Процесс обилечивания российских сайтов суверенными TLS-сертификатами идет в лучших традициях плановой экономики: бодрые рапорты с дутыми цифрами.

В предыдущей статье мы разбирались, как в ответ на отзыв УЦ Thawte и Let's Encrypt TLS-сертификатов у сайтов нескольких российских госорганов и организаций, неустановленными лицами с использованием служебного положения и в отсутствии правовых оснований то ли во второй, то ли в третий раз (они сами запутались во вранье) был якобы создан «национальный удостоверяющий центр» (НУЦ), который не следует путать с реально и легально существующим АО «Национальный удостоверяющий центр».

С тех пор ничего не изменилось: Минцифры все так же не располагает необходимыми для учреждения подобного УЦ полномочиями, аккредитация УЦ подведомственного министерству НИИ «Восход» – все так же прекращена, кто выпустил от лица Минцифры т.н. «корневой сертификат удостоверяющего центра» Russian Trusted Root CA и на каком правовом основании – все так же неизвестно и никто от имени государства не потрудился этого объяснить.

Поэтому, спустя полтора года после появления на портале «Госуслуги» рекламы «национального удостоверяющего центра», мы можем обсуждать лишь суперлатив лжи статистические данные. В опубликованном (5 октября файл внезапно стал недоступным, но Интернет все помнит) на портале списке доменов, в отношении которых выпущены сертификаты безопасности, 4883 записи, что возвращает нас к популяризированному Марком Твеном афоризму про ложь, наглую ложь и статистику.

Занимательная статистика


К середине мая 2022 года (за 2,5 месяца с начала работы НУЦ) суверенными TLS-сертификатами было якобы обилечено порядка 4700 доменов, а спустя 4 месяца, к середине сентября – еще около 200. По некоторым данным, к концу мая сертификаты стали выписываться с занесением в логи Certificate Transparency и это, разумеется, чистое совпадение, что официальная статистика вдруг резко сдулась.

Тем не менее, в ходе исследований, проводимых в рамках проекта «Монитор госсайтов», мы все чаще натыкаемся на «суверенные» TLS-сертификаты, так что может сложиться (спойлер: обманчивое) впечатление об успехах импортозамещения в сертификатостроительстве. Так, если в прошлом году сертификаты НУЦ использовались на 4 сайтах высших коллегиальных органов исполнительной и законодательной власти субъектов федерации, то в этом их стало уже 8 (очередной доклад «Информационная безопасность сайтов государственных органов субъектов федерации» выйдет на следующей неделе). На федеральном уровне сертификатам НУЦ в этом году отдали предпочтение 9 госсайтов, тогда как год назад таковых вовсе не было.

Однако, список доменов, в отношении которых выпущены сертификаты безопасности, в 4883 строки стоит на месте уже больше года, а растут лишь CT-логи. Согласно им, в 2022 году было выдано 3096 суверенных сертификатов (следует ли эту цифру добавить к 4883 или вычесть из нее – непонятно), а в этом году – 3610 (на 4 октября).

К сожалению, автоматизировать загрузку данных из CT-логов, их разбор и декодирование оказалось непосильной для меня задачей, поэтому дальнейшему анализу подверглись лишь данные с портала госуслуг – из списка 4883 доменов, в отношении которых выпущены сертификаты безопасности.

Из этого списка доменных имен 2-6 уровней мы можем отобрать уникальные доменные имена 2-3 уровня, т.е. привести бесчисленные apimajorcheck.sberstore.sberbank.ru, lyncdiscover.sberbank.ru, ift.web.encashment.sberbank.ru и *.encashment.sberbank.ru к просто sberbank.ru Благодаря этой нехитрой операции выяснится, что лишь 1235 (25%) доменных имен 2-3 уровня в списке уникальны.

На первом месте в топ-10 уникальных доменов 2-3 уровня (290) у нас, как вы уже могли догадаться, оказывается sberbank.ru, на втором (210) – vtb.ru, на третьем… снова sberbank.ru sber.ru (118), на пятом – он же sbrf.ru (99), и на седьмом, и на десятом… Проще сказать, что 95 доменных имен из списка содержат подстроку «sber», а еще 10 – «сбер», и это не считая всяких sbcc.ru, sbfc.ru, sbspasibo.ru и прочих сберабырвалг.рф

Итого, более 870 (18%) доменов в списке – домены, поддомены, доменчики и доменятки одного и того же «Сбербанка». У ВТБ результат поскромнее – порядка 300 (6%) доменов, но идею, полагаю, вы уловили: 4883 домена в списке – это не 4883 уникальных домена второго-третьего уровня и тем более не 4883 уникальных получателя сертификата (тенденция, обнаружившая себя буквально с первых дней активности НУЦ).

Более того, возьмем для примера сертификат с серийным номером 0187287694A1189A9B89D9AE8B84, который мы можем найти, например, на хосте privet-draft.sberbank.ru, заглянем к нему в поле subjectAltName (SAN) и обнаружим там список из 51 (прописью: пятидесяти одного) уникального хоста, многие (не все, но многие) из которых встречаются в списке доменов, в отношении которых выпущены сертификаты безопасности. То есть, 4883 – это и не количество выданных сертификатов, а количество хостов, покрываемых выданными сертификатами; количество же самих выданных сертификатов остается неизвестно.

Проверить, действительно ли сертификат был выдан, нет никакой возможности, даже с помощью данных из CT-лога, поскольку как бы безоговорочно мы ни верили его администратору, данные в этот лог поступают из неизвестного источника, степень доверия к которому не определена. Впрочем, из этого правила есть одно исключение: если только не утверждается, что сертификат был выдан для несуществующего доменного имени, и подобное утверждение в списке встречается минимум однажды в отношении домена www.tavrich.ru.ru

Дело в том, что домен ru.ru (на момент публикации списка) не был делегирован и у меня большие сомнения, что поддомен tavrich.ru.ru существовал, особенно с учетом наличия в списке доменов, в отношении которых выпущены сертификаты безопасности, реально существующего домена tavrich.ru.

Этот факт приводит нас к двум гипотезам:
  • на самом деле, на портале госуслуг опубликован список доменов, для которых запросили, а не выдали сертификаты (очевидно, что такой список будет внушительнее);
  • сертификаты выдавались без проверки существования и функционирования домена – лишь бы попросили; следовательно, проверка полномочий запросившего сертификат лица тоже не проводилась.

В пользу второй гипотезы говорит факт выдачи сертификата НУЦ, призванного «обеспечивать устойчивость функционирования и безопасного взаимодействия устройств в российском сегменте Интернета» опять же «Сбербанку» для доменных имен intercomp.kz и mzdorovie.com На этом фоне выдача сертификата все тому же «Сбербанку» для доменного имени сберправо.рус которое, строго говоря, не то что не в российском сегменте, а вообще не в Интернете в общепринятом значении этого слова, не стоит упоминания.

Проведем еще порцию издевательств операций над имеющимся списком доменов, откусив от них *. в начале и отобрав лишь уникальные строки, которых оказалось 3999, посмотрим, сколько хостов сегодня при обращении к ним по HTTPS отвечают сертификатом от НУЦ, а не просто получили его в качестве сувенира и повесили в рамке в красном углу.

Результат был предсказуем, но одно дело догадки, другое – факты: ответ был получен лишь от 2897 хостов, которые передали в составе ServerHello 1515 уникальных TLS-сертификатов, из которых 452 хоста предложили клиенту защитить соединение суверенным сертификатом, из которых лишь 206 оказались уникальными.

Итак, снова статистика, но в этот раз – проверяемая: лишь 82% из 4883 записей соответствуют уникальным доменам, лишь 72% из них ответили на попытку соединения по HTTPS, ответ лишь 52% из них содержал уникальный TLS-сертификат, а 30% – суверенный сертификат, и лишь 46% из них – уникальный суверенный сертификат. То есть из 4883 доменов сегодня лишь 4% отвечают уникальным суверенным сертификатом; примерно столько же исследованных хостов приветствовали посетителей другими самопальными сертификатами, например SberCA Test Ext, или сертификатом Kubernetes Ingress Controller Fake Certificate, который вообще не должен торчать в Интернет, но торчит, например, на сайте «Spectrum бюро – Безопасное (му-ха-ха! – прим. автора) хранение кредитных историй».
Дополнительные факторы, которые могли повлиять на объективность полученных данных
  1. Необнаружение существующего хоста. Например, для сертификата, запрошенного для хоста *.ifap.ru мы исследовали хост ifap.ru, тогда как сертификат мог использоваться на хосте sovereign.ifap.ru, который мы никак не могли обнаружить (во всяком случае без существенного усложнения поисков).
  2. Временная недоступность хоста. Например, отсутствие ответа от хоста в течение 10 секунд рассматривалось как отсутствие хоста, хотя время отклика могло быть больше, либо хост был недоступен лишь временно.
  3. «Узкий срез» исследования. Например, если запрошенный год назад суверенный сертификат не используется сегодня на test.ifap.ru это не означает, что другой суверенный сертификат не используется сегодня на www.ifap.ru, хотя год назад он не запрашивался для этого домена.


Резюме


Исходя из данных Технического центра Интернета, якобы выданные в 2022 году суверенные сертификаты реально используются сегодня в 4% случаев, то есть на 0,0037% от всех делегированных на данный момент доменов в зонах .RU и.РФ – чуть менее, чем нигде.

Для стороннего наблюдателя не существует возможности проверить, действительно ли за первые полгода работы НУЦ были выданы (или хотя бы запрошены) суверенные сертификаты для 4883 доменов. Однако мы знаем, по крайней мере, один несуществующий домен, сертификат для которого якобы был выдан. Этот факт приводит нас к вопросу: проверяется ли существование доменов, для которых запрашивается суверенный сертификат, и удостоверяется ли НУЦ в наличии права администрирования соответствующего доменного имени у запрашивающего сертификат лица?

Мы также можем определенно сказать, что около четверти якобы выданных сертификатов приходятся на домены и поддомены, администрируемые двумя банковскими группами – «Сбербанком» и ВТБ.

И наконец, сторонний наблюдатель вслед за нами может проверить, сколько доменов из прошлогоднего списка здороваются сегодня сертификатом от НУЦ при обращении к ним по HTTPS. Таковых оказывается лишь 9%, при этом уникальных сертификатов и вовсе – 4%.

Здесь необходимо напомнить, что в наше исследование не попали 6706 записей о выдаче сертификатов из публичного CT-лога, что, несомненно изменило бы итоговую картину, но вряд ли изменило бы количество нулей после запятой в цифре, обозначающей процент доменов с сертификатом от НУЦ по отношению ко всем делегированным доменам в российских ccTLD, который, напомню, составляет 0,0037%.

Как и было сказано: Минцифрова гора уродила национальную удостоверяющую суверенную мышь.

Комментарии (63)


  1. Galperin_Mark
    04.10.2023 15:09
    +1

    Поправьте меня если ошибаюсь. Без сертификатов работают сайты:
    http://kremlin.ru/ - Президент
    http://government.ru/ - Правительство
    http://www.scrf.gov.ru/ - Совет Безопасности
    http://www.council.gov.ru/ - Совет Федерации
    http://duma.gov.ru/ - Дума
    http://www.vsrf.ru/ - Верховный суд

    Тут более широкий перечень и многие - без сертификатов.


    1. ifap Автор
      04.10.2023 15:09
      +2

      Сайт Верховного суда с сертификатом, только принудительного HTTPS у них нет, а остальные да, без, хотя на некоторых поддоменах сертификаты используются.


  1. SergeyMax
    04.10.2023 15:09
    +2

    Не вижу серта ингресса на сайте кредитных историй, уже поправили?


    1. ifap Автор
      04.10.2023 15:09

      Второй серт, до сих пор там https://www.ssllabs.com/ssltest/analyze.html?d=cbch.ru


  1. Shpankov
    04.10.2023 15:09
    -7

    в лучших традициях плановой экономики: бодрые рапорты с дутыми цифрами.

    Первый раз вижу кликбейтный подзаголовок. Браво.


  1. Heggi
    04.10.2023 15:09
    +4

    ЕМНИП санкции против банков не привели к отзыву сертификатов, а лишь к проблемам с их продлением. Тот же сбер использовал старые сертификаты пока они не сдохли по сроку действия, а на некоторых сберовских сайтах до сих пор применяются зарубежные сертификаты (уж не знаю как они их получили).
    Так что сертификат от НУЦ - это всего лишь запасной вариант, чтобы не упражняться с самоподписанными сертификатами. Т.е. контора, попав под санкции, делает себе сертификат от НУЦ и ждет пока не сдохнет нормальный. Иного смысла получать сувенирный сертификат нет.


    1. ifap Автор
      04.10.2023 15:09
      +2

      П Вам таки И ;) Thawte и LE именно что отозвали сертификаты, т.е. действовашие сертификаты стали помечаться как отозванные, я даже негодовал по этому поводу. Sectigo пошел еще дальше, отказавшись работать с российскими резидентами вообще. А вот Globalsign продолжает выдавать серты даже подсканкционным лицам.

      PS: и сертификатные санкции не только против банков были, например, LE отозвал сертификат у mil.ru


      1. Heggi
        04.10.2023 15:09

        Вот интересно, раз Globalsign продолжает выдавать сертификаты даже подсканкционным лицам, что мешает всем этим самым лицам получить нормальные сертификаты?


        1. ifap Автор
          04.10.2023 15:09
          +3

          Никто не мешает, они и получают, и используют. Тот же Сбер, пугающий на главном домене нечеловеческим оскалом суверенного сертификата, в online.sberbank.ru использует нормальный сертификат. И небезосновательно, я бы, например, закрыл там все счета в день, когда для доступа в онлайн-банк потребовалось установить самоподписанный серт, сгенерированный неизвестно кем.


          1. PowerMetall
            04.10.2023 15:09
            +1

            я бы, например, закрыл там все счета в день, когда для доступа в онлайн-банк потребовалось установить самоподписанный серт, сгенерированный неизвестно кем.


            Подписываюсь под каждым словом

            Оставил на сбере в районе ста рублей сумму, и то только потому что банкомате мельче не было, а чтоб перевести через СБП в другой банк - его надо подключить, а чтоб подключить - надо устанавливать сраное приложение, а просто с браузера - да пшёл бы я нахер

            P. S. кстати, обратили внимание, что сбер.ру стал сбербанк.ком? ))


            1. ifap Автор
              04.10.2023 15:09
              +2

              Неа, я только на online.sberbank.ru захожу ;)


              1. PowerMetall
                04.10.2023 15:09

                Но ведь...


                1. ifap Автор
                  04.10.2023 15:09

                  Хм, даже не знал, что так можно - у меня браузер в HTTPS-only режиме. Нажмите на "сертификаты установлены" ;)


                  1. PowerMetall
                    04.10.2023 15:09

                    Да, принудительно в https режиме - заходит.
                    Но тогда другой вопрос - почему у крупнейшего банка России - не настроен на пограничном вебсервере принудительный редирект на https ))


                    1. ifap Автор
                      04.10.2023 15:09

                      Позволю себе самоцитирование про то, что (было) не настроено у крупнейших банков России еще в прошлом году. Не настроенный принудительный HTTPS - цветочки по сравнению с остальными проблемами сайта Сбера, которые кстати были во многом исправлены - недавно заметил. Тут еще, полагаю, накладывается "продразверстка" с суверенным сертификатом, который Сбер заставляют пихать всюду, а он не хочет, понимая чем это чревато. В итоге имеем ни туда, ни сюда, хотя еще в прошлом году грозились полностью перейти на эти самоподписанные грамоты им. Фильки.


                    1. BugM
                      04.10.2023 15:09

                      Повышение конверсии в установку сертификатов. Там кнопка "у меня все установлено" редиректит на обычный https. С обычным доверенным везде сертификатом.

                      В общем обычный лендинг повышающий конверсию. Можно не обращать внимания.


          1. vibornoff
            04.10.2023 15:09
            +4

            Я давно слежу за воем и заламыванием рук на счет сувенирного сертификата, сделал даже отдельный профиль в ФФ, где в хранилище оный сертификат установлен.

            Только объясните мне дураку, а то всё в толк никак не возьму, чем сувенирный сертификат принципиально отличается от сертификата Thawte / LE, особенно в свете того, что последние даже успели зашквариться политически мотивированными телодвижениями, наверняка нарушающими их собственные же политики. Где гарантия, что завтра они не подпишут серты зелёного банка в интересах колл-центров?


            1. ifap Автор
              04.10.2023 15:09
              +1

              Объяснение прямо в первом абзаце: сертификат Thawte выдан DigiCert Inc, сертификат LE выдан ISRG, если что - известно кого брать за яйца и шельмовать на Хабре. Сертификат Russian Trusted - выпущен неизвестным лицом, за него никто не отвечает. Дальше см. свое же собственное допущение про серты для колл-центров.


              1. vibornoff
                04.10.2023 15:09
                +3

                Эээ?

                • каким образом вы собираетесь брать за яйца DigiCert / ISRG?

                • почему вы решили, что в плане практических последствий конкретно для Вас, за DigiCert / ISRG кто-то отвечает?

                • и чем, опять же, в плане практических последствий конкретно для Вас, шельмование DigiCert / ISRG отличается от шельмования неизвестного лица?

                Конкретно я оцениваю вероятность выпуска серта для "колл-центров" подписанного "сувенирным" как пренебрежимо малую по сравнению с вероятности выпуска такового, но подписанного любым другим из сотен CA, включенных в список доверенных в моём ФФ.


                1. ifap Автор
                  04.10.2023 15:09
                  +3

                  Вы с вопросом сперва определитесь: чем отличаются сертификаты Thawte/LE от сертификата некоего НУЦ, или как брать за яйца Thawte/LE/НУЦ? На первый вопрос я Вам дважды уже ответил, второй - к теме статьи не относится.


                  1. vibornoff
                    04.10.2023 15:09
                    +4

                    Вот я и пытаюсь разобраться, чем серты неких Thawte/LE отличаются от сертов некоего НУЦ, особенно в свете того, что Thawte/LE уже зашкварились, а НУЦ — ещё нет. И вся ваша аргументация, как по мне, — так несостоятельна, уж извините.

                    Более того, я утверждаю, что даже если Thawte/LE внезапно начнут выдавать серты "колл-центрам" направо и налево, им ничего за это не будет. Зацените цитату из Вашей статьи от 07.03.2022:

                    Отзыв TLS-сертификатов у российских подсанкционных банков – это конец «системы доверия» в Интернете в том виде, как мы ее знаем. Ящик Пандоры открыт.

                    И что дальше было?.. А ничего!

                    Просто поймите это и примите. Сертификаты Thawte/LE теперь не только не защищают Вас. Они определённо вредят вашей безопасности каждую секунду пока они установлены у Вас в системе.


                    1. Heggi
                      04.10.2023 15:09
                      +4

                      Thawte/LE отличаются от сертов некоего НУЦ тем что в браузере есть их корневые сертификаты, а от НУЦ нет. И изменения данной ситуации в ближайшее время не будет.


                      1. vibornoff
                        04.10.2023 15:09
                        +1

                        Вот разве что только этим и отличаются. Но дальше вы, возможно, не правы. Насколько знаю, в Я-Браузере серт НУЦ имеется.


                      1. Heggi
                        04.10.2023 15:09

                        Оно только в Я.Б и Атоме и есть, потому что разработчики из РФ. В остальных браузерах нет и, скорее всего, в ближайшее время не будет.


                      1. vibornoff
                        04.10.2023 15:09

                        Да тут согласен, но ведь это же политически мотивированное ограничение конкуренции УЦ со стороны производителей браузеров, как же так?... :-)


            1. vanxant
              04.10.2023 15:09

              сделал даже отдельный профиль в ФФ, где в хранилище оный сертификат установлен

              Я поставил отдельный яндекс браузер. Во-первых, это секурнее...


              1. freeExec
                04.10.2023 15:09
                +3

                Т.е. вообще запускаете код, могущий содержать что угодно. Так что в этом плане секурней иметь хранилище с сертификатом.


                1. vanxant
                  04.10.2023 15:09
                  +1

                  Неа, это в ФФ я запускаю код, "могущий содержать что угодно" (ну да, да, соберите ФФ со всеми плагинами, в т.ч. от циски и пр. и сравните чексумму).

                  А вот с яндекса, если тот начнёт шалить с гос. сайтами, вполне себе спросят.

                  На не-гос сайты я с труселей не хожу


                  1. SergeyMax
                    04.10.2023 15:09

                    А вот с яндекса, если тот начнёт шалить с гос. сайтами, вполне себе спросят

                    А зачем ему шалить с госсайтами?)


            1. event1
              04.10.2023 15:09

              Принципиально ни чем. Главный ресурс центра сертификации — это доверие. Вы доверяете НУЦ больше чем Thawte/LE. Коллега наоборот. На мой взгляд, у вас обоих есть основания.


              1. ifap Автор
                04.10.2023 15:09
                +1

                Все немного сложнее: Thawte, LE и иже с ними - известные (в смысле, мы знаем кто это) организации, у них известные сотрудники, известные регламенты, известная история активности и т.д. на основе чего мы можем доверять или не доверять им. Что такое НУЦ - неизвестно, поэтому к нему не может быть доверия или недоверия.


                1. Heggi
                  04.10.2023 15:09
                  +3

                  Тоже весьма спорно. У LE или Thawte многолетняя история и только поэтому мы им доверяем (условно), НУЦ же существует шиш да маленько. Пройдет n лет и если за НУЦ не будет замечено никаких крупных косяков, то в целом будет уже сугубо пофигу кто за ними стоит. Главное чтобы возложенные обязанности выполняли и дальше не косячили.


                  1. ifap Автор
                    04.10.2023 15:09
                    +2

                    Ну не знаю... выписка сертификата на несуществующий домен, ergo без проверки полномочий запросившего его лица - это крупный косяк или как?


                    1. Heggi
                      04.10.2023 15:09
                      +1

                      Надеюсь это всё устаканится. Этот НУЦ слепили на коленке побыстрее, чтобы было (не удивлюсь, если под капотом там какой-нибудь easy-rsa вообще, а сертификаты выпускаются ручками специально обученным студентом). А с нормативной базой наверняка как обычно с документацией - она пишется, когда проект уже сдан).

                      Крупный косяк - это когда сертификат на условный sber.ru внезапно попадет не в те руки. Или утекут приватные ключи от корневого сертификата. Вот тогда будет ой.


                      1. ifap Автор
                        04.10.2023 15:09
                        +1

                        Напомню, что в послений (на данный момент) раз НУЦ создали полтора года назад - в марте 2022, а впервые (?) о его создании отчитывались еще по итогам 2018 года. Не находите, что для легализации НУЦ достаточно времени было?

                        Крупный косяк - это когда сертификат на условный sber.ru внезапно попадет не в те руки.

                        Вполне вероятно, что сертификат на www.tavrich.ru.ru уже попал не в те руки. А www.tavrich.ru - это тоже сайт банка, просто не Сбера. И тут мы вплотную подходим к парадоксу кучи ;)


                1. event1
                  04.10.2023 15:09

                  Thawte, LE и иже с ними - известные (в смысле, мы знаем кто это) организации,

                  Кто мы? Я впервые прочитал про них в этой статье. Кроме того, в хранилище корневых сертификатов почти 300 записей. Которым мы доверяем транзитивно, потому что им доверяет производитель ОС.

                  у них известные сотрудники

                  Правда? Непосредственно выпуском сертификатов заведуют админы. Инструменты для них пишут программисты. Назовёте хоть одного из них? Может, аудитора безопасности? Все знают фамилию директора и иногда замов. Но какая польза от этого знания, не понятно.

                  известная история активности

                  известная история публичной активности

                  Что такое НУЦ - неизвестно, поэтому к нему не может быть доверия или недоверия.

                  Тут не понятно. Доверие в контексте УЦ — бинарная штука. Либо вы положили сертификат в хранилище, либо нет.


                  1. ifap Автор
                    04.10.2023 15:09
                    +2

                    Кто мы? Я впервые прочитал про них в этой статье.

                    Тогда Вас этот вопрос явно не волнует от слова совсем.

                    Доверие в контексте УЦ — бинарная штука.

                    Это Ваше мнение, не более того.


                  1. vanxant
                    04.10.2023 15:09
                    +1

                    производитель ОС

                    Неа, часто это производитель браузера, а не ОС.


              1. skyblade
                04.10.2023 15:09
                +1

                Насколько я понимаю, разница в том, что нормальные центры сертификации не являются национальными и в этом их плюс. Т.е. у них могут быть какие-то правила и они едины для вообще всех клиентов. А у национальных ЦА могут быть национальные же интересы. И, например, они могут выдавать данные своим же спецслужбам для того, чтобы прослушивать ваш трафик. Пока вы это используете только для доступа к гос.сайтам разницы, действительно, практически никакой нет. Но если вы будете использовать бразуер с установленным корневым сертификатом вроде того же яндекс.браузера, вы автоматически не будете соглашаться шифровать любое соединение с этого браузера сертификатом, выданным от этого ЦА. И, например, вам могут организовать MitM-атаку и на другие сайты, которые сами по себе не защищены национальным сертификатом, а защищены нормальным, но ваш браузер не выдаст никакого предупреждения и спокойно будет работать через прослушку. Вот в этом и есть основная проблема. Нет никакого доверия к любому национальному центру сертификации для того, чтобы ставить его корневой сертификат в браузер.
                Возможно, я в чём-то ошибаюсь. Поправьте меня тогда.


                1. event1
                  04.10.2023 15:09
                  +4

                  Насколько я понимаю, разница в том, что нормальные центры сертификации не являются национальными и в этом их плюс

                  Какие такие "нормальные"? Среди тех, что поставляются с системой найдётся корневой сертификат Swiss Sign, компании которая принадлежит швейцарской почте, которая, в свою очередь, принадлежит Швейцарской Конфидерации. Это нормальная, или нет?

                  Т.е. у них могут быть какие-то правила и они едины для вообще всех клиентов

                  В мире эльфов и розовых пони, да. В реальном мире, если клиент приносит много денег, для него сразу будут специальные правила.

                  А у национальных ЦА могут быть национальные же интересы

                  У частных УЦ тоже есть национальные интересы. А если у них нет национальных интересов, то к ним приходят специально обученные люди и объясняют, что у них есть национальные интересы. Наивно считать, что Global Sign, в этом смысле чем-то отличается от соцсетей

                  Но если вы будете использовать бразуер с установленным корневым сертификатом вроде того же яндекс.браузера, вы автоматически не будете соглашаться шифровать любое соединение с этого браузера сертификатом, выданным от этого ЦА

                  Ещё раз, на обычной системе почти 300 доверенных сертификатов. Единицы выданы известными УЦ. Много гос-УЦ, например TUBITAK из солнечной Турции, или Izenpe из страны Басков, сертификат от почты округа Сян Ган. И есть корпоративные УЦ от известных и не очень компаний: майки, амазон и т.д. Так что мы уже все доверяем множеству государственных УЦ. Причём, из самых разных стран.

                  Нет никакого доверия к любому национальному центру сертификации для того, чтобы ставить его корневой сертификат в браузер. Возможно, я в чём-то ошибаюсь. Поправьте меня тогда.

                  В двух вещах: во-первых, мы уже все доверяем десятку разных национальных УЦ (ls /usr/share/ca-certificates/mozilla за продробностями) и во-вторых, ваша вера в то, что крупные компании отказывают спецслужбам в сотрудничестве крайне наивна.


      1. Heggi
        04.10.2023 15:09

        П Вам таки И ;)

        Вполне возможно, но у меня в памяти отложилось, что тот же sberbank.ru был под нормальным сертификатом до самого его конца (правда я в упор не помню от какого УЦ он был)


        1. ifap Автор
          04.10.2023 15:09
          +1

          У Сбера, видимо, был этот серт, от Globalsign, который так и не отозвали.


    1. dartraiden
      04.10.2023 15:09
      +2

      а на некоторых сберовских сайтах до сих пор применяются зарубежные сертификаты (уж не знаю как они их получили).

      Находят задрипанные малоизвестные УЦ. Например, сертификат для online.sberbank.ru выдал греческий Hellenic Academic & Research Institutions Certification Authority, финансирумый некоммерческой организацией Greek Universities Network.


      1. ifap Автор
        04.10.2023 15:09
        +4

        Мало-не мало, а этому корневому сертификату браузеры верят искаропки, как-то греки нашли время и силы заняться его включением в дистрибутивы браузеров и ОС.


        1. Houl
          04.10.2023 15:09

          Т.е. у вас всё еще есть уверенность, что если бы УЦ из РФ пробился, то в прошлом году его бы не отозвали и/или не выпилили обновлениями?


          1. ifap Автор
            04.10.2023 15:09
            +1

            И какое же из моих высказываний Вы истолковали подобным образом?


            1. Houl
              04.10.2023 15:09

              Хм... Да даже в коментарии выше это прослеживается. Так же подобные претензии видны в предыдущем топике, на который вы дали ссылку.


              1. ifap Автор
                04.10.2023 15:09
                +1

                Вы слишком вольно истолковали мои слова, я не только не высказывал такого мнения, а вообще на эту тему не высказывался.


                1. Houl
                  04.10.2023 15:09

                  Тогда к чему относится комментарий про греков? Если они постарались, то кто-то же нет.


                  1. ifap Автор
                    04.10.2023 15:09
                    +1

                    Греки постарались - их включили, россияне не постарались - их не включили. Где Вы здесь увидели гипотезы насчет того, что было бы если бы россияне постарались, их включили, а потом вот это вот все и их все-таки не исключили?


                    1. Houl
                      04.10.2023 15:09

                      В этом и заключается мой основной вопрос, но вы его немного исковеркали )


                      1. ifap Автор
                        04.10.2023 15:09

                        Вы хотите знать мое мнение, выкинули бы условный НУЦ из постоянных хранилищ ОС/браузеров из-за военных действий на Украине? Я не знаю. Пару лет назад я бы сказал, что нет, но после выходки Thawte/LE, которая прошла практически незамеченной, я в этом совсем не уверен.


                      1. Houl
                        04.10.2023 15:09

                        Вот именно такой ответ я ожидал. Просто интересно мнение. Спасибо за ответ.


  1. petelinsergey
    04.10.2023 15:09

    Может, вы не вполне понимаете термин "Доверенный корневой центр сертификации"? Российскому государству сейчас никто не доверит покараулить сарай. Куда уж там доверять её сертификатам. И её граждане , кстати, тоже не дураки. Не все, но пока весомая часть.


  1. BugM
    04.10.2023 15:09
    +2

    А что странного?

    Там сертификаты получают те кто опасается что их сертификаты отзовут. Получают и кладут на полочку. Использовать их просто так смысла нет.

    Сбер просто настроил какую-то часть своей автоматизации. Теперь сертификаты получаются роботами. Правильный подход на самом деле. И тоже ничего удивительного.


    1. ifap Автор
      04.10.2023 15:09

      Там сертификаты получает Сбербанк, ВТБ и несколько десятков каких-то глубоко бессмысленных и безымянных шараг, которые если и попадут под санкции - для них это будет праздник всей жизни, поскольку хоть кто-то заметил их существование. Но им такое внимание не светит. Вы поизучайте список, он забавный при ближайшем рассмотрении.


      1. BugM
        04.10.2023 15:09
        +1

        Я про банки и прочие крупные б2с сервисы. Им оно надо просто чтобы работать. Мелочь понятно что для понтов. Толку никакого и не отзовут их сертификаты.

        Может еще всех госов заставят получить и написать план перехода, просто на всякий случай. Список станет еще интереснее.


  1. karavan_750
    04.10.2023 15:09

    @ifap Вы не могли бы здесь опубликовать "тот самый csv-файл с 4883-мя записями"? Интересно его глянуть.
    На мой GET к файлу госуслуги пятисотят. (vpn ни при чем)


    1. ifap Автор
      04.10.2023 15:09

      Нипричем, сегодня внезапно перестало отдавать файл. Совпадение? Ловите - https://dropmefiles.com/TzRIw


  1. zakhlystun
    04.10.2023 15:09
    +3

    Импортозамещенное = китайское. Остальное - распил


  1. SimSonic
    04.10.2023 15:09

    Вся ситуация на самом деле как будто звучит примерно так:

    • Хочется, чтобы в этом мире доверенными ЦА были только ЦА иных стран, с которыми у меня дел нет, которые никак не заинтересованы в проведении MitM на мне.

    • Если мое государство или другие, в которых есть сервисы / банки, которыми я пользуюсь, будет в корневых ЦА, я опасаюсь MitM.