Здравствуйте, vsb, Вы писали:
vsb>Устанавливать российские сертификаты — опасно. Главная опасность в том, что российские спецслужбы получат теоретическую возможность подменять сертификаты зарубежных сайтов, прослушивать и подменять трафик до зарубежных сайтов.
каким образом установка российского сертификата может скомпроментировать существующие? Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?
vsb>>Каждая следующая запись включает хеш предыдущей. Удалить из середины или задним числом вставить нельзя. N>Ну так значит блокчейна как такового нету, сам гугл может сколько угодно писать про свою супер безопасность
Там hash-tree (Merkle tree) как и в blockchain. Так достигается целостность и исключается подделка отдельной записи без подделки всего дерева.
vsb>>Первичный источник это сам регистратор, как я понимаю. Детально я не вникал, но в то, что там очевидных дыр нет — верю на слово. N>Дыра в том, что гугл подчиняется западным спецслужбам. Даже в случае блокчейна т.к. все логи под контролем самого гугла (нет распределенного леджера как у биткоина к примеру) они могут сделать с информацией что захотят
Нет, этих CT (cert transparency) логов много, они публичные, их может вести кто угодно, как правило это УЦ (CA), выпускающие сертификаты.
Производитель браузера в свою очередь определяет набор CT логов, которым он доверяет (ну и также, что делать с сертификатами, отсутствующими в логах — ведь УЦ может и не присоединиться к этой инициативе).
См. https://certificate.transparency.dev/howctworks/
Вообще эта технология предназначена для оперативного выявления фактов выпуска левого сертификата.
Предполагается, что хозяин домена следит за CT логами (для этого есть т.н. monitors) и, как только в логах появляется левый сертификат для его домена, то обращается в правоохранительные органы.
Как было упомянуто в комментах выше от MITM эта технология напрямую не защищает, однако позволяет быстрее заблокировать недобросовестный УЦ.
N>что-то я не понимаю как это работает, есть ссылки на описание такой атаки? Существует иностранный сайт, майкрософт например, как злоумышленник сможет подписать мне его сертификат, если сертификат принадлежит майкрософту?
Злоумышленник при перехвате трафика подменит сертификат MS на свой сертификат, подписанный российским УЦ.
Браузер посчитает сертификат валидным, т.к. сертификат УЦ добавлен в trusted authoritities хранилище уровня ОС (или в trusted authorities браузера, если он не использует сертификаты из ОС).
Так работает PKI (public key infrastructure).
Проект Mozilla разослал всем удостоверяющим центрам, корневые сертификаты которых поставляются в составе Firefox и других продуктов Mozilla, письмо с требованием отозвать все выданные сторонним организациям вторичные корневые сертификаты.
В последнее время становятся обычной практикой случаи генерации вторичных корневых сертификатов для обеспечения работы систем, направленных на транзитный перехват и расшифровку SSL-трафика, например, систем корпоративного отслеживания утечек данных. Генерируемые для подобных систем вторичные корневые сертификаты позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети, без привлечения удостоверяющего центра, авторизованного на выполнение подобных операций.
При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень? Опасно ли это, не перестанут ли работать существующие? Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
Здравствуйте, qqqqq, Вы писали:
Q>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты.
Да.
>Что это за хрень?
Сбербанк использует российский сертификат вместо зарубежного. Предположительно потому, что зарубежные УЦ отказались с ним сотрудничать из-за санкций.
>Опасно ли это
Устанавливать российские сертификаты — опасно. Главная опасность в том, что российские спецслужбы получат теоретическую возможность подменять сертификаты зарубежных сайтов, прослушивать и подменять трафик до зарубежных сайтов.
Для того, чтобы уменьшить эту опасность, можно применять отдельный браузер с этими сертификатами. Советуют яндекс, но надо понимать, что ставить российский софт с такими опасениями не менее глупо, а то и более. Я бы советовал установить фаерфокс, создать в нём отдельный профиль и в этом профиле уже установить российские сертификаты. Если, конечно, есть основания опасаться интернет-атаки со стороны российских спецслужб.
> не перестанут ли работать существующие?
Нет.
>A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
В твоём браузере и операционной системе есть списки сертификатов, которым есть доверие по умолчанию. В основном это американские и европейские компании.
vsb>>Устанавливать российские сертификаты — опасно. Главная опасность в том, что российские спецслужбы получат теоретическую возможность подменять сертификаты зарубежных сайтов, прослушивать и подменять трафик до зарубежных сайтов.
N>каким образом установка российского сертификата может скомпроментировать существующие? Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?
Это зависит от того, как автор вопроса настроит использование сертификата российского УЦ.
Если только для конкретного сайта (Сбер), а firefox это позволяет, то другие сайты по идее никак не затронет.
Если же для всех сайтов, или например добавит в хранилище trusted сертификатов уровня ОС, то злоумышленник (при участии российского УЦ, который подпишет ему сертификат/цепочку сертификатов для атакуемого сайта) может осуществить MITM атаку на автора.
P.S. сам я добавил сертификат для конкретного сайта — firefox это автоматом делает при добавлении исключения.
Здравствуйте, Nnova, Вы писали:
vsb>>Все выпущенные сертификаты публикуются в специальном публичном журнале. Браузер проверяет, что данный сертификат опубликован.
N>А публичный журнал конечно же не под контролем западных спецслужб?
Публичный журнал использует технологии блокчейна и менять его не получится.
Здравствуйте, velkin, Вы писали:
V>А пользователи слишком к этому привыкли. Но теперь всё, добро пожаловать в новую реальность. Фактически я установил не просто российские сертификаты, а чебурнет.
А чебурнет точно опаснее добронета?
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, qqqqq, Вы писали:
Q>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень? Опасно ли это, не перестанут ли работать существующие? Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
Дык санкции же, старые сертификаты сбера заблокированы. Аналогично с Альфой (и соответствующими приложениями в сторах)
Здравствуйте, Nnova, Вы писали:
vsb>>Устанавливать российские сертификаты — опасно. Главная опасность в том, что российские спецслужбы получат теоретическую возможность подменять сертификаты зарубежных сайтов, прослушивать и подменять трафик до зарубежных сайтов.
N>каким образом установка российского сертификата может скомпроментировать существующие?
Почему это опасно — я написал. Что значит фраза "скомпрометировать существующие" я не знаю.
> Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?
Для защиты от этого сценария есть технология certificate transparency.
Здравствуйте, m2user, Вы писали:
M>Если же для всех сайтов, или например добавит в хранилище trusted сертификатов уровня ОС, то злоумышленник (при участии российского УЦ, который подпишет ему сертификат/цепочку сертификатов для атакуемого сайта) может осуществить MITM атаку на автора.
что-то я не понимаю как это работает, есть ссылки на описание такой атаки? Существует иностранный сайт, майкрософт например, как злоумышленник сможет подписать мне его сертификат, если сертификат принадлежит майкрософту?
В случае начала навязывания нового удостоверяющегося центра или выявления фактов злоупотреблений, таких как совершение MITM-атак, вероятно, что производители браузеров Firefox, Chrome, Edge и Safari предпримут действия по добавлению проблемного корневого сертификата в списки отозванных сертификатов, как это уже было сделано с сертификатом, внедрённым для перехвата HTTPS-трафика в Казахстане.
Здравствуйте, qqqqq, Вы писали:
Q>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень? Опасно ли это, не перестанут ли работать существующие? Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
Мне другое не совсем понятно.
При входе на online.sberbank.ru все работает и ничего ставить не надо. Хотя и предлагают поставить.
У них сертификатов хватает только на один сервер ?
Здравствуйте, Pavel Dvorkin, Вы писали: PD>Мне другое не совсем понятно. PD>При входе на online.sberbank.ru все работает и ничего ставить не надо. Хотя и предлагают поставить. PD>У них сертификатов хватает только на один сервер ?
Видимо пока работатет
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Здравствуйте, qqqqq, Вы писали:
Q>>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень? Опасно ли это, не перестанут ли работать существующие? Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
PD>Мне другое не совсем понятно. PD>При входе на online.sberbank.ru все работает и ничего ставить не надо. Хотя и предлагают поставить. PD>У них сертификатов хватает только на один сервер ?
Здравствуйте, qqqqq, Вы писали:
Q>При заходе на сайт Сбербанка теперь выдается сообщение о том, что надо установить на комп российские сертификаты. Что это за хрень?
Решил зайти на сайт https://sberbank.ru проверить ситуацию. Да, действительно для России начался процесс перехода на собственные сертификаты.
Q>Опасно ли это, не перестанут ли работать существующие?
Нет, не перестанут, если сам не отключишь. И нет, установка сертификатов не опасна. Грубо говоря, если браузер не видит для сайта сертификатов из операционки или из внутреннего хранилища, то зайти на него сможешь только по http, но не https. То есть опасно не устанавливать сертификат, а не наоборот.
Q>Ведь если сейчас https работает значит уже есть какие то, видимо нероссийские. A как те устанавливаются, что-то я не помню что я устанавливал какие-то сертификаты, все просто работает из коробки.
Сертификаты для браузеров идут в комплекте с операционкой и с браузером. Меня со сбербанка по ссылке выкинуло на госуслуги, я там скачал два российских сертификата и установил в операционку Android.
Там ещё были ответы на вопросы про то, откуда приложение мобильного сбербанка берёт российские сертификаты. И ответ они там встроены в приложение.
Фишка по сути в приложениях, в частности в браузерах. Не зря же гугл и эпл топят за свою повесточку в виде браузеров, чтобы управлять распространением сертификатов.
А пользователи слишком к этому привыкли. Но теперь всё, добро пожаловать в новую реальность. Фактически я установил не просто российские сертификаты, а чебурнет.
Здравствуйте, vsb, Вы писали:
>> Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?
vsb>Для защиты от этого сценария есть технология certificate transparency.
Здравствуйте, Kerk, Вы писали:
>>> Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?
vsb>>Для защиты от этого сценария есть технология certificate transparency.
K>Это как это?
Все выпущенные сертификаты публикуются в специальном публичном журнале. Браузер проверяет, что данный сертификат опубликован.
> Что им мешает MITM сделать?
То, что потом их корневой сертификат браузеры выкинут за нарушение правил и многомиллиардный бизнес пойдёт насмарку.
Здравствуйте, vsb, Вы писали
vsb>Все выпущенные сертификаты публикуются в специальном публичном журнале. Браузер проверяет, что данный сертификат опубликован.
А публичный журнал конечно же не под контролем западных спецслужб?
Здравствуйте, Nnova, Вы писали:
N>Ну и то, что американские спецслужбы имеют возможность читать твой траффик тебя совсем не беспокоит?
Намного меньше так как я от них довольно далеко и нафиг им не нужен.
Здравствуйте, vsb, Вы писали:
vsb>Публичный журнал использует технологии блокчейна и менять его не получится.
А у гугловского chrome точно блокчейн? Я что то ничего про блокчейн у них не вижу. И у кого крутятся эти логи-то, уж не у самого ли гугла?
Здравствуйте, Nnova, Вы писали:
vsb>>Публичный журнал использует технологии блокчейна и менять его не получится. N>А у гугловского chrome точно блокчейн? Я что то ничего про блокчейн у них не вижу.
Каждая следующая запись включает хеш предыдущей. Удалить из середины или задним числом вставить нельзя.
N>И у кого крутятся эти логи-то, уж не у самого ли гугла?
Первичный источник это сам регистратор, как я понимаю. Детально я не вникал, но в то, что там очевидных дыр нет — верю на слово.
Здравствуйте, vsb, Вы писали:
vsb>Каждая следующая запись включает хеш предыдущей. Удалить из середины или задним числом вставить нельзя.
Ну так значит блокчейна как такового нету, сам гугл может сколько угодно писать про свою супер безопасность
vsb>Первичный источник это сам регистратор, как я понимаю. Детально я не вникал, но в то, что там очевидных дыр нет — верю на слово.
Дыра в том, что гугл подчиняется западным спецслужбам. Даже в случае блокчейна т.к. все логи под контролем самого гугла (нет распределенного леджера как у биткоина к примеру) они могут сделать с информацией что захотят
Q>>Опасно ли это, не перестанут ли работать существующие?
V>Нет, не перестанут, если сам не отключишь. И нет, установка сертификатов не опасна. Грубо говоря, если браузер не видит для сайта сертификатов из операционки или из внутреннего хранилища, то зайти на него сможешь только по http, но не https. То есть опасно не устанавливать сертификат, а не наоборот.
Следуя вашей логике можно добавлять в trusted authorities любой "левый" сертификат . Ведь от этого доступ к сайтам не перестанет работать
Относительно того, что будет plain http вместо https — вряд ли, кто-то будет предоставлять online banking через plain http (хотя вот RSDN работает через http )
V>А пользователи слишком к этому привыкли.
Да пользователя обычно и не сильно спрашивали. Поставляли вместе с ОС или приложением.
V>Но теперь всё, добро пожаловать в новую реальность. Фактически я установил не просто российские сертификаты, а чебурнет.
Однако Вас никто не заставлял это делать. Могли бы настроить исключение только для отдельных сайтов
Здравствуйте, m2user, Вы писали:
M>Там hash-tree (Merkle tree) как и в blockchain. Так достигается целостность и исключается подделка отдельной записи без подделки всего дерева.
Это защищает сам гугл от хака, но никак не всех остальных когда сам гугл (по указу спецслужб) захочет кого то хакнуть т.к. ему ничего не стоит заменить любые записи и хэши в своих собственных данных
M>Нет, этих CT (cert transparency) логов много, они публичные, их может вести кто угодно, как правило это УЦ (CA), выпускающие сертификаты. M>Производитель браузера в свою очередь определяет набор CT логов, которым он доверяет
Но гугл для своего хрома то ведь наверняка только свои логи и признает, так ведь? Нет ведь раскиданного по всей планете распределенного блокчейна, да и вообще там блокчейна нет, какой то собственный велосипед
Да и я более чем уверен что все способы хакнуть кого надо у них уже встроены и ими давно пользуются, есть законы на западе обязывающие делать бэкдоры или предоставлять ключи по запросу гос органов
Здравствуйте, m2user, Вы писали:
M>Следуя вашей логике можно добавлять в trusted authorities любой "левый" сертификат . Ведь от этого доступ к сайтам не перестанет работать
Давай конкретно, у нас есть не любой сертификат, а нужный для работы Сбербанка и других российских банков. На вопрос зачем он нужен, так для шифрования трафика, чтобы избежать атаки посредника.
Теперь следи за руками:
1) Если ты или кто-то другой не добавляет этот сертификат для браузера, то он лишается возможности шифрованного соединения.
2) А если добавляет, то он начинает сомневаться в сертификате выданного российской Минцифрой.
Вопрос, что тебе важнее, теоретическое прослушивание Минцифрой, о чём тут же раструбят на весь интернет если заметят, или безопасность доступа к деньгам посредством браузера?
А теперь зайди в уже заботливо установленные по умолчанию сертификаты в операционке или браузере, которым ты почему-то доверяешь. Их там просто дофига и принадлежат они непонятным конторкам.
Нет, реально зайди рука лицо.
В андроиде в настройках введи в поиске "сертификаты", тоже самое в настройках в файерфоксе и так далее. Кто все эти люди?
Начнём их пробивать
eMudhra Inc, eMudhra Technologies Limited
eMudhra является крупнейшим органом по сертификации в Индии с долей рынка 37,9%.
О, ну Индии мы доверяем.
Amazon
Конечно куда уж немытой России иметь свои сертификаты, причём потому, что им отказались выдавать иностранные конторки вроде емудхры и амазона. Зато частная конторка магазин под именем амазон право имеет.
China Financial Certification Authority
CFCA Относится к Центру финансового сертификации Китая, который также является национальным органом авторитетной сертификации безопасности, обслуживающих финансовые предприятия, такие как внутренний банкинг, страхование, ценные бумаги.
Китайцам я тоже "доверяю". Прям "доверяю" "доверяю". Китаец друг и товарищь однако.
GoDaddy.com, Inc
Это же наш любимый гоудядя, который не раз кидал россиян.
Google Trust Services LLC
Куда уж без гугла.
Guangdong Certificate Authority Co Ltd
Не, ну гуанг-донг это сразу +100500 к доверию.
Hongkong Post
Гонконгская почта?
Почта Гонконга, как признанный центр сертификации, предлагает различные типы цифровых сертификатов и сопутствующие услуги для обеспечения личной и организационной электронной безопасности, обеспечивая безопасные и надежные онлайн-транзакции в сфере банковских, финансовых, коммерческих, образовательных и государственных услуг.
Так это же не российская минцифра, "доверяю".
Полно трешака
Там полно всякого трешака, которому почему-то я должен доверять, но не российскому правительству и российским банкам. То есть лучше мы пусть будем заходить в российский банк по небезопасному соединению, чем доверять российскому сертификату.
Ключевая ошибка
Вообще блокировка российских денежных систем это ключевая ошибка иностранцев. Да они сейчас в кровавом угаре всё забанили, но сертификаты нужны прежде всего в банках, а не в том же rsdn где и так все сообщения открыты. Это не говоря о том, что какой-нибудь вконтакте и так могут читать посторонние не стесняясь.
Кому не нужна защита от атаки посредника для захода в банковские системы через браузер могут и дальше ничего себе не устанавливать, а доверять гонконгской почте, емудхре и прочей ерунде.
Новая реальность
А вообще я участвовал во многих срачах по сертификатам и прочим анальным системам, когда пользователями управляют с помощью программного обеспечения. Но тогда была теоретическая возможность, что в один прекрасный день вас забанят. Да, именно вас забанят в российской банковской системе, а не просто банк. В некотором смысле забанят ваш сайт просто не выдав сертификат. А могут и доменное имя отобрать в конкретной зоне, просто потому что.
И сейчас всё это стало новой реальностью. Хорошо быть позитивным, а мы в домике, а мы ушли в ещё не забаненный мировым правительством в лице США российский банк. Ля ля ля, как здорово быть умным. Ну так умничество заканчивается, маски срываются. Не хочешь, не ставь сертификат, бойся, что тебя взломает российское правительство, которое может получить доступ к критическим системам вроде российского банка и без сертификата.
А людям в России в конце концов придётся осознать, что раз сертификатов минцифры нет по умолчанию в зарубежном браузере, то им придётся установить их самостоятельно. Хотя по идее они могли бы там быть. Кстати, вспомнилось как в Firefox удалили поисковик яндекс, а я ведь поставил обратно после этого вредительского обновления.
Не хотят продавать программы в России, так восторжествует свободное ПО и торренты. А ведь мы уже двигались в глобализованному миру. Никто даже не задумывался, что в доверенных сертификатах в браузере по умолчанию установлены трешовые сертификаты. Спокойно покупали софт в пожизненную аренду и по подписке.
V>Вопрос, что тебе важнее, теоретическое прослушивание Минцифрой, о чём тут же раструбят на весь интернет если заметят, или безопасность доступа к деньгам посредством браузера?
Во-первых, ни один банк вам online banking (да и просто доступ на свой сайт вряд ли) через незащищенный plain http не предоставит (это я ещё в своем предыдущем ответе сказал).
Во-вторых для установления безопасного соединения вовсе не обязательно добавлять сертификат УЦ МинЦифры в trusted authorities, достаточно добавить сертификат конкретного сайта (подписанный сертификатом УЦ МинЦифры) в исключения.
) я писал, что добавил сертификат в исключения для конкретного сайта (lk.vodokanal.spb.ru).
Также сделаю для сбербанка и прочих, где будет использован УЦ МинЦифры (пока список таких сайтов не выглядит большим, а дальше посмотрим).
V>А теперь зайди в уже заботливо установленные по умолчанию сертификаты в операционке или браузере, которым ты почему-то доверяешь. Их там просто дофига и принадлежат они непонятным конторкам. V>Нет, реально зайди рука лицо. V>В андроиде в настройках введи в поиске "сертификаты", тоже самое в настройках в файерфоксе и так далее. Кто все эти люди?
Это УЦ (удостоверяющие центры), список которых составлен производителем браузера или ОС.
Если вы устанавливаете браузер, то так или иначе вынуждены доверять его разработчикам.
А вот если добавили сертификат сами, то берете определенные риски на себя.
Из вашего ответа топикстартер может сделать ошибочные выводы, что
1) установка любого (не обязательно МинЦифры) сертификата только повысит безопасность (снизит шансы на использование plаin http и т.п.)
2) установка сертификата МинЦифры никак не может повлиять на работу с зарубежными сайтами
V> Не хочешь, не ставь сертификат, бойся, что тебя взломает российское правительство, которое может получить доступ к критическим системам вроде российского банка и без сертификата.
Так за российские банки и прочие гос.услуги я и не опасаюсь, добавлю исключение, как написал выше. А вот добавлять в trusted authorities пока точно не буду.
Ведь в случае недобросовестности УЦ это позволит осуществить MITM атаку при соединении с произвольным сайтом.
) я писал, что добавил сертификат в исключения для конкретного сайта (lk.vodokanal.spb.ru). M>Также сделаю для сбербанка и прочих, где будет использован УЦ МинЦифры (пока список таких сайтов не выглядит большим, а дальше посмотрим).
Это старая темы про самоподписанные сертификаты. Я, кстати, это и говорил, зачем вам буржуйские ненадёжные конторки, которые внедрили свои корневые сертификаты в операционки и браузеры, а теперь доят людей по чём зря. И как со мной спорили, что это ненадёжно.
Ненадёжность
Поскольку самозаверенный сертификат не заверяется удостоверяющим центром, в соответствии с п. 3.3 RFC 2459, такой сертификат невозможно отозвать.
Теоретически, это позволяет осуществить атаку посредника, при которой злоумышленник может перехватить сертификат узла-инициатора шифрованного соединения и вместо него отправить узлу назначения свой поддельный, с помощью которого передаваемые данные можно будет дешифровать.
Дискредитация центров сертификации
Вообще говоря с моей точки зрения здесь стоит говорить о дискредитации центров сертификации как идеи. Зачем давать кому-то возможность банить сайты, да ещё и сдирать с тех самых сайтов деньги.
Я скажу даже более, если сайт не подписан, да можно сделать исключение. Но правильнее было бы вообще не давать всяким левым корневым сертификатам по умолчанию прописываться в операционке или браузере.
Иными словами пользователь должен для каждого сайта по https получать предупреждение, такой то центр сертификации или самоподписанный сертификат предлагают вам подключиться, принимаете? А не так как сейчас, Минцифры якобы зло, а куча каких-то левых сертификатов иностранных конторок добро.
Проблема ведь не только в самом программном обеспечении у которого куча настроек включая скрытые, типа about:config. Проблема в том, что людям в браузере по умолчанию включили корневые сертификаты и не спросили у пользователей доверяют ли они им.
Проведём опыты
Проведём опыт #1.
1) Зашёл в сертификаты Android на смартфоне Samsung и поотключал все 130+ имеющихся корневых сертификатов.
2) Далее пытаюсь зайти на https://rsdn.org с помощью браузера Samsung.
3) Не заходит, говорит включи сертификаты Symantic, то есть DigiCert Inc.
4) Включил, зашло.
5) Выключил, не зашло.
6) Добавил исключение, сказало, что не безопасно, зашло.
Далее опыт #2.
1) Меняю браузер на Firefox.
2) Сразу заходит, очевидно сертификаты записаны в самом браузере.
Следующий опыт #3
1) Меняю браузер на Chrome.
2) Тоже самое, что и в браузере Samsung, или включай сертификаты, или заходи с исключением, но это якобы не безопасно.
Какие можно сделать выводы?
Ну вот смотри, то как у тебя добавлены самоподписанные сертификаты это по мнению многих "икспертов" небезопасно. Почему, да потому что центр сертификации не может отозвать сертификат. Плюс вначале канал не защищён со всеми вытекающими.
С другой стороны никто теперь не может заставить доверять тебя тому, кому ты не доверяешь. Я вот не знаю теперь возвращать ли эти 130+ сертификатов или так оставить. Там ведь предусмотрительно сделано выключение, а не удаление, а вот Минцифры именно удаляются.
Всё что не делается к "лучшему"
Начнём хотя бы с того, что я уже очень и очень давно сижу в интернете через антизапрет vpn. Вот она возможная атака посредника, а не только оборудование ФСБ у интернет провайдеров.
Само правительство со своим роскомпозором вынудило меня рисковать. Но можем ли мы тогда доверять вообще хоть кому-нибудь, кроме себя. Ричард Столлман говорит, что нет, не можем.
Другое дело я могу перенастроить всё, что захочу, если буду знать, что нужно получить, а огромное количество людей даже не подозревают о таких вещах. Добавить сертификаты Минцифры в исключения конкретных сайтов и забить на 130+ глобально включённых корневых сертификатов тоже не выглядит правильным решением.
V>Это старая темы про самоподписанные сертификаты. Я, кстати, это и говорил, зачем вам буржуйские ненадёжные конторки, которые внедрили свои корневые сертификаты в операционки и браузеры, а теперь доят людей по чём зря. И как со мной спорили, что это ненадёжно.
Это не самоподписанные сертификаты — сертификаты сервера vodokanal.spb.ru подписан сертификатом "Russian Trusted Sub CA", а тот в свою очередь сертификатом "Russian Trusted Root CA".
Web-браузер эту цепочку проверить не может, т.к. указанные сертификаты в trusted authorities я не добавлял.
Если проверку не сделать, то да, уровень безопасности будет как у self-signed.
Однако проверку можно (и даже нужно) провести вручную, например так:
где vodokanal.spb.ru.cer это экспорт сертификата из web-браузера в PEM формате.
V>Ну вот смотри, то как у тебя добавлены самоподписанные сертификаты это по мнению многих "икспертов" небезопасно. Почему, да потому что центр сертификации не может отозвать сертификат. Плюс вначале канал не защищён со всеми вытекающими.
ну в принципе да, self-signed применим только в случае, если верификацию сертификата можно произвести другим независимым способом.
Например, если удаленный сервер принадлежит Вам, и вы сами настроили этот сертификат, или в корпоративной сети (хотя там как правило поднят свой УЦ). В этом случае посредник в виде УЦ не нужен.
. Ведь от этого доступ к сайтам не перестанет работать 
)
