Поэтому сегодня мы расскажем сообществу о происходящем чуть более подробно. Тем, кто очень спешит и хочет получить короткие ответы, достаточно прочитать начало поста. Поехали.
Коротко о главном
- Национальный удостоверяющий центр выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.
- Яндекс Браузер применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке на www.gosuslugi.ru/tls. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.
- Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).
- Мы работаем над поддержкой стандарта Certificate Transparency и планируем создать публичный лог, в который будут вноситься все выпускаемые национальным центром сертификаты. Мы надеемся, что другие представители индустрии поддержат эту инициативу и запустят дополнительные публичные логи. Это позволит добиться прозрачности в работе с национальными сертификатами.
Подробнее о проблеме
Как вы можете знать, ряд российских сайтов уже столкнулись с отзывом выданных TLS-сертификатов. Напомню, что наличие действующего авторитетного сертификата жизненно важно для любого сайта, который работает с данными пользователей. Без сертификата невозможно удостовериться, что данные передаются именно тому сайту, который указан в адресной строке браузера, а не подделке злоумышленников. Как следствие, любой современный браузер не пускает пользователей на сайт, если его сертификат отозван (это нормальное, ожидаемое поведение).
Проблема в том, что российским сайтам всё сложнее получить такой сертификат. Удостоверяющие центры всё чаще отзывают ранее выданные сертификаты и отказывают в их выдаче. Да, сайты могут начать использовать самоподписанные сертификаты. Но к ним нет и не будет никакого доверия со стороны браузеров из-за отсутствия контроля в их выдаче и применении. А значит, проблема с доступом к сайтам никуда не денется.
К чему это может привести? Вот несколько вариантов:
- Пользователям придётся передавать свои личные данные по протоколу http, то есть без шифрования, в явном виде (такие данные легко похитить на любом участке сети между сайтом и пользователем).
- Потребуется для каждого сайта как-то находить и устанавливать на компьютер его недоверенный корневой сертификат, чтобы браузеры перестали «ругаться» на самоподписанные сертификаты. При этом ни у браузеров, ни у пользователей не будет никакого контроля за их применением. Например, несколько лет назад мы уже рассказывали о злоумышленниках, которые вмешиваются в трафик пользователей, тайно устанавливая корневые сертификаты на компьютер. Так что этот вариант крайне опасен.
- Теоретически браузеры могли бы прекратить проверять сертификаты. Но на практике никто на такое не пойдёт, потому что это равноценно переходу на http. Сертификаты без контроля не имеют смысла. Например, по этой причине мы сознательно вырезали из нашего браузера флаг --ignore-certificate-errors, который поддерживается в проекте Chromium. Потому что это опасно.
- Ещё есть вариант отказаться от использования интернета для всех сценариев, где есть риск перехвата данных.
Вряд ли можно назвать какой-либо из этих вариантов приемлемым.
Описание текущего решения
Есть альтернативная инициатива — создать национальные удостоверяющие центры (НУЦ) и поддержать их корневые сертификаты в браузерах. НУЦ смогут выдавать сертификаты тем (и только тем!) сайтам, которые к ним обратятся. Наличие альтернативы позволит не допустить ситуации, при которой пользователи лишатся доступа к онлайн-сервисам.
Первый такой НУЦ уже появился — на базе Госуслуг. Сейчас он работает так:
- Юридическое лицо (владелец сайта) отправляет подписанную заявку на Госуслуги.
- Госуслуги проверяют принадлежность домена.
- В случае успеха помещают домен в публичный список, который доступен всем по адресу www.gosuslugi.ru/tls.
- НУЦ выписывает сертификат на сайт. Это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации. Дальше ключи можно использовать как обычные TLS-сертификаты. То есть всё работает согласно общепринятой открытой криптографии и по известным правилам.
Конечно же, это решение не заработало бы без поддержки браузеров. Мы признали неполный авторитет сертификатов НУЦ в Яндекс Браузере в версиях для Windows и Android.
Неполный авторитет — это значит, что сертификаты НУЦ будут признаваться только для тех доменов, которые помещены в публичный список на gosuslugi.ru/tls. Если посещаемого сайта нет в этом списке, то попытка применить новый сертификат приведёт к стандартной ошибке и не даст посетить сайт. И нет, нельзя выпустить сертификат по маске так, чтобы покрыть все домены второго уровня (например, все *.ru) — на стороне Браузера такое просто не заработает. Кроме того, все входящие к нам изменения этого списка будут проходить через контроль явных ошибок. Если очень грубо, то это первый шаг к Certificate Transparency, чтобы обеспечить аудируемость процедуры выдачи сертификатов.
Наши планы
Текущее решение, конечно же, требует развития. Основной способ завоевания доверия к центру сертификации — это открытость. И здесь мы планируем несколько вещей.
Прежде всего, хотим организовать рассылку уведомлений в Яндекс Вебмастере тем владельцам сайтов, для которых зафиксирован выпуск сертификатов.
Наша более глобальная инициатива — поддержать стандарт Certificate Transparency (CT) и поднять публичный лог, в который НУЦ будет записывать выпущенные сертификаты. Если посещаемого пользователем сайта не будет в этом логе, то браузер выдаст ошибку ERR_CERTIFICATE_TRANSPARENCY_REQUIRED и не даст его открыть.
Мы хотим, чтобы наш Браузер проверял сертификаты не по одному, а по нескольким независимым друг от друга публичным логам, поэтому призываем других участников рынка присоединиться к инициативе и поднять дополнительные логи по стандарту CT.
Публичные логи позволят владельцам сайтов в любой момент времени проверить, выпускались ли сертификаты для их доменов. Более того, мы надеемся на появление внешнего аудита, который будет мониторить логи на предмет расхождений. Для удобства внешнего аудита мы хотим запустить аналог инструмента developers.facebook.com/tools/ct.
Большая просьба: если вы знаете, как сделать лучше, — приходите, советуйте. Хотите покритиковать решения — критикуйте и предлагайте улучшения.
P. S. Пока оформлял этот пост, прилетела новость: центр сертификации DigiCert, обслуживающий около 50 тыс. российских сайтов, ограничил им выдачу сертификатов.
Комментарии (181)
SlimShaggy
11.03.2022 14:24+471. Национальный удостоверяющий центр выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.
Что помешает властям в какой-то момент внести в этот список gmail.com и устроить MITM?
alkoro
11.03.2022 14:29+9Срочно реквестируется плагин для FF/Chromium, который бы смотрел в цепочку сертификатов и проверял их на свой внутренний список, выдавал алерт, если в цепочке есть, например, искомый. В случае MITM на недозволенном сайте будет оповещение. Я искал, но не нашёл такого функционала.
rsashka
11.03.2022 14:30+5Что мешает тоже самое делать/сделать другим УЦ?
SlimShaggy
11.03.2022 14:58+26Репутационные риски. Для УЦ утрата доверия равна потере бизнеса.
rsashka
11.03.2022 15:14+21Ничего подобного. Сколько раз ловили за руку различные конторы, то с выпуском левых сертификатов, то с бекдорами как в железе, так и в ПО. Или это нормально, ведь у них "это другое"?
Уже давно никакое западное доверие не стоит и ломаного гроша, а сейчас со всеобщей раскачкой ненависти к России это перешло все разумные границы (например, разрешение призывов к физической расправе над русскими).
mitasamodel
11.03.2022 15:37+5Так об этом речь и идёт. Выбирайте те УЦ, где такая фигня, как в ссылках в сообщении ниже, не происходит.
Выбирайте то, где важна репутация и выполнение договора.
abufct
12.03.2022 19:32Не понял, как выбор мною УЦ влияет на это. Вот я выбираю, например, УЦ Thawte для своего сайта example.com, а злоумышленники берут для него сертификат в DarkMatter и устраивают MitM.
SlimShaggy
11.03.2022 15:39+26Сертификаты пойманных за руку контор отзывают, эти случаи не слишком влияют на систему доверия в Интернете в целом. Ну и вопрос доверия в значительной степени субъективен, лично у меня к государственному российскому УЦ доверия нет.
rsashka
11.03.2022 15:44+8У меня тоже нет доверия к российскому УЦ, но это не означает автоматически, что западным УЦ можно доверять. Им тоже нет доверия :-) "Верить, в наше время, нельзя никому ..."
ainu
12.03.2022 13:41+5А вывод какой? "Пусть добавляют в csv gmail.com, это не проблема, закроем глаза, они честные"?
Как вообще фейк про призывы физической расправы над всеми русскими как то связан с тем, что из Рунета делают Серверную Корею и Казахстан, убивая еще один столп приватности данных и свободы слова?
Типа, они делают нехорошие вещи (даже если это не было фейком, и трактовка была бы другой, не только про военных), давайте сделаем нам всем ещё хуже, так чтоли?
А если никак не связано, то зачем вообще впустую постить фейки, фрагменты фраз и что-либо вырванное из контекста?.
foxyrus
11.03.2022 18:02+28"разрешения призывов к физической расправе над русскими" не было, это выдумки пропаганды, вот оригинал и там важен в том числе контекст
Zifix
11.03.2022 18:51+6The social media company is also temporarily allowing some posts that
call for death to Russian President Vladimir Putin or Belarusian
President Alexander Lukashenko, according to internal emails to its
content moderators.А вот к высказываниям по отношению к американскому президенту, если США вдруг где-нибудь считают оккупантами, такие нормы тоже будут применяться?)
Greenback
11.03.2022 21:05-2Хм, похоже вы намёкаете на ущемление прав вышеозначенных безгрешных персон и некие двойные стандарты. Вы zza спраvедливость, что-ли?
foxyrus
11.03.2022 21:16+26Вы вообще видели как обстоят дела с критикой (и остальными видами недовольства) в США действующего(их) президента, не только в чатах, но и на ТВ и офлайн на улицах, какие вопросы задаю простые журналисты?
Zifix
11.03.2022 22:21-5Между критикой и "призывами к убийству президента" есть некоторая разница, вы не находите?
Насколько я знаю, в США это запрещено, и карается реальными сроками.В 2015 году Брэндон Корреа из Нью-Йорка арестован за твиттер-угрозы в адрес президента и губернатора штата. Его фразу «готовься умереть, Обама» суд посчитал достаточным основанием для 18 месяцев заключения
foxyrus
11.03.2022 22:28+9Именно, конкретные\целевые угрозы (с указанием персоны, конкретного места и тп) караются.
https://twitter.com/nickclegg/status/1502349805221126144?s=20&t=IKmM4X_82JxU1V40JyoMoA
foxyrus
11.03.2022 22:39+5Очень интересная конечно статья у КП, ни одной ссылки, вот что нашел, например, у КП:
"В 2015 году Брэндон Корреа из Нью-Йорка арестован за твиттер-угрозы в адрес президента и губернатора штата. Его фразу «готовься умереть, Обама» суд посчитал достаточным основанием для 18 месяцев заключения"
а вот оригинал:
"В июне 2014 года Брэндон Корреа из Рочестера опубликовал в социальных сетях угрозы в адрес президента Барака Обамы. Он разместил в Твиттере сообщение, адресованное президенту, в котором говорилось: «Я (так в оригинале) иду смотреть, как ты умрешь». После угроз Корреа был отпущен, и ему было приказано не вступать в контакт с президентом. В августе 2014 года Корреа опубликовал еще одну онлайн-угрозу, которая гласила: «Приготовьтесь умереть, Барак Обама». Корреа признал себя виновным 27 октября "
Zifix
11.03.2022 22:51-1Персона тут указана (как и в случае с Путиным). Место не указано, способ убийства не указан. Я всё ещё вижу двойные стандарты.
Можете объяснить, в чем разница? Да, его посадили только со второго раза, но ведь и в Инсте можно хоть 100 призывов запостить с любым интервалом, и даже предупреждения не получишь.
splix
11.03.2022 22:56Предупреждение не обязательно предшествует посадки. Это вообще не связанные вещи. Вы же понимаете что в Российской Полиции и Американской Мете работают разные люди и юридически они не связаны?
Полиция может посадить и без предупреждения от них, не такого закона который требует чтобы вначале соц.сеть предупредила.
foxyrus
11.03.2022 22:58+2Я не знаком с законами США так досконально.
В Мете говорят, что теперь можно писать "Чтоб ты сдох *** (президент)", например. А "я приду", "пристрелю", "буду *** (что-то) делать, чтобы ты умер", как и раньше нельзя.
И вообще там появился официальный ответ от Меты, а не журналистский кликбейт.
Zifix
11.03.2022 23:05-1Ну "приготовьтесь умереть" тоже не обозначает действие явно. Ладно, я тоже не знаком с законами США, спорить не буду.
Есть ощущение, что Мета включила заднюю, и говорит, что не так поняли, и вообще, новая политика будет только на Украине, а изначально список стран был длинным, вряд ли переврали настолько сильно.
В любом случае, такие призывы по отношению к России были запрещены во всех странах, по отношению к США и останутся запрещены, и ситуация получилась некрасивая, даже вне контекста законодательства США, а в контексте политики самой Мета.
foxyrus
11.03.2022 23:14+3Не похоже, первая новость была не из Меты, а из слива внутренней доки (которую не показали), журналисты написали кликбейтную статью и понеслась. Но даже там была отдельная строчка про "недопустим призыва к насилию российский граждан".
А в итоге, все немного по-другому.
Zifix
11.03.2022 23:22-2Погодите, а почему вы решили, что внутренней доки не было в том виде, в котором о ней рассказали? Всё-таки написали об этом серьезные издания, а не кликбейтные таблоиды.
А уже потом, когда началась серьезная негативная реакция, в том числе на Западе, перспектива бана у нас, то уже на официальном уровне попытались отыграть назад, но не очень успешно.
Понятно, что слив к делу не пришьешь, и при желании сейчас на официальном уровне можно опровергнуть даже существование самой доки. Но это мои домыслы, нельзя сказать доподлинно, что там было на самом деле.
foxyrus
11.03.2022 23:52+2Заголовок был кликбейтный и большинство далее не читали, а потом наши уже додумали и растиражировали:
Компания Meta разрешила интернет-пользователям призывать к насилию в отношении россиян
Meta сняла ограничения на призывы к насилию против русских
Почему "Фейсбук" (Meta) решил, что русских "нужно" убивать
Facebook выписал «лицензию на убийство» русских
Meta признала снятие запрета на призывы к расправам над русскими
А потом уже подключились "депутаты".
Но повторюсь, в теле первоначальной новости было:
foxyrus
11.03.2022 23:54+1Мета к моменту слива уже была заблокирована, переобуваться Мете смысла не было. Первый слив, никак не противоречит последующей официальной позиции.
Zifix
12.03.2022 00:00-3Блок был только на ФБ, теперь блочат Инсту. Противоречит как минимум список стран, для которых было сделано исключение. Был смысл переобуваться, чтобы поправить возможные репутационные потери на Западе.
foxyrus
12.03.2022 00:32+1Блочит Инсту РКН чтобы показать "кузькину мать", ранее Мета писала о модерации текстов в соц сети фейсбук, которая к тому момента уже была заблочена.
konst90
12.03.2022 09:44+3Correa was released and ordered to have no contact with the president
То есть товарищ поехал за нарушение предписания суда, а не просто за "угрозы". Есть у них такая практика - запрет разговаривать, запрет приближаться и тому подобное.
SShtole
12.03.2022 07:30+5Подумаешь! У нас тоже можно выйти на улицу с плакатом «Трамп — не мой президент»!
P.S. А ведь когда-то это был анекдот.
Wexter
11.03.2022 15:07+4Ну такой опыт уже был у некоторых
https://habr.com/ru/news/t/461203/
https://habr.com/ru/news/t/464527/
https://habr.com/ru/post/332672/
https://habr.com/ru/news/t/533982/
https://habr.com/ru/post/398161/rsashka
11.03.2022 15:34+5Хорошие примеры. Жаль только выборочные. Ведь если приводить в пример все конторы, которые так или иначе совершали неблаговидные поступки, влияющие на "репутацию", такие как бекдоры, слежка за пользователями (даже без MITM), то тут впереди планеты всей будут как раз Microsoft, Apple, Google, Facebook и прочие. Но кто же их блокировать станет?
mitasamodel
11.03.2022 15:42+6Всё смешалось: люди, кони… Пост и тред о том, что предлагается использовать браузер с сертификатом УЦ, к которому нет доверия. То есть, что по любому чиху туда может быть добавлен левый сертификат, что позволит производить MITM на Гос. уровне.
А вы пишете, как я понял, о том, что в Windows/Google/etc телеметрия собирается. Это, действительно, другое.rsashka
11.03.2022 15:53+8Нет, ничего не смешалось. Я пишу про то, что "Репутационные риски и утрата доверия..." давно перестали быть сдерживающими факторами для бизнеса. И это относится не только к УЦ и PKI, а к общей деловой среде.
Утрата доверия хоть в УЦ, хоть в разработке железа или ПО давно никого не волнует. Все понимают, что придет дядя с корочками и сделаешь так, как ему будет нужно. И это возможно как у нас, так и в Европе или США.
Поэтому говорить, что проблема с подменой сертификатов для слежки на гос.уровне возможна только у нас, это как минимум лицемерие, т.к. для условных Apple или Google даже подменять ничего не нужно.
nApoBo3
12.03.2022 08:39Нет, это именно другое.
Если вы продаете сосиски, это ваш основной бизнес и в раскрутку того, что ваши сосиски самые «лучшие» вы вложили миллионы. Но вас поймают за проезд на красный свет, это одно. А если вас поймают за сознательным добавлением «яда» в сосиски это другое.
УЦ торгуют доверием, это их продукт. Microsoft и другие рассчитывают на ваше доверие, это влияет на их продажи( не уверен, что значительно ), но доверие не является их продуктом.rsashka
12.03.2022 11:12Можно было бы продолжить ваш пример с торговлей сосисками и проездом на красный свет, например тем, что после это водитель прокомментировал данный случай, что чихал он на любые законы, хоть говно будет в сосиски добавлять, но вы все равно их будете жрать, потому что другого производителя сосисок нет. Жрите и не выёживайтесь насчет правил дорожного движения.
Но к сожалению, "любая аналогия ложна".
Да, вынуждены покупать продукцию Microsoft, потому что в свое время они задушили всех конкурентов DOS и сейчас они доминируют на определенных рынках и доверие к ним не является их GoodWill`ом.
Так и с любым УЦ. Можно как угодно клясться в честности, но ты не сделаешь УЦ и не откроешь бизнес без выполнения определенных правил. А они таковы, что любая корпорация вынуждена выполнять законы государства ... и переходим к предыдущему комментарию.
ToSHiC
12.03.2022 13:14Вот, есть пример и про доверие: https://ru.m.wikipedia.org/wiki/Dual_EC_DRBG
Этот алгоритм потом использовался в аппаратных OTP токенах от компании RSA, и был имплементировал в разных библиотеках, в том числе openssl.
silinio
11.03.2022 18:41+4Сейчас нет никакой гарантии что DigiCert CA не будет использоваться для MITM (немного по другому и другими людьми)
rsashka
11.03.2022 21:38+2
ironpeter Автор
11.03.2022 14:33+4Все появляющиеся изменения этого списка проходят через наш собственный контроль явных ошибок. Мы уверены, что появление gmail и подобных адресов в этом списке возможно только по ошибке, так что мы не пропустим такой измененный список к пользователям и начнем выяснять причины появления этого домена.
theRavel
11.03.2022 14:38+25То есть при угрозе MITM предлагается доверять компании Яндекс, которая бОльшую часть выручки получает в РФ?
ironpeter Автор
11.03.2022 14:47+10Поэтому мы и работаем над Certificate Transparency. Это позволит построить внешний аудит.
theRavel
11.03.2022 14:48+25Был такой мобильный провайдер, у которого посреди ночи могли "неожиданно отключиться" сервисы доставки СМС для определенных абонентов, у которых на СМС была завязана двухфакторная авторизация.
С встроенным MITM в браузер появляется риск небольших различий сертификатов для разных пользователей. Есть ли какая-то гарантия защиты от подобных технических сбоев в Яндекс браузере?
Вопрос риторический.
splav_asv
11.03.2022 15:07+8Вроде есть простой выход: пользоваться браузером без поддержки таких сертификатов везде кроме доменов из списка.
P.S. и раньше у браузера была техническая возможность скрытно встроить доверие к левому сертификату. при этом делая вид что всё хорошо. В этом контексте появление НУЦ ничего не меняет.
mihmig
11.03.2022 16:04+7Ба! А я всё думал - как власти смогут начать использовать свой корневой сертификат (по примеру Казахстана)!
Ведь Chrome/Mozilla ни за что не внесут его в свой базовый список сертификатов.
А оказывается всё намного проще - сразу браузер товарища майора.
- У меня сайт вашего ведомства не работает!
- Зайдите через "Яндекс браузер"
- Но ведь там используется недоверенный сертификат....
- Молодой человек! Вам сказали что делать, не задерживайте очередь!
vanxant
11.03.2022 16:44+7А какие вы варианты предлагаете, кроме смены глобуса? Если длинноухие УЦ не выдают этому ведомству норм серт?
Заходить по http?
bgBrother
11.03.2022 17:22+25Прекратить войну. Жаль, что кроме этого видят только «заходить по http» и «строить браузер для селективного MITM майором».
vikarti
11.03.2022 18:15+10Допустим войну завтра прекратили (кстати еще вопрос способа прекращения есть, но допустим что именно что вывели войска и разпризнали ЛНДР).
Где гарантия что фокус с отзывом сертификатов не будет повторен даже в этом случае?.. Ну там в следующий раз когда что-то не понравится. Причина может быть и менее существенной.
Раньше — было очевидно что регламенты работы CA таких вот фокусов — не допускают в принципы а если допускают — они перестают быть CA (хотя как выяснилось Let's Encrypt все же отзывал сертификаты контор под SDN но тут хоть основание в лице SDN есть хотя жертвам не легче). Оказалось что это совсем не очевидно для некоторых CA.
odin_v_pole
12.03.2022 01:29+7Допустим войну завтра прекратили... в следующий раз когда что-то не понравится
Ну между "войной" и просто "что-то не понравится" все же пропасть, не находите?
Да и я вобще не понимаю почему во всех статья кричат о том, что пропадание доверия? Сертификаты же все еще выдаются не кому попало, а только тем, кто является тем, кем представляется.
То что, у какого-то Васи отобрали паспорт, не значит, что всем выданым паспортам теперь не льзя доверять. Они все еще являются удостоверением личности остальных граждан.
Раньше — было очевидно что регламенты работы CA таких вот фокусов — не допускают в принципы а если допускают — они перестают быть CA
Так все остальные же вкурсе всвязи с каким событиями их отзывают, и поддерживают это. Условно говоря, если ко мне в дом начнут ломится некоторые нехорошие люди, и я их немножечко умертлю, то ни мой сосед (к которому они тоже ломились), ни другой сосед (который просто это видел), ни хозяин магазина (до которого они даже не добрались) не станут считать меня убийцей, преступником, боятся жить со мной рядом, звать меня в дом или продавать мне хлеб.
Ashmanov
12.03.2022 15:56Ну вообще раз у какого-то Васи отобрали паспорт не потому, что он не является Васей, а просто так, потому что - с точки зрения паспортистки - он дружит к с кем не надо, то и другим паспортам тоже как-то не очень верится.
Может быть, какому-то Пете дали паспорт не потому, что он в самом деле Петя, а потому что он дружит с кем надо?
bgBrother
12.03.2022 17:25+2Отобрали «паспорт» не потому, что «дружит с кем не надо», а из-за того, что нарушил международные соглашения. В РФ если ИИ ошибется и по фото определит, что на митинге были вы, а не похожий на вас человек, то можете получить метку «экстремист», после которой могут лишить гражданства («отобрать паспорт»), если оно получено не по праву рождения. При СССР оппозиционных политиков тоже лишали гражданства.
vanxant
12.03.2022 18:51+2И какие соглашения нарушил какой-нибудь частный банк или ООО "Рога и Копыта", воспользовавшаяся услугами Thawte? "Паспорт" у них отобрали именно из-за "дружбы с кем не надо", а именно с государством РФ.
Ashmanov
13.03.2022 16:09+1Отменять сертификат, подтверждающий аутентичность владельца, за "нарушение международных соглашений"?
Это и есть нарушение соглашения о выдаче сертификата.
Сертификат - про аутентичность, он НЕ подтверждает выполнение владельцем сертификата каких-то там "соглашений".
Тем более, что у большинства пострадавших его забрали просто так, за факт русскости, чохом.
А не за какие-то действия. Просто за национальность и государственную принадлежность, произвольно.
Ну и отобрать гражданство и тем более паспорт у гражданина РФ - в России по закону в принципе нельзя, насколько мне известно.
У получившего его с нарушением процедуры - можно.
Но при чём здесь этот пример? Что, получившие сертификаты, которые потом отобрали, когда-то получили их с нарушением процедуры?
И в СССР не было "оппозиционных политиков".
Диссиденты - были, они политиками не были.
И вот всё у тебя примерно так: путаница и нечёткое мышление.
express
11.03.2022 19:44+3Вообще из вариантов есть "не продолжать компрометировать список сертификатов доверенных доменов", если уж находятся пользователи, которые доверяют только иностранным УЦ. Так-то и на хабре было полно истерик, про то, что "власти РФ хотят устроить нам чебурнет". А вот оказалось что, конечно, власти, но зарубежные.
MRD000
12.03.2022 02:04+6Я помню когда ставили оборудование для блокировки сайтов, говорили, что исключительно на благо детей. Возможно, где-то это на благо пошло, но сейчас мы видим какие сайты закрывают, в основном.
up40k
12.03.2022 03:56+2Вы про ТСПУ (https://trends.rbc.ru/trends/industry/609a52329a79471fba0f0837 вроде не для детей)? Может, про 139-ФЗ (так по решению суда блокировки происходили и раньше, см. https://ru.wikisource.org/wiki/Федеральный_список_экстремистских_материалов)?
В качестве отступления
Мир меняется, угрозы меняются, риторика властей меняется, законы меняются, менталитет людей меняется. И всё это взаимосвязано и динамично.
Нет добра и зла, есть сиюминутные и долгосрочные выгоды, персональные и общественные (а ещё конфликты мировоззрений, пласт легаси и dependency hell сложившихся в прошлом общественных институтов).
И знаете что? Нам с этим жить.
svr_91
11.03.2022 17:02Вроде есть простой выход: пользоваться браузером без поддержки таких сертификатов везде кроме доменов из списка.
Что если пользование разными браузерами будет усложняться? Хотите вы зайти на какой-то сайт, а там авторизация только через яндекс например. В результате все равно придется сидеть на этом сайте через "доверенный" браузер
vikarti
12.03.2022 06:05+3Обязательная двухфакторка только через СМС — ЗЛО.
tmin10
12.03.2022 11:41И это зло у всех популярных банков и прочих компаний...
vikarti
12.03.2022 13:48У яндекса есть тот же яндекс ключ
(хотя вот надо попробовать отвязать телефон от аккаунта а то там процедура сброса начинается с "а может вы телефон помните", дальше смотреть надо)tmin10
12.03.2022 13:55+3У IT компаний с этим лучше финтеха, хотя тот же яндекс извернулся и запилил свой собственный протокол TOTP, со своей приложенькой, хотя остальных 20+ моих сервисов (гугл, мс и прочие) устраивал и RFC 6238. В итоге от двухфакторки яндекса отказался, просто посоставил большой пароль, т.к. не хочу ставить отдельное приложение для них.
Greenback
11.03.2022 21:16+2А что будет, если я зайду браузером Firefox на госсайт с русиш сертификатен? Я так понимаю, всё неудобство заключается в невозможности провалидировать этот сертификат, но в принципе сайтом можно будет пользоваться?
Если так, то мой выбор сводится к следующему:
Использовать я.бравзер, и надеяться что не будет госMITM на любом сайте
-
Использовать другой браузер и надеяться что госсайты рф настоящие
Так? Я не смыслю в криптографии
tchlgru
12.03.2022 19:33с большим шансом вы на него вообще попасть не сможете, ибо все банки юзают HSTS
Grommy
12.03.2022 19:34Кстати, в самом деле. Предположим, у меня два сертификата, новый российский и старый действующий от ЛетсЭнкрипт. Как мне их прописать, в Nginx - чтобы на один браузер откликался один сертификат, на другой - другой?!
Neikist
11.03.2022 16:00+9У них еще и освещение *вырезано цензурой* в Украине очень провластное. Доверия к яндексу ноль.
splav_asv
11.03.2022 17:27+2Освещение, увы, ограничено разрешенными источниками новостей.
"- И - боже вас сохрани - не читайте до обеда советских газет.
- Гм.. Да ведь других нет
- Вот никаких и не читайте"bgBrother
11.03.2022 17:40-2Пока что можно читать «советские» газеты реверсируя термины. Пока что работает. Как будет через некоторое время при активной войне против Украины — неизвестно — могут врать более хитро.
vikarti
11.03.2022 18:19В Яндекс.Новостях? А какое оно еще может быть с учетом что там там только СМИ могут быть и прописанных новых законов.
Или про Дзен речь тоже?splix
11.03.2022 21:55+2Ну если бы они не были ли бы так лояльны Путину то выключили бы новости совсем. "Ничего не произошло" же. Иначе они тупо врут.
Однако мы не видим никакой позиции (кроме лояльности). И даже видим и утечки из внутренней кухни последних дней которые не говорят ничего хорошего о мотивах компании.
P0figist
12.03.2022 22:32+1splix
13.03.2022 22:32Спасибо. Ожидаемое объяснение, конечно, но это самообман. Потому что это ответ про другое, не про свою позицию и не про попытку решить что-то. И звучит он как "лучше мы будем помогать убивать людей чем кто-то другой". Тем более что "кто-то другой" на самом деле и не факт что может случиться. Это все таки ИТ, а не траншеи рыть, за 15 минут замену не найти.
Еще нужно понимать что яндекс это не только новости, но и поиск, который теперь находит ничего, по крайней мере из правды. Это делает яндекс если не первым то как минимум вторым инструментом пропаганды. Не знаю как они отмоются теперь. Впрочем при любом исходе событий у яндекса уже нет будущего.
ComodoHacker
11.03.2022 16:09+15А завтра вас (российских производителей браузеров) законодательно обяжут доверять сертификатам, выпущенным организацией Х, для любых доменов (в т.ч. и не ru/рф), без требований независимого аудита, соответствия принятым стандартам и т.п. Грубо говоря, казахский сценарий.
Что будете делать?
vikarti
11.03.2022 18:22А это не только браузер решает.
На компьютере это еще и антивирус решает с собственными настройками (а браузер увидит только его сертификат, установленный куда надо). Так что нужно еще и российский антивирус который этому правилу следует. И чтоб стоял только российский.С андроидом вообщем можно нечто аналогичное сделать (AdGuard умеет, правда некоторые приложения при этом не работают)
ZetaTetra
11.03.2022 23:53+3Касперский это делает даже никого не уведомляя:
https://habr.com/ru/post/575030/
MitM от Касперского - Это настройка по умолчанию, а не дополнительная фича с "большой и красной кнопкой".
vikarti
12.03.2022 06:10-2У антивируса современного (который не только антивирус а и веб-фильтр и прочее) это разве не ожидаемая функция?
ZetaTetra
12.03.2022 13:41+2Нет.
Функция прослушки любого внешнего траффика, выполняемая с подменой сертификата, причём включённая по умолчанию - это не ожидаемая функция.
vikarti
11.03.2022 18:09+3Я же правильно понимаю что где то скачать исходники и собрать свой ЯндексБраузер (возможно без Алисы, переводчика и чего то еще но в том числе с этой вот логикой проверок, по аналогии с тем что есть chrome а есть chromium) — нельзя?
А значит как то независимо подтвердить что это работает именно как описано (а не так как приказали) можно только реверсингом кода либо — устроить свой MITM, подсунуть ЯндексБраузеру левый список с госуслуг(без, например, втб) и проверить реакцию на сертификат такой?rsashka
11.03.2022 18:19Был код под GPL, то можно было бы затребовать исходники, но не в данном случае :-(
vvsvic
11.03.2022 14:41+20Теперь каждому из нас предстоит сделать выбор:
смириться с мыслью, что "товарищ майор" может получить доступ к переписке в фейсбуке, угнав пароль на поддельном сайте.
допустить, что структуры недружественных государств смогут в любой момент заблоеировать доступ к ЛК банка или, так же, получить пароли на поддельном сайте.Thawte открыла ящик Пандоры, неправомерно отозвав сертификаты. А если они или еще кто-то по указу начнет выпускать поддельные?
Корневая система днс, кстати в США. Им проще подмену произвести.
mitasamodel
11.03.2022 15:45+11Thawte открыла ящик Пандоры, неправомерно отозвав сертификаты. А если они или еще кто-то по указу начнет выпускать поддельные?
В комментах к той статье разобрали — вполне правомерно. Прописано в договоре. Соблюдают санкционный режим.
Может, вы, конечно, санкции считаете «неправомерными» — тогда вам может казаться «неправомерным». Но это другой вопрос.
krylov_sn
11.03.2022 16:18+4я видимо невнимательно читал - в комментариях писали вроде , что не совсем правомерно. там подходит один из пунктов, но в расширенном толковании
Если дадите ссылку на коммент, буду благодарен
wlkr
12.03.2022 06:01Сноуден в своей книжке как раз про это писал, если я правильно помню. Про возможность направить выбранную жертву через DNS на поддельный сайт для установки эксплойта. Давно работает.
nApoBo3
12.03.2022 08:49+1Это работает только для не защищённых протоколов. Для https это не работает.
Tyrauriel
11.03.2022 15:03-71) Дико тормозная подделка под браузер. Тормозит систему с i5-7500 8ГБ.
Пользуемся на работе только под спецсайты. Даже IE11 работает лучше.
2) Что мешает использовать как корневой УЦ Минцифры?
3) Буду использовать под отечественные сайты с российской криптографией отдельную виртуалку.
up40k
11.03.2022 15:16+54. НУЦ выписывает сертификат на сайт. Это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации. Дальше ключи можно использовать как обычные TLS-сертификаты. То есть всё работает согласно общепринятой открытой криптографии и по известным правилам.
Кто генерирует ключ? А CSR? Не вижу ничего тут, поскольку не являюсь юрлицом. Если всё делает НУЦ, то это не PKI и говорить об общепринятости такого подхода - ну, такое.
Кроме того, все входящие к нам изменения этого списка будут проходить через контроль явных ошибок.
Там даже сейчас в списке CN есть некий gorev@vtb.ru, какой простор для ошибок породит такое костыльное решение в ближайшее время, пока не будут приняты и реализованы ваши предложения по CT - можно только гадать.
Короче, ситуация, когда сейчас, в спешке и под прессингом нужно делать то, что должно работать еще вчера. Грустно.
ironpeter Автор
11.03.2022 16:28+5Да CSR есть, он подписывается УКЭП юрлица. За имейл спасибо - первый баг, найденный из-за открытости системы.
vikarti
11.03.2022 18:27Если вы являетесь ИП и зашли как ИП — тоже ничего не увидите. Такая вот дискриминация.
Торопились? Не посчитали нужным? Есть какие то скрытые требования к получателю?
xi-tauw
11.03.2022 15:33+12Предостерегу тех, кто хочет установить Яндекс.Браузер. Разработчики уже больше года не могут устранить две уязвимости, которые я им передал. Так что, с моей точки зрения, установка Яндекс.Браузера равносильна добровольной установке пары бекдоров.
kukutz
11.03.2022 15:36Подскажите, плиз, номера тикетов или емейл, с которого вы писали?
xi-tauw
11.03.2022 15:42+1129 января 2021 BOUNTYREPORT-2750
13 февраля 2021 BOUNTYREPORT-2798Почта - мой ник yandex.ru
kukutz
11.03.2022 16:07+2Там была некоторая длинная история исправлений, откатов, повторных исправлений, обходов и исправлений обходов. Но по моим данным, со 2 марта в продакшне находится версия 22.1.5, которая полностью исправляет уязвимость в сервисе обновлений браузера. Столько времени ушло как на попытки исправить быстро, так и на переделку архитектуры этого компонента, чтобы полностью устранить проблему.
Можете, пожалуйста, посмотреть на 22.1.5 или более свежую версию? Приходите, если найдете новый обход, мы готовы новое вознаграждение в рамках Bug Bounty выплатить.
xi-tauw
11.03.2022 16:18+9С моей стороны это выглядело больше похоже на попытки впихнуть все больше и больше костылей, и сломать эксплоит, а не исправить уязвимость, но вам там виднее.
Да, я проверю в свободное время.
kavabangaungava
11.03.2022 15:40+1Что за уязвимости?
xi-tauw
11.03.2022 16:05+12Подробности будут либо когда все будет исправлено, либо когда будет очевидно, что ответа нет смысла ждать.
Rober
11.03.2022 15:54+4сертификаты НУЦ будут признаваться только для тех доменов, которые помещены в публичный список на gosuslugi.ru/tls
Не понимаю, как эта мера связана с надёжностью. Даже если забыть про возможность отдавать другой список определённым IP, остаётся вопрос стабильности. Что будет, если данный адрес окажется недоступен, а мне потребуется зайти на сайт с таким сертификатом? Как я пойму, произошла ли MitM или это проблемы со списком (списками)?
Есть альтернативная инициатива — создать национальные удостоверяющие центры (НУЦ) и поддержать их корневые сертификаты в браузерах.
Разве использование таких сертификатов не отгородит сайты, их использующие, от остального мира, где нет доверия к НУЦ? Удостоверяющих центров в мире предостаточно, чтобы добавлять какие-то новые, к которым доверие установлено на уровне отдельного ПО.
vikarti
11.03.2022 18:36+2Разве использование таких сертификатов не отгородит сайты, их использующие, от остального мира, где нет доверия к НУЦ?
Похоже что когда это делали — имели ввиду в первую очередь ввиду те сайты где ответом на этот вопрос вполне может быть "спасибо что сказали что у вас вообще есть доступ, заявка на доработку настроек файрволла создана" :)
Удостоверяющих центров в мире предостаточно, чтобы добавлять какие-то новые, к которым доверие установлено на уровне отдельного ПО.
Смотрим изначальную проблему с которой все началось. Thawte решил что могут отзывать что хотят даже не ссылаясь на требования какие то. Даже если требования были и законные в их юрисдикции — сайтам не легче, сейчас вот прицепили какой то резервный сертификат от (похоже) GlobalSign а если его отзовут? Ну на этот раз — официально скажут что ну вот такое требование было? А если решать "слегка" расширить санкции на все сайты в .ru или вообще сайты где текущая западная точка зрения — хоть как то оспаривается(да хоть хабр)?
Пусть уж лучше хоть такой костыль, существует и живет пока хоть в виртуалке (да и как то же проверить можно — CT та же или попытки поMITMить госуслуги, подменять файлик со списком и хоть убедится что работает именно так как описано в статье)
vvsvic
11.03.2022 18:55Удостоверяющих центров в мире предостаточно, чтобы добавлять какие-то новые, к которым доверие установлено на уровне отдельного ПО.
Банкиры раньше так же про карты МИР, НСПК и локальный процессинг говорили.
Постепенно и МИР во всем мире принимать будут и Российские УЦ на уровне ОС устанавливаться будут. Вероятно не при нашей жизни, но внуки возможно оценят.
Yura1975
11.03.2022 16:00У меня на AstraLinux установлен YB - скачал из ихнего repa. Начиная с 21 версии на госуслуги выйти не получается - сбрасывает соединение(и в таком, и в "безопасном" режиме). На все другие сайты все норм. Ставил 22 версию - да все без толку. Приходится на госуслуги через хромиум.
p.s. И поднадоело, что то и дело "вываливается" из Яндекс-аккаунта. GoogleХром свой аккаунт аккаунт "держит" крепко.
Stravnik
11.03.2022 16:05+5Спасибо, но Майор-In-The-Middle нам не надо.
wlkr
12.03.2022 05:56Выбор только в том, чей именно майор-in-the-middle, и доступен ли сервис вообще. Когда я захожу на ГосУслуги, я не вижу проблемы с ФСБ-in-the-middle, потому что ФСБ и так знает, что у меня там, но вижу проблему с CIA-in-the-middle. Когда я захожу в гуглопочту - наоборот.
ainu
11.03.2022 16:06+8Неполный авторитет — это значит, что сертификаты НУЦ будут признаваться только для тех доменов, которые помещены в публичный список на gosuslugi.ru/tls
Что будет, если завтра выйдет закон, согласно которому для безопасности граждан Российской Федерации программное обеспечение Российской Федерации обязано поддерживать полный авторитет национальных удостоверяющих центров?BeCase
11.03.2022 17:03+2Не пользуйтесь программным обеспечением Российской Федерации на сайтах, которые доступны без сертификатов национальных удостоверяющих центров. А для сайтов, которые будут недоступны из-за введения санкций, выбора практически не будет, если не считать 4-х вариантов, изложенных в этой статье, которые гораздо хуже предложения от Яндекса и Mail.ru.
vsb
11.03.2022 17:27-1Почему не будут доступны? Любой браузер позволяет зайти на сайт с недоверенным сертификатом. Просто пара лишних щелчков при каждой смене сертификата, не ахти какая проблема, как по-мне... Конечно если прям 100% сайтов в России станут пользоваться этим сервисом, то тут другой вопрос, но тот же letsencrypt вроде не трогают, поэтому я бы пока не паниковал, скорей всего этими сертификатами будет пользоваться малая доля сайтов.
Shaco
11.03.2022 18:21+3Вы правда не видите тут проблемы? В том, чтобы вырабатывать привычку игнорировать некорректные сертификаты на государственных сайтах, которые дают возможность, ну не знаю, выпускать цифровые подписи?
vsb
11.03.2022 19:05Из возможных вариантов для меня это было бы меньшим злом. Не обязательно вырабатывать привычку что-то игнорировать, никто не мешает вам в блокнот записать хеш сертификата УЦ и проверить его перед подтверждением исключения. Вообще я бы не отказался от функционала в браузере, позволяющего добавлять УЦ для определённых доменов, чтобы не подтверждать перевыпущенные сертификаты и сертификаты для под-доменов, но пока такого функционала нет, можно либо доверять яндекс-браузеру, либо себе. Я доверяю себе.
PS в Казахстане некоторые сайты давно пользуются сертификатами от государства, поэтому для меня эта ситуация это уже пройденный этап.
Shaco
11.03.2022 19:23Ну, "меньшее зло" у вас никто не отбирает. Если вы пользуетесь браузером, который не поддержит государственный УЦ, ваш способ с блокнотом будет работать, как работал.
А у меня, например, бабушка "на поддержке". И вариант поставить отдельный браузер "для госуслуг" мне видится значительно более безопасным для неё, чем предложить ей нажимать "игнорировать и продолжить". Поэтому лучше уж так, чем любые из прочих альтернатив.
vsb
11.03.2022 19:35Для бабушки - без вопросов, я про личное пользование квалифицированным пользователем имел в виду.
RTFM13
11.03.2022 21:10А кто мешает ПОРФ навтыкать сертификатов в сторонние браузеры как это делают антивирусы?
elobachev
11.03.2022 17:02Поясните пожалуйста, я видимо что то не совсем понимаю. Я полагал, что яндекс браузер, как проект, основанный на хромиум, пользуется системным списком доверенных сертификатов УЦ. Соответственно, я, добавляя сертификаты в этт список или выкидывая их оттуда могу управлять доверием. Верно ли это для яндекс браузера? Если да, то куда добавляется сертификат НУЦ?
ironpeter Автор
11.03.2022 17:37+5Яндекс Браузер пользуется системным списком доверенных сертификатов УЦ, но с осторожностью — у нас есть фича (https://habr.com/ru/company/yandex/blog/326796/), которая предупреждает, если сертификат сайта, на который вы заходите, подписан неизвестным нам, но установленным в систему корневым сертификатом.
Сертификат НУЦ мы в систему не устанавливаем, в частности, по причинам, описанным в посте — он приносится внутренними механизмами браузера в собственное хранилище, и используется с ограниченным доверием — только на сайтах из опубликованного (и верифицированного нами) списка.
spacediver
11.03.2022 18:20А какие другие сертификаты вы (как приложение Яндекс.Браузер) устанавливаете в систему?
ironpeter Автор
11.03.2022 18:26+5В систему не тащим из принципа (и сверху написаны резоны). Мы не хотим делать system-wide изменений. В локальном хранилище лежит один сертификат - текущего НУЦ. Имеет смысл этот список (сейчас из одного элемента) сделать видимым пользователю, да
fenidik
12.03.2022 15:31+1ну и сразу бы неплохо иметь галочку напротив - доверять/не доверять. Оставьте пользователям выбор самим решать.
Olevin84
11.03.2022 17:42яндекс браузер, как проект, основанный на хромиум, пользуется системным списком доверенных сертификатов УЦ
Возможен вариант, что сертификат НУЦ добавляется не в системное хранилище, а в локальное хранилище сертификатов (браузера). Этому локально хранилищу сам браузер доверяет (как и системному), хотя проверку цепочки доверия выполняет по другому алгоритму (через gosuslugi.ru/tls).
Virusmater
11.03.2022 17:50+14Не стыдно за яндекс новости?
darkAlert
12.03.2022 16:13Я внёс все прокремлевские СМИ в черный список, и добавил дождь, медузу и парочку других в список желаемых источников. И знаете что? А ничего не изменилось... Написал в поддержку - ответили что ну вот такой вот у них алгоритм работы
silinio
11.03.2022 18:35Certificate Transparency это хорошо! Планируется ли подобие Let's Encrypt?
> Мы признали неполный авторитет сертификатов НУЦ в Яндекс Браузере в версиях для Windows и Android.
В Linux версии браузера НУЦ сертификаты не работают?
yeezussniper
11.03.2022 18:47Подскажите, это значит, что при смене сертификата, Chrome/Firefox и другие иностранные браузеры при заходе с через эти браузеры будут выдавать ту же ошибку из-за недоверия?
Получается что поменял серт - проси клиентов пользоваться Яндексом для поддержки HTTPS?
throwaway_crt
11.03.2022 18:48+2если вы знаете, как сделать лучше, — приходите, советуйте
Зарегистрировался только ради этого.
Почему не настроить национальный аналог Let's Encrypt - автоматизированную выдачу сертификатов всем желающим - с использованием их опенсорсного сервера Boulder и протокола ACME?выписывают другие центры сертификации
Что в данном случае означает "Выписывают"?
Обычный процесс - это создание на стороне клиента приватного ключа и отправка запроса на подпись сертификата (CSR, Certificate signing request).
Это принципиальный момент - ключ создается владельцем и остается у владельца, что делает MITM невозможным. Сертификат подписывается доверенным корневым сертификатом, формируя цепочку доверия. Если СЦ выпускает и сертификат и ключ, это ломает всю систему PKI и делает ее уязвимой для MITM государством и, в какой-то момент, злоумышленниками.splav_asv
11.03.2022 19:02https://habr.com/ru/company/yandex/blog/655185/#comment_24155775 - вроде как CSR используется.
Про аналог Let's Encrypt - это решение немного другой задачи, но почему бы и нет, кстати говоря.
ironpeter Автор
11.03.2022 20:23+3Яндекс точно не хочет сам хостить УЦ, как участник процесса, обладающий браузером. Иметь несколько центров сертификации в принципе скорее хорошо, чем плохо, и мы готовы обсуждать с индустрией разнообразные решения.
Про "выписывание" имеется в виду создание на стороне клиента ключа, формирование на стороне клиента подписанного CSR и рассмотрение заявки на госуслугах. Клюс создается владельцем и остается у него, да.
mk2
12.03.2022 00:30Принципиальный момент — а какой для этого национального аналога предлагается корневой сертификат?
Если национальный, то всевозможные риски от государства РФ. Если иностранный, то всё тот же риск отзыва и вообще тогда можно прямо использовать Lets Encrypt.
ifap
11.03.2022 18:50Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.
А есть список доменов, где сертификат от нацУЦ не только выпущен, но и реально установлен? А то бегло-ленивый поиск находит лишь серты Sectigo на сайтах из списка.
vikarti
11.03.2022 22:13+1Например https://online-alpha.vtb.ru/ у меня показывается с сертификатом от Russian Trusted CA
ifap
11.03.2022 22:54Хм, у меня он просто по HTTPS отказывается открываться, хотя долежн быть алерт о недоверенном серте... А там случаем не ГОСТовские шифронаборы стоят? Тогда понятно почему не открывается.
up40k
12.03.2022 00:48Да вроде нет (если, конечно, мои локальные шифронаборы - это то, что нужно).
https://www.paste.org/flat/121493ifap
12.03.2022 01:28Хм... хм... огнелис, хромой - нет возможности установить защищенное соединение, продолжить по http? Онлайн-чекеры TLS вообще не видят такого хоста... Вот здесь только увидели https://audit.statdom.ru Интересно девки пляшут...
anzay911
12.03.2022 03:21Киберпанк когда-нибудь наступит. К тому времени хорошо бы чтобы корневые сертификаты были для каждого приложения своими. И чтобы была возможность импортировать их из ОС или других приложений как закладки.
vikarti
12.03.2022 05:59Так это, пиннинг в разных версиях давно можно.
Вот только для браузера это не реально — ему ж с куче мест смотреть контент.
wlkr
12.03.2022 05:49Без открытого кода, и его независимого аудита, говорить о доверии, transparency и безопасности как-то сложно, по-моему. Нынче сложно верить на слово.
Komrus
12.03.2022 11:38А отечественный сайт ЕРУЗ (единый реестр участников закупок - это часть сайта ГосЗакупок) уже через стандартную версию Яндекс.Браузера стал открываться?
Или по-прежнему какая-то спец.версия нужна?
kukutz
12.03.2022 21:33+1Должен открываться через стандартную, если установить рядом КриптоПро. Работает на Windows, macOS и Linux.
navion
12.03.2022 17:33А насколько корректно создан сертификат НУЦ с точки зрения защиты от злоупотреблений?
Создатели могли ограничить TLD у выпускаемых сертификатов только .ru и .рф? Помнится у LE было ограничение для .mil из-за чего Windows
98XP не работала с ним, но сейчас это не должно быть проблемой.Ещё у корневого сертификата длина пути равна четырём, хотя сами сертификаты выпускают с тремя уровнями (Root > Sub > Site). Зачем могли это сделать?
ickromwerk
12.03.2022 19:30Например, по этой причине мы сознательно вырезали из нашего браузера флаг ––ignore–certificate–errors, который поддерживается в проекте Chromium. Потому что это опасно.
Да, это опасно, для того чтобы это использовать необходимо запускать браузер через командную строку и дописать этот флаг вручную.
Можно подумать что яндекс пытается защитить нас от какого–то трояна, который уже установил нам в систему свой корневой сиртификат и сменил ярлык на запуск браузера с этим флагом.
Но что тогда мешает добавить всплывающую подсказку в браузере, что он запущен с небезопасным флагом? Нет, вместо этого мы полностью выпилим некоторый иногда полезный функционал браузера
densan
12.03.2022 19:33+3Руководство попросило рассмотреть возможность перехода с Google Chrome на Яндекс Браузер.
Начал сравнивать возможности в плане задания настроек средствами GPO.
В Google Chrome более 800 параметров которые можно задать средствами GPO + несколько десятков параметров для организации управляемого обновления (это когда ты можешь задать до какого билда или какой ветке Хром на ПК может обновиться).
В Яндекс Браузере менее 100 параметров которые можно задать средствами GPO. Управляемое обновление можно организовать только с помощью установки конкретной версии - на ПК придется доставлять полны дистрибутив этой версии. В Хроме ПК выкачивает диф-файл между нацеленной ему версией и установленной версией, что существенно экономит пропускную способность каналов, когда в организации тысячи мелких офисов.
Нет возможности группе ПК/пользователей или OU с ними задать что нужно установить такой-то плагин или в пинпаде вывести ярлык такого-то плагина ....Нет ни графика выпуска новых версий не смог найти ченжлога версий.... документация расчитана не на технического специалиста, а на домохозяйку....
Получается что Яндекс.Браузере для организаций совсем еще не готов для использования в организациях. А если попросит его использовать - придется управлять им руками и ногами саппорта.
Sergey-Aleksandrovich
12.03.2022 23:28-1После отзыва лицензий от мелкомягких это вас продолжит беспокоить?
Oxygen_ad
12.03.2022 19:34Какие гарантии в том что НУЦ не будет выдавать сертификаты на сайты мошейников? Все очень корумпировано, не будет ли проблемой, что сертификаты за небольшую плату будут получать сайты скамеры. Я волнуюсь больше не за Хабровчан, а за своих пожилых родственников, делаюших например покупки в интернет магазинах.
aesname
12.03.2022 19:35Теоретически браузеры могли бы прекратить проверять сертификаты. Но на практике никто на такое не пойдёт, потому что это равноценно переходу на http
Почему это равноценно переходу на http? Адрес в строке совпадает? Траффик зашифрован? Разве тут не оба ответа "да"? И разве для подавляющего большинства страниц в интернете этого не достаточно? Например, для конкретно вот этой вот страницы: что именно дает пользователю вся эта инфраструктура по созданию "правильных" сертификатов? Просто бизнес?
kukutz
12.03.2022 21:36+2Траффик зашифрован, вот только это может быть трафик к мошеннику, а не к настоящему сайту. Как именно подменить для вас сайт, используя роутер или провайдера, через которые вы подключаетесь к интернету, думаю, не стоит рассказывать?
alekseyjava
13.03.2022 19:10-3Какой смысл тщательно проверять сертификаты в Windows? Эта ОС ведь может обновиться в любой момент и "сливать" все данные американским спецслужбам.
При этом Яндекс.Браузер для Linux только в стадии Beta.
alekseyjava
14.03.2022 10:22-2Минусующие, есть аргументы?
Статья про фичу в Яндекс.Браузере, которая позволяет предотвратить ЦРУ-in-the-Middle при обращении на Госуслуги и в банки. Можете объяснить, зачем защищаться от ЦРУ в Яндекс.Браузере, если сам Windows - это большой бэкдор для ЦРУ?
NAI
Теперь все могут посмотреть полный перечень публичных доменов ВТБ, сбера и пр.
Картинка
Теперь искать торчащие наружу эластики, кубернейтесы и пр. стало немножечко проще =)
s4z
это работало и раньше: crt.sh
NAI
ого, а как это оно?
s4z
https://en.wikipedia.org/wiki/Certificate_Transparency
bgBrother
Certificate Transparency не поможет. Если логи будет отправлять только Яндекс.Браузер, то он же может для «нужного» домена прекратить их отправку. В таком случае Certificate Transparency не будет содержать сертификат для этого домена, хотя выпущен он был.
spacediver
Браузер же не отправляет логи выпущенных сертификатов, а смотрит в них?
bgBrother
В Certificate Transparency логи отправить сертификат может кто угодно, если захотел после того, как кто-то ему этот сертификат «показал». После слов
я наивно полагал, что Яндекс.Браузер будет не просто проверять, но и отправлять. Если не отправляет, то все надежды на отправку только на гос. CA, а значит о выпуске ими не узнаем, если тот не отправит в лог (увидим ошибку при попытке MITM в браузере и не увидим при попытке MITM через клиент другой службы без проверки CT). Если кроме этого браузер под давлением ещё и отключит проверку для нужного домена — привет успешный MITM.kukutz
Почему наивно? Мы так и пишем в посте:
bgBrother
Здесь сказано о гос./нац. центре, я полагал, что отправлять будет и сам браузер. В любом случае ответьте на вопрос — что мешает вам по указке диктатора отключить проверку CT для части пользователей или какого-то домена перед тем, как нац. центр без публикации в лог решит MITMить, выпустив сертификат на условный google.com? Правильно ли я понимаю, что ничего не мешает и как только на вас надавят это будет сделано?
kukutz
Отправлять будет и сам браузер.
То, что мы работаем не по указке, а по закону.
makapohmgn
В логе будут именно сертификаты или домены?
Как происходит процедура выпуска? Секретный ключ генерируется на стороне государства? Если так, то никто не мешает государству использовать этот секретный ключ для просмотра трафика https на всяких СОРМ.
Alexsey
Да, там есть интересные адреса
Valentine2020
Да это по сути раздолье для хакеров. Можно искать эти самые интересные адреса(включая всякие торчащие наружу сервера с данными и функционалом, которые наружу торчать не должны), и тыкаться в них в поисках уязвимостей. Вобщем, концепция интересная, но над вопросами безопасности стоит поработать)
BugM
Это уже очень давно доступно всем. CT логи доступны уже несколько лет как. Изучайте в свое удовольствие.
Внутренний домен Яндекса https://crt.sh/?q=yandex-team.ru
Тот же ВТБ https://crt.sh/?q=vtb24.ru