![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Entry tags:
Государство и безопасность
Вчера пообщался он-лайн с несколькими государственными организациями, нашёл дивное.
SSL-сертификат Госреестра подписан корневым УЦ "Russian Trusted Root CA", про который браузеры (что файерфокс, что хром) просто не знают. В результате, сертификат признаётся невалидным, а https-соединение - небезопасным.
SSL-сертификат Госуслуг подписан GlobalSign-ом, и у него с https всё пучком.
Не то, что бы это как-то серьёзно усложняло жизнь (можно согласиться с недоверенным сертификатом или добавить рутовый в браузер ручками), но неаккуратно.
SSL-сертификат Госреестра подписан корневым УЦ "Russian Trusted Root CA", про который браузеры (что файерфокс, что хром) просто не знают. В результате, сертификат признаётся невалидным, а https-соединение - небезопасным.
SSL-сертификат Госуслуг подписан GlobalSign-ом, и у него с https всё пучком.
Не то, что бы это как-то серьёзно усложняло жизнь (можно согласиться с недоверенным сертификатом или добавить рутовый в браузер ручками), но неаккуратно.
no subject
Вообще то они так прямо и рекомендуют ручками отечественные сертификаты добавлять. Я не спец, поэтому ничего ужасного в этом не вижу (сама процедура у них достаточно детально для чайников расписана).
no subject
Про сертификаты написано на сайте Госуслуг если поискать, на самом сайте Росреестра ни слова про "мы перешли на отечественный УЦ". А у яндекс-браузера с предустановленным нашим root ca репутация и распространённость — так себе :)
P.S. Инструкция по установке на Госуслугах, кстати, хорошо написана, и, что радует, не "windows-only".
no subject
да, я эту инструкцию и имел в виду
no subject
А как ещё кошерный mitm залудить, не подсунув своего корня?
Их, кстати, антивирусы суют почем зря.
no subject
no subject
Не такой уж кошерный, certificate pinning как раз от таких умных придумали.
no subject
Ещё б он работал везде.
no subject
Посмотрел чем подписан наш сайт налоговой agenziaentrate.gov.it (там не только по налогам, но и все реестры по недвижимости и прочему, контракты аренды и куча-куча всего) — let's encrypt.
no subject
Для РФ там добавляется риск отзыва сертификатов по нетехническим причинам
no subject
С globalsign вероятность ещё выше кмк.
Ну а так да, только чебурашками подписывать.
no subject
Примерно та же
no subject
letsencrypt — non profit, к тому же основанный леваками из EFF которые только со страшными западными правительствами горазды бороться, а вот к людоедам со всего мира относящиеся на редкость толерантно.
А вот globalsign — обычная коммерческая организация, и им проблемы точно не нужны.
no subject
Ну, нынешние леваки в сортах людоедства переборчивы стали 😁
no subject
Ну я тоже, если честно, в сортах людоедов разбираться не хочу...
no subject
EFF — скорее, либертарианцы, они, IMHO, вряд ли станут сдавать свои идеалы в угоду геополитической повестке.
no subject
no subject
На тему "поставьте российские сертификаты" мимо меня летало минимум год. При любом входе на госуслуги, с яндекса, даже на вк мелькало.
Сами броузеры, разумеется, эти сертификаты в себя не включают. Хорошо хоть не удаляют руками поставленные, хотя я уже и этому не удивлюсь.
no subject
Ну это пока. Скорее всего, госуслуги тоже переедут на отечественный сертификат.