Если вас забанили по всему миру, то может быть дело всё-таки не во всём мире?
Как же вас корёжит :) Эти все сообщения плюс личные наезды говорят об одном — о Вашем выборе "против" большей части нашего общества. Советую отойти подальше. А то заденем ненароком.
Вы разве не заметили вторую часть: Ну или давайте вспомним DNS over HTTP и популярный сервер с адресом 8.8.8.8. Также у Гугла есть свой корневой сертификат. В итоге при желании Гугл может вам легко подменить любой сайт. И не нужна никакая "утечка". Вы вообще посмотрите на список корневых сертификатов — там чего только нет нынче. Но интересен корневой сертификат не в отдельности, а вместе с остальной инфраструктурой (Амазон здесь тоже может дел наворотить, но в меньшем масштабе).
Давайте расшифрую: Вы набираете в адресной строке вашего Хрома имя сайта Браузер отправляет ДНС запрос, чтобы определить IP адрес сервера (он уходит на 8.8.8.8)
Гугл (как владелец ДНС сервера), говорит вам, куда надо идти (здесь он может выдать свой сервер)
Вы начинаете загрузку сайта с указанного сервера и проверяете сертификат, который на лету может сгенерировать тот же Гугл.
Сервер может присылать вам что угодно.
Вы не заметите подмены и разницы, так как с точки зрения пользовательского интерфейса — всё идёт штатно.
Ну с виртуалкой вы очень сильно погорячились. Если очень свербит в части "безопасности" — установить сертификат в отдельный профиль в браузере (нормальные браузеры — вроде Firefox-а — позволяют создавать профили под одним пользователем операционки). А вообще я выше писал про неправильную оценку, откуда правильнее ждать "нападения" на систему выдачи сертификатов в быту, она же PKI (Инфраструктура открытых ключей) у специалистов. Вас другие "товарищи" запакуют так, что даже пикнуть не успеете… пока вы тут разглагольствуете про "виртуалку для госсайтов" :)
сконвертировать сертификат командой openssl x509 … (есть в статье выше — если вы скачанный файл назовете local-ca.der, то результат команда сохранит в файл local-ca.crt — его и копируйте в следующем пункте)
скопировать получившийся файл в каталог /usr/local/share/ca-certificates
Также в браузере firefox можно его установить локально через Меню — Настройки — Настройки приватности и безопасности — Сертификаты (можно использовать поиск в настройках, иначе долго искать) — там на вкладке Удостоверяющие центры нажать на кнопку Import. В целом поиск инструкции по словам "установка корневого сертификата" выдаст большой ворох инструкций.
Вообще-то после того, как глобально все подсели на Cloudfare (или аналогичную) защиту от ДДОС-а — сертификаты от мировых УЦ давно не являются чем-то защищающим от MitM атак. Тот же Cloudfare может вам любой сайт своего клиента подменить.
Ну или давайте вспомним DNS over HTTP и популярный сервер с адресом 8.8.8.8. Также у Гугла есть свой корневой сертификат. В итоге при желании Гугл может вам легко подменить любой сайт.
Дискуссии пользователя
Cам я не читаю — для "рефлексов" вредно — сразу пишу ответ…
Как же вас корёжит :) Эти все сообщения плюс личные наезды говорят об одном — о Вашем выборе "против" большей части нашего общества. Советую отойти подальше. А то заденем ненароком.
Вы разве не заметили вторую часть: Ну или давайте вспомним DNS over HTTP и популярный сервер с адресом 8.8.8.8. Также у Гугла есть свой корневой сертификат. В итоге при желании Гугл может вам легко подменить любой сайт. И не нужна никакая "утечка". Вы вообще посмотрите на список корневых сертификатов — там чего только нет нынче. Но интересен корневой сертификат не в отдельности, а вместе с остальной инфраструктурой (Амазон здесь тоже может дел наворотить, но в меньшем масштабе).
Ну с виртуалкой вы очень сильно погорячились. Если очень свербит в части "безопасности" — установить сертификат в отдельный профиль в браузере (нормальные браузеры — вроде Firefox-а — позволяют создавать профили под одним пользователем операционки). А вообще я выше писал про неправильную оценку, откуда правильнее ждать "нападения" на систему выдачи сертификатов в быту, она же PKI (Инфраструктура открытых ключей) у специалистов. Вас другие "товарищи" запакуют так, что даже пикнуть не успеете… пока вы тут разглагольствуете про "виртуалку для госсайтов" :)
Есть инструкции — вроде этой https://ubuntu.com/server/docs/security-trust-store, например. А вообще, обычно делается так:
Также в браузере firefox можно его установить локально через Меню — Настройки — Настройки приватности и безопасности — Сертификаты (можно использовать поиск в настройках, иначе долго искать) — там на вкладке Удостоверяющие центры нажать на кнопку Import. В целом поиск инструкции по словам "установка корневого сертификата" выдаст большой ворох инструкций.
Вообще-то после того, как глобально все подсели на Cloudfare (или аналогичную) защиту от ДДОС-а — сертификаты от мировых УЦ давно не являются чем-то защищающим от MitM атак. Тот же Cloudfare может вам любой сайт своего клиента подменить.
Ну или давайте вспомним DNS over HTTP и популярный сервер с адресом 8.8.8.8. Также у Гугла есть свой корневой сертификат. В итоге при желании Гугл может вам легко подменить любой сайт.