Ну что, пацаны. Чебурнет?
В россии и беларуси перестали работать компании, которые выдают сертификаты безопасности SSL и TLS для веб-сайтов.Как передает Укринформ, об этом вице-премьер-министр - министр цифровой трансформации Михаил Федоров сообщил в Телеграме.
«По инициативе Минцифры на территории россии и беларуси перестали работать основные компании, которые выдают сертификаты безопасности SSL и TLS для веб-сайтов, а именно: GeoTrust, Sectigo, DigiCert, Thawte, Rapid», - заявил Федоров.
Он отметил, что наличие сертификатов означает, что ресурсы надежно защищены, и им можно передавать свои персональные данные. Например, предоставить реквизиты карты, чтобы они вводились автоматически, когда вы хотите что-то приобрести.
Федоров отметил, что компании больше не будут выпускать сертификаты для российских и белорусских сайтов и обновлять имеющиеся, поэтому они автоматически станут опасны всем пользователям, а браузеры по всему миру их будут блокировать.
"Фактически это означает смерть протокола https на территории россии", - заявил Федоров.
Подробнее
ЧЕБУРНЕТ загружается... подождите 20 минуг
политика,политические новости, шутки и мемы,песочница политоты,чебурнет
Еще на тему
Во всяком случае пока работает le и другие центры сертификации, коих заметно больше чем 5 выше перечисленных
Он выдает сертификат по http, так что серьезные компании с этой игрушкой не сотрудничают.
Что до "смерти": скорее всего не смогут получать и обновлять сертификаты пользователи/юрлица РФ. Это означает что тот же Сбер после дня Х (ранее выпущенный сертификат не вечен) столкнется с серьезными проблемами.
Предположу, что отечественный софт будет работать с внутренним сертификатом, который не будет приниматься остальными (осталось его переписать, что тоже не бесплатно и не безопасно). Учитывая что дядя ФСБшник скажет "я должен иметь все закрытые ключи"... ух, в общем это будет Чебурнет, просто не тот, который представляет большинство людей.
Не только, там и через dns можно.
LE даёт сертификаты "обычного" уровня которые только подтверждают владение доменом, более "серьёзные" EV (Extended Validation) сертификаты можно получить только за бабло и после некого процесса проверки конторы, важно в основном для банков.
Решением в таком случае было бы выпуск своих сертификатов через что-то вроде госуслуг или как оно там у вас называется, и установка корневого сертификата (Certificate Authority) в системы пользователей, так например пытались уже сделать в Казахстане.
Что позволило бы товарищам майорам просматривать весь https трафик который "защищён" такой цепочкой сертификатов.
Ессно это не чем хорошим не закончилось так как браузероделы сразу внесли эту CA в чёрный список превращая сию затею в тыкву.
Посему единственная надежда что что-то в этом роде заработает - использовать какойто скрепный хуяндекс браузер с сертификатами от товарищей майоров.
Насколько я понял, на своем домене разворачиваешь сервис, к которому LE делает запрос по http через указанный домен и после отгружает сертификат. Но в целом "да" -- это решение не подходит для банков (и не только для них).
>>использовать какойто скрепный хуяндекс
Не единым браузером... Теже игры, корпоративный VPN, всякие сервисы мониторинга и удаленного доступа. Вся ирония в том, что для 99% юзеров интернет -- это только странички с котами в браузере. А, ну еще пара месседжеров. Всем понимать это нафиг не нужно, но строго говоря это далеко не так, и сложно предложить сколько навернется всего.
по сути там сейчас работают 2 типа проверки http-01 (который работает так как ты описал) и dns-01 который работает через добавление в твою dns зону определённой TXT записи по которой и производится проверка, у dns-01 есть плюс что по нему можно получить wildcard сертификат то есть *.domain.name с которым может работать вообще любой твой поддомен.
Оба варианта можно (и нужно) автоматизировать.
Кстати да ещё один из минусов LE это то что серты выдаются на 3 месяца, платные серты можно брать на год, в некоторых случаях взависимости от конторы которая их выдаёт и на больший срок.
Вообще сертификаты это на самом деле торговля воздухом, цепочка доверия и вот это вот всё ...
Самоподписанный сертификат который делается одной строчкой в консоли защищает подключение так же как и дорогой валютный, ессно в браузере не будет замочка в адрессной строке и некоторые приложения могут отказаться работать с таким сертифкатом если их не убедить что всё ОК.
> корпоративный VPN
там вообще похуй, грубо гря обычно как раз для впнов не используются "честные" сертификаты, вместе с клиентсим сертификатом и ключём обычно распространяется CA сертификат, это в случае openvpn и ipsec ikev2
Нет. Самоподписной подвержен атаке по середине. Корневые сертификаты решают эту проблему, при условии что корневой считается невзламываемым. Собственно за этот "воздух" и платят -- корпорация обеспечивает сверх надежный вариант подписи/отзыва, и убеждает всяких вендеров добавить их корневой паблик-кей к себе в список.
>>там вообще похуй
Скорее это на совести конторы. Где-то забивают, где-то работают над безопасностью. Как бы нужно еще понимать что условный "Вася энд Корпорейтен" который клипает сайты-визитки по 100$ за штуку действительно нафиг никому не нужен, а вот скажем корпоративная сеть филиала того же МакДака -- вот это уже цель поинтересней.
и да и нет
если свою CA установить в систему и браузеры то MITM идёт лесом так же как и с честными
ессно если этого не сделать то MITM вполне возможен
В больших корпорациях свой CA распространяется на компы юзверей автоматом через доменные политики, грубо говоря внутри корпоративной сети можно плевать на покупные сертификаты если всё правильно настроить.
Для впнов в реально больших конторах используются проприетарные решения аля cisco итд итп, там редко кто использует openvpn и иже с ними.
Для того же ipsec покупные серты не юзают, как раз это угроза безопастности июо фиг его знает не оставил ли себе продаван копию ключа и не передаст ли он его товарищам майорам. Обычно просто в систему пользователя устанавливается свой сертификат который заверяет подлинность итд итп.
Дык, для 99% случаев конектишься к ресурсу, о котором известен только его адресс.
>>не оставил ли себе продаван копию ключа
Продавану вроде достаточно отдать паблик ключ. По идеи они вообще апаратные могут быть.
https://www.rbc.ua/rus/news/rossii-perestanet-rabotat-protokol-https-1647381534.html
Рбк украина это единственное чему я верю из сми ибо оно почти как джой топит за правду.
Всё страньше и страньше! Всё чудесатее и чудесатее! Всё любопытственнее и любопытственнее! Всё страннее и страннее! Всё чудесится и чудесится!