Как сайт Росреестра в этом году получил 0 баллов в Индексе надежности HTTPS и почему это не уникальный, но выдающийся результат.
В ходе исследований по проекту «Монитор госсайтов» мы постоянно сталкиваемся с ошибками в установке TLS-сертификатов на сайты госорганов. То сайт отдает агентам пользователей цепочку сертификатов в неверной последовательности, то неполную цепочку, вынуждая скачивать промежуточные сертификаты отдельно, то пихает в нее корневой сертификат, то выставляет в Интернет «внутреннюю нежность» типа сертификата Kubernetes Ingress Controller.
Хотя за подобные проявления хронического Culusis Manus мы и снижаем баллы в Индексе надежности HTTPS, на собственно надежности защищенного соединения это практически не сказывается, а неоправданное увеличение времени установки сессии и размера ServerHello остается на совести администраторов, страдающих от упомянутого заболевания
Но в ходе последнего на данный момент исследования сайтов государственных органов Российской Федерации мы столкнулись с фантастическим случаем: сайт Росреестра пытался убедить браузеры посетителей в защищенности соединения с ним сертификатом с серийным номером 0FA4F320D89D07BBE86F5C81DB829CB8, а те ни в какую ему не верили. Мы не сразу поняли, в чем дело, но стоило обратиться к сервису поиска по логам Certificate Transparency как все стало на свои места: тип этого сертификата – precertificate.
Precertificate – предварительный сертификат, выпуск которого может предшествовать выпуску «нормального» TLS-сертификата. Мозговыносящие подробности о том, что это, как и зачем, можно почерпнуть из IETF RFC 9162, а вкратце: это способ удостовериться, что сведения о «нормальном» сертификате действительно были внесены в CT-лог, на который он ссылается.
Проще говоря, предварительный сертификат – продукт «внутренней кухни» удостоверяющего центра и держателя CT-лога, и не предназначен для использования на сайтах. Агенты пользователя должны считать такой сертификат недействительным, а соединение с соответствующим сайтом – незащищенным, что и происходит при заходе на сайт Росреестра.
В Росреестре RFC тоже не читали, процедуру заказа сертификата освоить не смогли, а может просто очень спешили и воткнули к себе на сайт первое, что хотя бы отдаленно напоминало «нормальный» сертификат. Впрочем, другого воткнуть они и не могли, поскольку, согласно все тому же сервису, «нормальный» сертификат на основе упомянутого предварительного УЦ DigiCert так и не был выдан.
Почему – неизвестно; я не поленился связаться с УЦ и все, что мне там смогли сообщить, это: I checked for the domain and we do not have a certificate for that domain (я проверил по доменному имени и мы не выдавали сертификат для него – перевод автора).
Как я вижу ситуацию: некто в Росреестре решил выпендриться и заказать EV-сертификат, народную СКВ на него потратил, а дальше что-то пошло не так: то ли руки растут из нетрадиционного места, то ли очень спешил отчитаться начальству о небывалых успехах на ниве инфобеза… А начальство спрашивает, почему сайт не работает, а Казначейство интересуется, куда ушла бюджетная валюта, а на дворе уже 2022 и DigiCert пишет: We have suspended issuing out certificates for Russia due to the ongoing conflict.
В прокуратуру маякнули, пока от нее реакции нет. Может еще потребуется разъяснять прокурорским про RFC, Certificate Transparence и разные необычные части тела, откуда у отдельных людей способны расти руки.
Комментарии (19)
achekalin
09.06.2022 18:31+10Росреестр годами капчу-то починить не может, а Вы - HTTPS!
Одно играет "за" них - юзеры готовы и сертам поверить, и чуть не по 100 раз страницу обновить, чтобы капча ожила, и даже особо не жалуются, потому что - надо-то юзерам, а не Росреестру!
sandersru
09.06.2022 18:51+4Вы уж извините, но что прочитал я: до фразы "В Росреестре RFC тоже не читали" идёт структурированная техническая информация, которая очень хорошо отражает суть...
а дальше начались - домыслы.
Можно было например написать, что леший сглазил работника отвечавшего за сертификат. Ну или что инопланетяне похитили. Ну или в Сибирь сослали лес валить, получилось бы примерно то же, главное хорошо вентилятор раскрутить...
ifap Автор
09.06.2022 19:01+13а дальше начались - домыслы.
А дальше начались домыслы, предваряемые фразой "как я вижу ситуцию".
EnterSandman
09.06.2022 22:09+11Это то министерство что имеет два сайта и не может определиться на каком из них оказывает услуги? Это то министерство, которое продаёт доступ к базе пакетом за денежку, а в мфц за свои услуги требует пошлину, при этом регулярно просит дотаций? Это то, которое фактически является базой размерами скорее всего меньше вконтакте образца 2008 года, но при этом гененирует выписку сутки?
ifap Автор
09.06.2022 22:11+2А что за история с двумя
соснамисайтами?Xokare228
10.06.2022 18:46+1Часть сервисов на домене rosreestr.ru, другая часть на rosreestr.gov.ru, но это не всё, есть ещё kadastr.ru который не совсем Росреестр, но их подведомственное учереждение. А про то как отвратительно (не)работают их сервисы, начиная с API ФИР, которое как бы есть, но которого вообще-то нет, и заканчивая ПКК напару с ФГИС ЕГРН я могу рассказывать часами
FlashHaos
10.06.2022 16:50Помнится в 2018 году из уст в уста передавалась история о том, как в Росреестре решили поднять Ceph и перевести туда критичные данные. А кластер возьми и развались. И копии не было, разве что бумажные, а данные пришлось пересоздавать, что было процессом очень длительным.
За историю не ручаюсь, но слышал ее из нескольких источников в индустрии.
Andrey7070
Это ладно сертификат, но у них вообще ни один сервис нормально не работает.
Там все профнепригодны, это давно уже известно.
nochkin
Вот они и решили закрыть доступ таким невалидным сертификатом.
Я знаю, что проще закрыть сайт, но при закрытом сайте очень сложно выбивать финансирование на этот самый сайт.
Deterok
Да даже если туда попадет случайно специалист поинимающий толк, и ему даже выдялят норм зарплату, он быстро сточится об колег и бюрократию...
CosmicRave
Адски плюсую!!!11
Уже более 10 лет каждое обращение к их порталам заставляет вопрошать "Ну как так-то!? ЗАШТО!?"