Сбербанк и Сбербанк-онлайн.

[algri14]

«В связи с последними событиями компании, выпускающие TLS-сертификаты для сайтов, перестали сотрудничать со Сбербанком. В результате сайт Сбербанка не получит требуемое для нормальной работы обновление сертификата. Срок действия текущего заканчивается 28 сентября этого года.

Для решения проблемы технические специалисты банка подготовили переход на сертификаты Национального удостоверяющего центра Минцифры России, которые необходимо установить все устройства, на которых планируется продолжать использование интернет-ресурсов Сбербанка, будь то ПК или смартфон...»
overclockers.ru

[bars]

Вот инструкция с офф сайта сбера.
http://www.sberbank.ru/ru/certificates?tab=windows

[devilr]

Угу. Мы обеспечиваем бла-бла-бла... добро пожаловать на наш супер-правильный сайт HTTP://

[Bizdelnick]

https://t.me/begtin/4282

[algri14]

https://t.me/begtin/4282

Оттуда цитата: «Добавив корневой сертификат в доверенные, сделает доверенными не только сертификат Сбербанка, но и может быть выпущен сертификат с помощью которого можно перехватывать трафик к HTTPS сайтам, например, органами правоохраны.»

Ну вот ни на копейку не поверю, что ИХ т. майор не имеет доступа туда куда захочет, ОН при желании имеет доступ даже без всяких ордеров, а все разговоры про демократическую шнягу, суды и законность имеют быть ТОЛЬКО в прессе и по ТВ, в действительной реальности там обстоит дело намного жёстче, чем у нас.

Поэтому лично меня интересуют только технические детали этих сертификатов. И тут я могу предполагать (только предполагать), что дела у нас не столь хороши, как об этом трындят, опять же, на примере, глядя как запускали Рутуб в феврале-марте, как утекали различные базы данных…

[Bizdelnick]

Ну вот ни на копейку не поверю, что ИХ т. майор не имеет доступа туда куда захочет, ОН при желании имеет доступ даже без всяких ордеров, а все разговоры про демократическую шнягу, суды и законность имеют быть ТОЛЬКО в прессе и по ТВ, в действительной реальности там обстоит дело намного жёстче, чем у нас.

Такое хотя и технически возможно, на практике легко обнаруживается. И все имевшие место прецеденты приводили к исключению корневых сертификатов замеченных в сливе УЦ из доверенных.

[algri14]

Угу. Мы обеспечиваем бла-бла-бла... добро пожаловать на наш супер-правильный сайт HTTP://

Ладно, это Ваша ирония, НО…

Центров сертификации существует достаточно много, вот перечень самых популярных:
Comodo — работает с 1998 штабквартира в Jersey City, New Jersey, США.
Geotrust — основан в 2001, в 2006 продан Verisign, штабквартира Mountain View, California, США
Symantec — бывший Verisign в состав которого входит и Geotrust. Купил всех в 2010 году.
Thawte — основан в 1995, продан Verisign в 1999.
Trustwave — работает с 1995, штабквартира Chicago, Illinois, США.

Говоря в общем, SSL сертификаты содержат и отображают (как минимум одно из) ваше доменное имя, ваше название организации, ваш адрес, город и страницу. Также сертификат всегда имеет дату окончания и данные о центре сертификации, ответственного за выпуск сертификата. Браузер подключается к защищенному сайту, получает от него SSL сертификат и делает ряд проверок: он не просрочен ли сертификат, потом он проверяет, выпущен ли сертификат известным ему центром сертификации (CA) используется ли сертификат на сайте, для которого он был выпущен.
Ссылка на Хабр-статью: Цифровые SSL сертификаты. Разновидности, как выбрать?

Что такого сложного и в чём доверенность к CA (Центрам Сертификации), что вот амерские супер белые-пушистые, а российских центров не должно быть в принципе.
О чём и говорит цитата ниже →

УЦ, в свою очередь проходят определенную сертификацию для того чтобы обеспечить это доверие. Число таких корневых сертифиУЦ, в свою очередь проходят определенную сертификацию для того чтобы обеспечить это доверие. Число таких корневых сертификатов в ОС Windows, MacOS, IOS, Android ограничено и то что там за все эти годы не появилось российского корневого УЦ должно только настораживать. катов в ОС Windows, MacOS, IOS, Android ограничено и то что там за все эти годы не появилось российского корневого УЦ должно только настораживать.

что нас должно настораживать?
Но есть факт, государству были не нужны IT-шники и они бежали за тарелку супа к амерам, а мы в *опе, это очередное достижение наших чинуш.

[Bizdelnick]

Symantec

Symantec? Какой-такой Symantec? ☺

Добавлено (23:43):

Что такого сложного и в чём доверенность к CA (Центрам Сертификации), что вот амерские супер белые-пушистые, а российских центров не должно быть в принципе.

А кто-нибудь вообще пытался создать УЦ в РФ (нормальный, со всеми проверками, а не вот это вот)? Я что-то не слышал. По нынешним временам это не шибко прибыльное дело, пока у тебя не миллионы клиентов, а где их взять, когда рынок давно поделен?

[algri14]

Bizdelnick, мои слова это возгласы дилетанта, но даже дилетанту понятно, прибыльно или нет — есть государственное дело и оно должно быть. А мы сейчас являемся банановой республикой (в роли бананов нефть и газ).
За державу обидно, и ладно бы мы были папуасами, нет — людей грамотных полно, нет руководящей воли.

Ладно, посмотрим, к чему приведёт вся эта мышиная возня.

[Bizdelnick]

есть государственное дело и оно должно быть

Не объясните, почему в других странах это дело не является государственным (за исключением, разве что, Китая, где оно быстро загнулось по причине, о которой я писал выше), а у нас должно являться?

[yoricI]

УЦ в РФ (нормальный, со всеми проверками, а не вот это вот)

А что там за проверки должны быть?

[Bizdelnick]

УЦ в РФ (нормальный, со всеми проверками, а не вот это вот)

А что там за проверки должны быть?

https://web.archive.org/web/20220924041031/https://cabforum.org/baseline-requirements-documents/

[algri14]

а у нас должно являться?

Потому что другие страны находятся в блоке НАТО и не попадают под санкции, а мы под санкциями и вообще при желании амеры нам запросто могут, по щечку, отрубить инет, да так, что и внутри страны. Вот такие у нас достижения.

[Bizdelnick]

другие страны находятся в блоке НАТО

Не вижу связи, ну да ладно. Таких стран всего лишь 30. Как насчёт остальных?

Вот такие у нас достижения.

Я спрашивал не о достижениях, а о их причине.

[ormorph]

вообще при желании амеры нам запросто могут, по щечку, отрубить инет

Они наоборот стараются свой Старлинк продвигать, чтобы пропихивать свои новости, что бы нужные им сайты не блокировались. Хотя возможно, просто хотят что бы их спутники находились над нужными им странами.

[Bizdelnick]

Хотя возможно, просто хотят что бы их спутники находились над нужными им странами.

Не смешите людей. Просто погуглите, как выглядит орбита спутника, если в школе не рассказали.

[ormorph]

Просто погуглите, как выглядит орбита спутника, если в школе не рассказали.

И чего тут особого, для того чтобы обеспечить связью определенную область, нужно чтобы определенное количество спутников перемещалось над этой территорией. На счет Старлинк, то там используются низкоорбитальные спутники с довольно коротким периодом вращения, т.е. в течении суток один и тот же спутник проходит несколько раз в одном и том же месте.

[Bizdelnick]

для того чтобы обеспечить связью определенную область, нужно чтобы определенное количество спутников перемещалось над этой территорией. На счет Старлинк, то там используются низкоорбитальные спутники с довольно коротким периодом вращения, т.е. в течении суток один и тот же спутник проходит несколько раз в одном и том же месте.

Погуглите всё-таки.

[Aliech]

algri14,

Что такого сложного и в чём доверенность к CA (Центрам Сертификации), что вот амерские супер белые-пушистые, а российских центров не должно быть в принципе.

Вы знаете, а ведь у нас уже есть много местных ЦС. Они только не занимаются выдачей сертификатов для web, ибо им кажется это не гарантированно маржинальным занятием. Вот чем они занимаются - так это выпуском квалифицированных ЭЦП. Тут всё понятно. Гос-во всех загнало в рамки, когда ЭЦП необходима, но ЭЦП тебе издать может только аккредитованное ООО "Рога-Копыта-Рос-IT". Но, сюрприз-сюрприз, вместе с тотальным переходом на ЭЦП стали появляться новости о том, что откуда-то берутся "поддельные ЭЦП" (выпущенные без ведома лица, на данные которого оно оформлено). А кто же такие ЭЦП заверяет? Неужели то же самое ООО "Рога-Копыта-Рос-IT"? И правда, оно... Как же так? Отечественные ЦС НЕ ВСЕ ДОВЕРЕННЫЕ И НАДЁЖНЫЕ? Кто бы мог подумать! Неужели от того, что они российские, они не начинают заботится о россиянах? Нет, похоже не начинают...

И теперь, как когда-то всех засадили на ЭЦП, через ограничение операций, доступных без ЭЦП, нас пытаются развести на то, чтобы мы стали доверять некоторому государственному ЦС, которые теперь шлёпает сертификаты для web'а. А иначе "фиг вам а не Сбербанк-онлайн, а будете плохо переходить, - ещё и отделения закроем".

И тут мы снова возвращается к не-белым-и-пушистым иностранных ЦС. Они там, далеко. Они товарищу майору нашинскому не выпустят wildcard-сертификат, чтобы тот без "палева" трафик перехватывал. Своему они такой тоже не выпустят, потому что ему он без надобности, ибо он не контролирует точки обмена трафика внутри РФ, в отличии от нашинского.

Но подумайте шире. Хрен с товарищем майором. Он вам зла не желает. Он если трафик перехватывает, так только для того, чтобы всякие performance artists из dungeon к вам не пробрались на экран. Бережёт ваши скрепы и традиционные ценности, так сказать. Но вот где гарантия того, что у местных сотрудников какого-нибудь крупного провайдера и сотрудников национально-доверенного-ЦС не случится некоторый сговор с целью посмотреть таки немного, миллионов десять, например, транзакций оплаты картами, на предмет уникальных данных этих карт? У сотрудников провайдера есть сетевой стык, dns'ы и dpi, в у сотрудников супер-доверенного-отечественного-ЦС - возможность подогнать им сертификат. Где гарантия лично для вас, что эта беда обойдёт стороной?

[kvv-vp]

на ЭЦП стали появляться новости о том, что откуда-то берутся "поддельные ЭЦП" (выпущенные без ведома лица, на данные которого оно оформлено). А кто же такие ЭЦП заверяет? Неужели то же самое ООО "Рога-Копыта-Рос-IT"? И правда, оно... Как же так? Отечественные ЦС НЕ ВСЕ ДОВЕРЕННЫЕ И НАДЁЖНЫЕ? Кто бы мог подумать! Неужели от того, что они российские, они не начинают заботится о россиянах? Нет, похоже не начинают...

У них свои "Рога и копыта" есть, но,почему то на это принято закрывать глаза. https://www.securitylab.ru/news/534118.php
https://www.bleepingcomputer.com/news/security/google-outlines-ssl-apocalypse-for-symantec-certificates/

А иначе "фиг вам а не Сбербанк-онлайн, а будете плохо переходить, - ещё и отделения закроем".

Сбербанку нельзя, а гуглу можно?

https://threatpost.com/google-reminding-admins-http-pages-will-be-marked-not-secure-in-october/127709/

Своему они такой тоже не выпустят, потому что ему он без надобности, ибо он не контролирует точки обмена трафика внутри РФ, в отличии от нашинского.

Иранцы тоже так думали.

[Bizdelnick]

i	Уведомление от модератора Bizdelnick
	Тема завернула куда-то не туда. Закрыто.