарубежных сайтов.
N>каким образом установка российского сертификата может скомпроментировать существующие?
Почему это опасно — я написал. Что значит фраза "скомпрометировать существующие" я не знаю.
> Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?
Для защиты от этого сценария есть технология certificate transparency.
Здравствуйте, m2user, Вы писали:
M>Если же для всех сайтов, или например добавит в хранилище trusted сертификатов уровня ОС, то злоумышленник (при участии российского УЦ, который подпишет ему сертификат/цепочку сертификатов для атакуемого сайта) может осуществить MITM атаку на автора.
что-то я не понимаю как это работает, есть ссылки на описание такой атаки? Существует иностранный сайт, майкрософт например, как злоумышленник сможет подписать мне его сертификат, если сертификат принадлежит майкрософту?
N>что-то я не понимаю как это работает, есть ссылки на описание такой атаки? Существует иностранный сайт, майкрософт например, как злоумышленник сможет подписать мне его сертификат, если сертификат принадлежит майкрософту?
Злоумышленник при перехвате трафика подменит сертификат MS на свой сертификат, подписанный российским УЦ.
Браузер посчитает сертификат валидным, т.к. сертификат УЦ добавлен в trusted authoritities хранилище уровня ОС (или в trusted authorities браузера, если он не использует сертификаты из ОС).
Так работает PKI (public key infrastructure).
Проект Mozilla разослал всем удостоверяющим центрам, корневые сертификаты которых поставляются в составе Firefox и других продуктов Mozilla, письмо с требованием отозвать все выданные сторонним организациям вторичные корневые сертификаты.
В последнее время становятся обычной практикой случаи генерации вторичных корневых сертификатов для обеспечения работы систем, направленных на транзитный перехват и расшифровку SSL-трафика, например, систем корпоративного отслеживания утечек данных. Генерируемые для подобных систем вторичные корневые сертификаты позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети, без привлечения удостоверяющего центра, авторизованного на выполнение подобных операций.
В случае начала навязывания нового удостоверяющегося центра или выявления фактов злоупотреблений, таких как совершение MITM-атак, вероятно, что производители браузеров Firefox, Chrome, Edge и Safari предпримут действия по добавлению проблемного корневого сертификата в списки отозванных сертификатов, как это уже было сделано с сертификатом, внедрённым для перехвата HTTPS-трафика в Казахстане.
Здравствуйте, qqqqq, Вы писали:
Q>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень? Опасно ли это, не перестанут ли работать существующие? Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
Мне другое не совсем понятно.
При входе на online.sberbank.ru все работает и ничего ставить не надо. Хотя и предлагают поставить.
У них сертификатов хватает только на один сервер ?
Здравствуйте, Pavel Dvorkin, Вы писали: PD>Мне другое не совсем понятно. PD>При входе на online.sberbank.ru все работает и ничего ставить не надо. Хотя и предлагают поставить. PD>У них сертификатов хватает только на один сервер ?
Видимо пока работатет
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Здравствуйте, qqqqq, Вы писали:
Q>>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень? Опасно ли это, не перестанут ли работать существующие? Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
PD>Мне другое не совсем понятно. PD>При входе на online.sberbank.ru все работает и ничего ставить не надо. Хотя и предлагают поставить. PD>У них сертификатов хватает только на один сервер ?
Здравствуйте, qqqqq, Вы писали:
Q>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень?
Решил зайти на сайт https://sberbank.ru проверить ситуацию. Да, действительно для России начался процесс перехода на собственные сертификаты.
Q>Опасно ли это, не перестанут ли работать существующие?
Нет, не перестанут, если сам не отключишь. И нет, установка сертификатов не опасна. Грубо говоря, если браузер не видит для сайта сертификатов из операционки или из внутреннего хранилища, то зайти на него сможешь только по http, но не https. То есть опасно не устанавливать сертификат, а не наоборот.
Q>Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
Сертификаты для браузеров идут в комплекте с операционкой и с браузером. Меня со сбербанка по ссылке выкинуло на госуслуги, я там скачал два российских сертификата и установил в операционку Android.
Там ещё были ответы на вопросы про то, откуда приложение мобильного сбербанка берёт российские сертификаты. И ответ они там встроены в приложение.
Фишка по сути в приложениях, в частности в браузерах. Не зря же гугл и эпл топят за свою повесточку в виде браузеров, чтобы управлять распространением сертификатов.
А пользователи слишком к этому привыкли. Но теперь всё, добро пожаловать в новую реальность. Фактически я установил не просто российские сертификаты, а чебурнет.
Здравствуйте, vsb, Вы писали:
>> Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?
vsb>Для защиты от этого сценария есть технология certificate transparency.
Здравствуйте, Kerk, Вы писали:
>>> Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?
vsb>>Для защиты от этого сценария есть технология certificate transparency.
K>Это как это?
Все выпущенные сертификаты публикуются в специальном публичном журнале. Браузер проверяет, что данный сертификат опубликован.
> Что им мешает MITM сделать?
То, что потом их корневой сертификат браузеры выкинут за нарушение правил и многомиллиардный бизнес пойдёт насмарку.
Здравствуйте, vsb, Вы писали
vsb>Все выпущенные сертификаты публикуются в специальном публичном журнале. Браузер проверяет, что данный сертификат опубликован.
А публичный журнал конечно же не под контролем западных спецслужб?
Здравствуйте, Nnova, Вы писали:
vsb>>Все выпущенные сертификаты публикуются в специальном публичном журнале. Браузер проверяет, что данный сертификат опубликован.
N>А публичный журнал конечно же не под контролем западных спецслужб?
Публичный журнал использует технологии блокчейна и менять его не получится.