Государство и безопасность
Oct. 18th, 2023 12:20 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
dzzВчера пообщался он-лайн с несколькими государственными организациями, нашёл дивное.
SSL-сертификат Госреестра подписан корневым УЦ "Russian Trusted Root CA", про который браузеры (что файерфокс, что хром) просто не знают. В результате, сертификат признаётся невалидным, а https-соединение - небезопасным.
SSL-сертификат Госуслуг подписан GlobalSign-ом, и у него с https всё пучком.
Не то, что бы это как-то серьёзно усложняло жизнь (можно согласиться с недоверенным сертификатом или добавить рутовый в браузер ручками), но неаккуратно.
SSL-сертификат Госреестра подписан корневым УЦ "Russian Trusted Root CA", про который браузеры (что файерфокс, что хром) просто не знают. В результате, сертификат признаётся невалидным, а https-соединение - небезопасным.
SSL-сертификат Госуслуг подписан GlobalSign-ом, и у него с https всё пучком.
Не то, что бы это как-то серьёзно усложняло жизнь (можно согласиться с недоверенным сертификатом или добавить рутовый в браузер ручками), но неаккуратно.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2023-10-18 09:26 am (UTC)Вообще то они так прямо и рекомендуют ручками отечественные сертификаты добавлять. Я не спец, поэтому ничего ужасного в этом не вижу (сама процедура у них достаточно детально для чайников расписана).
no subject
Date: 2023-10-18 09:36 am (UTC)Про сертификаты написано на сайте Госуслуг если поискать, на самом сайте Росреестра ни слова про "мы перешли на отечественный УЦ". А у яндекс-браузера с предустановленным нашим root ca репутация и распространённость — так себе :)
P.S. Инструкция по установке на Госуслугах, кстати, хорошо написана, и, что радует, не "windows-only".
no subject
Date: 2023-10-18 01:25 pm (UTC)да, я эту инструкцию и имел в виду
no subject
Date: 2023-10-18 10:57 am (UTC)А как ещё кошерный mitm залудить, не подсунув своего корня?
Их, кстати, антивирусы суют почем зря.
no subject
Date: 2023-10-18 02:00 pm (UTC)no subject
Date: 2023-10-18 04:23 pm (UTC)Не такой уж кошерный, certificate pinning как раз от таких умных придумали.
no subject
Date: 2023-10-18 06:51 pm (UTC)Ещё б он работал везде.
no subject
Date: 2023-10-18 10:05 am (UTC)Посмотрел чем подписан наш сайт налоговой agenziaentrate.gov.it (там не только по налогам, но и все реестры по недвижимости и прочему, контракты аренды и куча-куча всего) — let's encrypt.
no subject
Date: 2023-10-18 11:00 am (UTC)Для РФ там добавляется риск отзыва сертификатов по нетехническим причинам
no subject
Date: 2023-10-18 12:38 pm (UTC)С globalsign вероятность ещё выше кмк.
Ну а так да, только чебурашками подписывать.
no subject
Date: 2023-10-18 12:39 pm (UTC)Примерно та же
no subject
Date: 2023-10-18 12:43 pm (UTC)letsencrypt — non profit, к тому же основанный леваками из EFF которые только со страшными западными правительствами горазды бороться, а вот к людоедам со всего мира относящиеся на редкость толерантно.
А вот globalsign — обычная коммерческая организация, и им проблемы точно не нужны.
no subject
Date: 2023-10-18 12:45 pm (UTC)Ну, нынешние леваки в сортах людоедства переборчивы стали 😁
no subject
Date: 2023-10-18 12:47 pm (UTC)Ну я тоже, если честно, в сортах людоедов разбираться не хочу...
no subject
Date: 2023-10-18 09:37 pm (UTC)EFF — скорее, либертарианцы, они, IMHO, вряд ли станут сдавать свои идеалы в угоду геополитической повестке.
no subject
Date: 2023-10-18 01:58 pm (UTC)no subject
Date: 2023-10-18 12:05 pm (UTC)На тему "поставьте российские сертификаты" мимо меня летало минимум год. При любом входе на госуслуги, с яндекса, даже на вк мелькало.
Сами броузеры, разумеется, эти сертификаты в себя не включают. Хорошо хоть не удаляют руками поставленные, хотя я уже и этому не удивлюсь.
no subject
Date: 2023-10-18 12:19 pm (UTC)Ну это пока. Скорее всего, госуслуги тоже переедут на отечественный сертификат.