На Госуслугах выложили RSA-сертификаты национального удостоверяющего центра

Минцифры пишет:

На Госуслугах опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей. Такие сертификаты обеспечат доступность сайтов в любом браузере пользователям всех операционных систем.

Сертификаты доступны также юридическим лицам – владельцам сайтов. Использование российского TLS-сертификата обеспечивает доступность ресурса в «Яндекс.Браузере» и браузере «Атом».

Всего сертификаты выданы на 7 тысяч доменных имен. На прошлой неделе о переводе всех своих сайтов на российские TLS-сертификаты заявил Сбер. Это один из наиболее масштабных примеров использования отечественных сертификатов безопасности.

Использование RSA-сертификатов сильно упрощает жизнь пользователей, которых ранее пытались заставить ставить шифрование по ГОСТ, и снижает проблему лишения российских компаний сертификатов безопасности и невозможности использования их сервисов.

Портал государственных услуг Российской Федерации

Добавить 43 комментария

  • Ответить

    Вообще-то после того, как глобально все подсели на Cloudfare (или аналогичную) защиту от ДДОС-а — сертификаты от мировых УЦ давно не являются чем-то защищающим от MitM атак. Тот же Cloudfare может вам любой сайт своего клиента подменить.
    Ну или давайте вспомним DNS over HTTP и популярный сервер с адресом 8.8.8.8. Также у Гугла есть свой корневой сертификат. В итоге при желании Гугл может вам легко подменить любой сайт.

  • Ответить

    О, хорошо хоть есть какая-то альтернатива Яндекс Браузеру, в виде брендированного Хромиума от VK — Атом, с простым интерфейсом.
    Меня так бесит UI Яндекс Браузера, с его механикой и дизайном вкладок, каждый год его ставлю посмотреть и каждый раз удаляю.
    Да и вообще ЯБ напоминает анекдот про самолёт с бассейном.

  • Ответить

    Речь наверно не про "DH", а про "EC". RSA больше/дольше известно и имеет меньше мест для неизвестных закладок. Думаю, что скорее всего повлияла первая причина.

  • Ответить

    Никак, надо ставить в каждый браузер отдельно. Нет в Linux центрального хранилища сертификатов. Или уже прикрутили?
    В любом случае, шаг 1 — создать виртуалку "для госсайтов" и ставить сертификаты туда. А основную не трогать.

  • Ответить

    Есть инструкции — вроде этой https://ubuntu.com/server/docs/security-trust-store, например. А вообще, обычно делается так:

    1. сконвертировать сертификат командой openssl x509 … (есть в статье выше — если вы скачанный файл назовете local-ca.der, то результат команда сохранит в файл local-ca.crt — его и копируйте в следующем пункте)
    2. скопировать получившийся файл в каталог /usr/local/share/ca-certificates
    3. запустить скрипт обновления (под рутом) update-ca-certificates

    Также в браузере firefox можно его установить локально через Меню — Настройки — Настройки приватности и безопасности — Сертификаты (можно использовать поиск в настройках, иначе долго искать) — там на вкладке Удостоверяющие центры нажать на кнопку Import. В целом поиск инструкции по словам "установка корневого сертификата" выдаст большой ворох инструкций.

  • Ответить

    Импортировать в firefox или чем вы там пользуетесь. А раз уж сидите на linux, то советую если уж не виртуалку, то хотя бы создать отдельных юзеров для разных задач — для онлайн-банков, госсайтов — одного, для веселых картинок и просмотра мемасиков — другого, для работы — третьего. Потому что да, мир изменился и личная информационная безопасность (а также информационная гигиена) выходит на первый план.

  • Ответить

    Ну с виртуалкой вы очень сильно погорячились. Если очень свербит в части "безопасности" — установить сертификат в отдельный профиль в браузере (нормальные браузеры — вроде Firefox-а — позволяют создавать профили под одним пользователем операционки). А вообще я выше писал про неправильную оценку, откуда правильнее ждать "нападения" на систему выдачи сертификатов в быту, она же PKI (Инфраструктура открытых ключей) у специалистов. Вас другие "товарищи" запакуют так, что даже пикнуть не успеете… пока вы тут разглагольствуете про "виртуалку для госсайтов" :)

  • Ответить

    С одной стороны, да. С другой стороны, существующие технологии уже давно позволяют определить пользователя, даже если он открыл сайт в режиме инкогнито или вообще в другом браузере.

    Facebook довёл технологию определения пользователей до совершенства, он даже на переустановленной системе как-то понимает, что это тот же самый человек. А трекеры facebook стоят на многих сайтах (собс-но, наверняка, это тоже часть системы детекции профилей).

    Различные браузеры могут лишь разве защитить от каких-то атак, если вдруг какая-то дыра в браузере позволит скриптам одного сайта получить доступ к данным другого. Теоретическая возможность существует, но о практической реализации ещё ни разу не слышал.

  • Ответить

    У меня не совпадающая с вашей модель угроз.

    Клиенты отдают cloudfare/AWS/CGP сертификаты и ключи от одного сайта, да и то зачастую от bulk части, а не от проверяющей всякие пароли и раздающей важные данные. Ключи от клиентской части банковского сайта никто в облако не сунет, а если сопрут мою куку на новостной сайт, то плакать сильно не буду. Ну и квалификации безопасников cloudfare и проч. я более-менее доверяю.

    В случае же утечки ключей корневого CA ущерб будет чудовищный — можно будет подменить все сертификаты сразу, кроме тех, кто догадался сделать pin на собственный УЦ. При этом как его будут заменять никто не знает, а в квалификации сотрудников российских госов я … "несколько сомневаюсь": что у них только не утекало в прошлом.

    Ну нафиг, самому себе такую яму копать.

  • Ответить

    Вы разве не заметили вторую часть: Ну или давайте вспомним DNS over HTTP и популярный сервер с адресом 8.8.8.8. Также у Гугла есть свой корневой сертификат. В итоге при желании Гугл может вам легко подменить любой сайт. И не нужна никакая "утечка". Вы вообще посмотрите на список корневых сертификатов — там чего только нет нынче. Но интересен корневой сертификат не в отдельности, а вместе с остальной инфраструктурой (Амазон здесь тоже может дел наворотить, но в меньшем масштабе).

    1. Давайте расшифрую: Вы набираете в адресной строке вашего Хрома имя сайта Браузер отправляет ДНС запрос, чтобы определить IP адрес сервера (он уходит на 8.8.8.8)
    2. Гугл (как владелец ДНС сервера), говорит вам, куда надо идти (здесь он может выдать свой сервер)
    3. Вы начинаете загрузку сайта с указанного сервера и проверяете сертификат, который на лету может сгенерировать тот же Гугл.
    4. Сервер может присылать вам что угодно.
    5. Вы не заметите подмены и разницы, так как с точки зрения пользовательского интерфейса — всё идёт штатно.
  • Ответить

    Что именно вредоносного может сделать с DNS гугл, что не может DNS poisoning у провайдера или тупой перехват трафика у него же? DNS это древняя небезопасная фигня, и на неё никто не полагается.
    А вот чего гугл не может, так это подменить сертификат сайта. У гугла нет корневого CA с неограниченными возможностями. И у амазона нет. И у cloudfare. Сюрприз.

  • Ответить

    Опаньки, гугл действительно стал CA. Вот так всего лет на пять отвернешься, и всё изменилось. Значит может теоретически притвориться моим банком.
    Но модель угроз это практически не меняет: шансы, что сертификат утратят росгосы, выглядят куда выше, чем на проеб сертификата гуглом. Опять же, за репосты гугл пока никого не сажал.
    Кстати, а сообщали, кто вообще держит эти российские ключи? Доверили какому-нибудь УЦ или отдали в Роскомнадзор/НИИ?

  • Ответить

    Я оценивал риски для комментаторов, а не для государственного строя Российской Федерации. В случае майдана интернет отключит РКН, так что за гугл можно не переживать.

  • Ответить

    "как глобально все подсели на Cloudfare "
    Это уродство используют только .. ладно.. в общем ни один сайт на этой параше у меня не открывается, когда я спросила у этих уродов "почему?". Клаудтвари мне ответили в духе "владельцы сайта сами виноваты потому что… " и далее следовал какой-то слаборазборчивый высер на английском. Клаудтвари прекрасно знают, что не всегда сайты с их ублюдскими поделками открываются, но молчат. Как молчат и в Яндексе.
    .
    Сертификат из данной темы хз что такое, но сайт Сбера у меня в одном браузере не открылся. Хотя какая уже разница, конечно.

  • Ответить

    Но не выше, чем шансы целенаправленной атаки Гугла, в момент организации у нас майдана.

    Не вижу смысла делать это с помощью гугла, когда в списке доверенных центров мейнстримных браузеров есть большое количество организаций намного менее известных, ресурс доверия к которым тратить не так жалко.

  • Ответить

    Проблема не в CloudFlare, они нас не блокировали. Просто CF легко позволяет владельцу сайта отключить доступ для выбранной страны. Не надо искать какие-то конфиги для своего веб-сервера, применять их, проверять, что ничего не сломалось.

    Поэтому на волне русофобской истерии, многие владельцы сайтов под CF, просто пошли и врубили соответствующую галочку. А так как CF использет очень много сайтов, то и эффект от этого значительный.

  • Ответить

    Мир сейчас таргетированный. Морозную розовую понь может и не блокирнули. А меня и других слабоолигархичных граждан Клаудтвари выкинули. Как выкинул Яндекс, экс-Майл, даже Сбер привинтил хз что или что там такое, что сайт не открывается (причем настолько, видимо, похер, что даже не отследживают выдачу ошибки). Для меня загадка, как могут группы тварей, по предварительному сговору, получать огромнейнейшие IT-зарплаты и льготы. Но при этом быть настолько убогими, что давятся сделать платформы своего работодателя доступными для всех людей.

  • Ответить

    Кто о чём, а Ашманов уныло, однообразно и предсказуемо о либерастах. Ведь невозможно же, чтобы тян жила так же, как комментарии пишет, и творила какую-то адовую херню или нацепляла такого говна на устройства, что на него срабатывают защиты у совершенно разных компаний. Это точно заговор англосаксов, особенно в мейле и сбере, просто потому что в разговоре участвую я.

  • Ответить

    Мир сейчас глобальный. Найдут чуханцы куски кода в рептилоидо-репозиториях и тащат в свои гигапроекты, тиражируя и не тестируя. Ну, отвалилась часть населения из пользователей, ну что такого. Маркетологи ещё насобирают.
    .
    Cloudflare, Яндекс, mail.ru и "даже Сбер" — да, Клауд полностью дохлый (кроме их сайта), особых претензий, конечно, не имею, потому что это всё мелкие сайты, а там разговор короткий — не открылось = красный крестик и досвиданья. Мейлом не пользуюсь (на смартфоне Вконтакт немножко дышит), со Сбером у нас противоположенные роли.
    .
    А вот когда Яндекс-рептилоиды каждую неделю выкатывают новую "фичу" это напрягает. Сейчас вот выкатили гэ-код, когда после 5-10 запросов в поиске вылазит капча. Это так мило. Но эта капча через секунду исчезает и тебя просто оставляют один на один с воздушными шариками на картинке. И ладно я. А если это на войне, и надо погуглить какой стороной зелёную стрелялку направлять и где предохранитель, а тут капча, а человек может куки чистить не умеет.

  • Ответить

    Если вас забанили по всему миру, то может быть дело всё-таки не во всём мире?

    Как же вас корёжит :) Эти все сообщения плюс личные наезды говорят об одном — о Вашем выборе "против" большей части нашего общества. Советую отойти подальше. А то заденем ненароком.

  • Ответить

    Вы обратите внимание, что при словах "весь мир" у вас уже рефлекторная реакция "заграничные враги, наших обижают!" Даже контекста не замечаете (хотя должен признать, что читать тян сложновато), упоминание трёх российских компаний пролетает со свистом мимо сознания — только рефлекс и отрабатывает.
    Не надо так. Иногда весь мир это просто весь мир, совсем весь.

  • Ответить

    упоминание трёх российских компаний пролетает со свистом мимо сознания — только рефлекс и отрабатывает

    Не все дотошно вчитываются в Тянку и пользуются вышеназванными российскими компаниями)) А на CF чутка "подбанили" :-) Тянка больше напирала на CF…

  • Ответить

    "Игорь Ашманов
    Вы-то да."
    .
    Вообще нет, но теоретически всякое бывает.
    .
    "Сашок Рему’
    А на CF чутка "подбанили" :-) Тянка больше напирала на CF…"
    .
    Да просто в ТОП-3 обычно эти сайты (у CF) Яндекс и тащит. Сколько раз смотрела, всегда CF или еще пара хостингов, тот же Яндекс, по-моему и ещё кто-то. Но 90% это неработающий Клауд. В Яндексе слабовато, видимо, с анализом, не могут протестировать и внести код типа, что если у человека сайты не откроются, то незачем их подмешивать в выдачу или хоть скелетиком помечать. Да и своим сервисы еще рекламируют, хотя прекрасно знают, что и они не откроются. Хотя, если электричества не станет, уже ничего вообще не откроется. Надо хоть что-то распечатать.