Минцифры пишет:
На Госуслугах опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей. Такие сертификаты обеспечат доступность сайтов в любом браузере пользователям всех операционных систем.
Сертификаты доступны также юридическим лицам – владельцам сайтов. Использование российского TLS-сертификата обеспечивает доступность ресурса в «Яндекс.Браузере» и браузере «Атом».
Всего сертификаты выданы на 7 тысяч доменных имен. На прошлой неделе о переводе всех своих сайтов на российские TLS-сертификаты заявил Сбер. Это один из наиболее масштабных примеров использования отечественных сертификатов безопасности.
Использование RSA-сертификатов сильно упрощает жизнь пользователей, которых ранее пытались заставить ставить шифрование по ГОСТ, и снижает проблему лишения российских компаний сертификатов безопасности и невозможности использования их сервисов.
Добавить 43 комментария
т е учмтывая что фильтрвции по зонам нет они хотят весь интернет завести под товарища майора ?
Ну дак неплохо бы.
Ты бы лучше спросил про ГОСТ.
Вообще-то после того, как глобально все подсели на Cloudfare (или аналогичную) защиту от ДДОС-а — сертификаты от мировых УЦ давно не являются чем-то защищающим от MitM атак. Тот же Cloudfare может вам любой сайт своего клиента подменить.
Ну или давайте вспомним DNS over HTTP и популярный сервер с адресом 8.8.8.8. Также у Гугла есть свой корневой сертификат. В итоге при желании Гугл может вам легко подменить любой сайт.
А мне интересно почему RSA, а не DH, который чуть ли не на порядок быстрее.
Сначала бы завести некоего фрилансера под товарища учителя русского языка.
О, хорошо хоть есть какая-то альтернатива Яндекс Браузеру, в виде брендированного Хромиума от VK — Атом, с простым интерфейсом.
Меня так бесит UI Яндекс Браузера, с его механикой и дизайном вкладок, каждый год его ставлю посмотреть и каждый раз удаляю.
Да и вообще ЯБ напоминает анекдот про самолёт с бассейном.
А как использовать для сертификатов DH?
Речь наверно не про "DH", а про "EC". RSA больше/дольше известно и имеет меньше мест для неизвестных закладок. Думаю, что скорее всего повлияла первая причина.
Да, я про EC. Переклинило почему-то, написал RSA.
Товарищи гики, напишите кто-нибудь инструкцию как этот сертификат засунуть в Linux, на примере Ubuntu хотя бы?
Никак, надо ставить в каждый браузер отдельно. Нет в Linux центрального хранилища сертификатов. Или уже прикрутили?
В любом случае, шаг 1 — создать виртуалку "для госсайтов" и ставить сертификаты туда. А основную не трогать.
Есть инструкции — вроде этой https://ubuntu.com/server/docs/security-trust-store, например. А вообще, обычно делается так:
Также в браузере firefox можно его установить локально через Меню — Настройки — Настройки приватности и безопасности — Сертификаты (можно использовать поиск в настройках, иначе долго искать) — там на вкладке Удостоверяющие центры нажать на кнопку Import. В целом поиск инструкции по словам "установка корневого сертификата" выдаст большой ворох инструкций.
Импортировать в firefox или чем вы там пользуетесь. А раз уж сидите на linux, то советую если уж не виртуалку, то хотя бы создать отдельных юзеров для разных задач — для онлайн-банков, госсайтов — одного, для веселых картинок и просмотра мемасиков — другого, для работы — третьего. Потому что да, мир изменился и личная информационная безопасность (а также информационная гигиена) выходит на первый план.
Ну с виртуалкой вы очень сильно погорячились. Если очень свербит в части "безопасности" — установить сертификат в отдельный профиль в браузере (нормальные браузеры — вроде Firefox-а — позволяют создавать профили под одним пользователем операционки). А вообще я выше писал про неправильную оценку, откуда правильнее ждать "нападения" на систему выдачи сертификатов в быту, она же PKI (Инфраструктура открытых ключей) у специалистов. Вас другие "товарищи" запакуют так, что даже пикнуть не успеете… пока вы тут разглагольствуете про "виртуалку для госсайтов" :)
С одной стороны, да. С другой стороны, существующие технологии уже давно позволяют определить пользователя, даже если он открыл сайт в режиме инкогнито или вообще в другом браузере.
Facebook довёл технологию определения пользователей до совершенства, он даже на переустановленной системе как-то понимает, что это тот же самый человек. А трекеры facebook стоят на многих сайтах (собс-но, наверняка, это тоже часть системы детекции профилей).
Различные браузеры могут лишь разве защитить от каких-то атак, если вдруг какая-то дыра в браузере позволит скриптам одного сайта получить доступ к данным другого. Теоретическая возможность существует, но о практической реализации ещё ни разу не слышал.
Сразу хорошую защиту не построить, она создается постепенно, потому как основная ее часть в голове, а не в компе. Начинать надо с простого, с того, что потребует меньше всего усилий.
У меня не совпадающая с вашей модель угроз.
Клиенты отдают cloudfare/AWS/CGP сертификаты и ключи от одного сайта, да и то зачастую от bulk части, а не от проверяющей всякие пароли и раздающей важные данные. Ключи от клиентской части банковского сайта никто в облако не сунет, а если сопрут мою куку на новостной сайт, то плакать сильно не буду. Ну и квалификации безопасников cloudfare и проч. я более-менее доверяю.
В случае же утечки ключей корневого CA ущерб будет чудовищный — можно будет подменить все сертификаты сразу, кроме тех, кто догадался сделать pin на собственный УЦ. При этом как его будут заменять никто не знает, а в квалификации сотрудников российских госов я … "несколько сомневаюсь": что у них только не утекало в прошлом.
Ну нафиг, самому себе такую яму копать.
Вы разве не заметили вторую часть: Ну или давайте вспомним DNS over HTTP и популярный сервер с адресом 8.8.8.8. Также у Гугла есть свой корневой сертификат. В итоге при желании Гугл может вам легко подменить любой сайт. И не нужна никакая "утечка". Вы вообще посмотрите на список корневых сертификатов — там чего только нет нынче. Но интересен корневой сертификат не в отдельности, а вместе с остальной инфраструктурой (Амазон здесь тоже может дел наворотить, но в меньшем масштабе).
Что именно вредоносного может сделать с DNS гугл, что не может DNS poisoning у провайдера или тупой перехват трафика у него же? DNS это древняя небезопасная фигня, и на неё никто не полагается.
А вот чего гугл не может, так это подменить сертификат сайта. У гугла нет корневого CA с неограниченными возможностями. И у амазона нет. И у cloudfare. Сюрприз.
Есть и у гугла (сертификат называется GTS Root R1) и у клаудфлара и ещё у множества сомнительных организаций.
Опаньки, гугл действительно стал CA. Вот так всего лет на пять отвернешься, и всё изменилось. Значит может теоретически притвориться моим банком.
Но модель угроз это практически не меняет: шансы, что сертификат утратят росгосы, выглядят куда выше, чем на проеб сертификата гуглом. Опять же, за репосты гугл пока никого не сажал.
Кстати, а сообщали, кто вообще держит эти российские ключи? Доверили какому-нибудь УЦ или отдали в Роскомнадзор/НИИ?
Но не выше, чем шансы целенаправленной атаки Гугла, в момент организации у нас майдана.
Я оценивал риски для комментаторов, а не для государственного строя Российской Федерации. В случае майдана интернет отключит РКН, так что за гугл можно не переживать.
Я знаю что вот тут собрана какая-то информация по нашим УЦ
https://e-trust.gosuslugi.ru/
и по этой ссылке можно проверить браузер на поддержку нашего сертификата
"как глобально все подсели на Cloudfare "
Это уродство используют только .. ладно.. в общем ни один сайт на этой параше у меня не открывается, когда я спросила у этих уродов "почему?". Клаудтвари мне ответили в духе "владельцы сайта сами виноваты потому что… " и далее следовал какой-то слаборазборчивый высер на английском. Клаудтвари прекрасно знают, что не всегда сайты с их ублюдскими поделками открываются, но молчат. Как молчат и в Яндексе.
.
Сертификат из данной темы хз что такое, но сайт Сбера у меня в одном браузере не открылся. Хотя какая уже разница, конечно.
Не вижу смысла делать это с помощью гугла, когда в списке доверенных центров мейнстримных браузеров есть большое количество организаций намного менее известных, ресурс доверия к которым тратить не так жалко.
Проблема не в CloudFlare, они нас не блокировали. Просто CF легко позволяет владельцу сайта отключить доступ для выбранной страны. Не надо искать какие-то конфиги для своего веб-сервера, применять их, проверять, что ничего не сломалось.
Поэтому на волне русофобской истерии, многие владельцы сайтов под CF, просто пошли и врубили соответствующую галочку. А так как CF использет очень много сайтов, то и эффект от этого значительный.
Мир сейчас таргетированный. Морозную розовую понь может и не блокирнули. А меня и других слабоолигархичных граждан Клаудтвари выкинули. Как выкинул Яндекс, экс-Майл, даже Сбер привинтил хз что или что там такое, что сайт не открывается (причем настолько, видимо, похер, что даже не отследживают выдачу ошибки). Для меня загадка, как могут группы тварей, по предварительному сговору, получать огромнейнейшие IT-зарплаты и льготы. Но при этом быть настолько убогими, что давятся сделать платформы своего работодателя доступными для всех людей.
Если вас забанили по всему миру, то может быть дело всё-таки не во всём мире?
Что за весь мир? Все ~ 200 стран?
Пока нам перечислили Cloudflare, Яндекс, mail.ru и "даже Сбер". Выглядит практически как весь заслуживающий внимания мир.
Это стандартное причитание либераста про "весь мир". Не обращайте внимания, он это для себя подвывает, чтобы уровень жопоголя в крови не понижался.
Кто о чём, а Ашманов уныло, однообразно и предсказуемо о либерастах. Ведь невозможно же, чтобы тян жила так же, как комментарии пишет, и творила какую-то адовую херню или нацепляла такого говна на устройства, что на него срабатывают защиты у совершенно разных компаний. Это точно заговор англосаксов, особенно в мейле и сбере, просто потому что в разговоре участвую я.
Похоже, что тян — это чья-то шутка. Кто-то скормил нейросетке всю демшизу, которую смог найти, и теперь оно генерирует полуосмысленные сообщения время от времени.
Мир сейчас глобальный. Найдут чуханцы куски кода в рептилоидо-репозиториях и тащат в свои гигапроекты, тиражируя и не тестируя. Ну, отвалилась часть населения из пользователей, ну что такого. Маркетологи ещё насобирают.
.
Cloudflare, Яндекс, mail.ru и "даже Сбер" — да, Клауд полностью дохлый (кроме их сайта), особых претензий, конечно, не имею, потому что это всё мелкие сайты, а там разговор короткий — не открылось = красный крестик и досвиданья. Мейлом не пользуюсь (на смартфоне Вконтакт немножко дышит), со Сбером у нас противоположенные роли.
.
А вот когда Яндекс-рептилоиды каждую неделю выкатывают новую "фичу" это напрягает. Сейчас вот выкатили гэ-код, когда после 5-10 запросов в поиске вылазит капча. Это так мило. Но эта капча через секунду исчезает и тебя просто оставляют один на один с воздушными шариками на картинке. И ладно я. А если это на войне, и надо погуглить какой стороной зелёную стрелялку направлять и где предохранитель, а тут капча, а человек может куки чистить не умеет.
Как же вас корёжит :) Эти все сообщения плюс личные наезды говорят об одном — о Вашем выборе "против" большей части нашего общества. Советую отойти подальше. А то заденем ненароком.
Похоже и правда нейросетка.
Чисто технически, мы все нейросетки)). Или нейроносетки. Надо бы погуглить отличие. Как-нибудь.
Вы обратите внимание, что при словах "весь мир" у вас уже рефлекторная реакция "заграничные враги, наших обижают!" Даже контекста не замечаете (хотя должен признать, что читать тян сложновато), упоминание трёх российских компаний пролетает со свистом мимо сознания — только рефлекс и отрабатывает.
Не надо так. Иногда весь мир это просто весь мир, совсем весь.
Вы-то да.
Cам я не читаю — для "рефлексов" вредно — сразу пишу ответ…
Не все дотошно вчитываются в Тянку и пользуются вышеназванными российскими компаниями)) А на CF чутка "подбанили" :-) Тянка больше напирала на CF…
"Игорь Ашманов
Вы-то да."
.
Вообще нет, но теоретически всякое бывает.
.
"Сашок Рему’
А на CF чутка "подбанили" :-) Тянка больше напирала на CF…"
.
Да просто в ТОП-3 обычно эти сайты (у CF) Яндекс и тащит. Сколько раз смотрела, всегда CF или еще пара хостингов, тот же Яндекс, по-моему и ещё кто-то. Но 90% это неработающий Клауд. В Яндексе слабовато, видимо, с анализом, не могут протестировать и внести код типа, что если у человека сайты не откроются, то незачем их подмешивать в выдачу или хоть скелетиком помечать. Да и своим сервисы еще рекламируют, хотя прекрасно знают, что и они не откроются. Хотя, если электричества не станет, уже ничего вообще не откроется. Надо хоть что-то распечатать.