Установка сертификатов для сбербанка

yoricI · Сообщение **yoricI** » 19.10.2022 09:25

Здра!
По мотивам этой темы Сбербанк и Сбербанк-онлайн.
На госуслугах выбор сертификатов для аднроида, винды, маков и ещё чего-то, для линуксов нет. Что ставить? Или сертификкат одинаков, только инструкции разные?
Кто-нибудь занимался таким? Как успехи?

Aliech · Сообщение **Aliech** » 19.10.2022 09:43

yoricI писал: ↑
19.10.2022 09:25
Кто-нибудь занимался таким? Как успехи?

Установлен в виртуальную машину. Брал "для windows". Другие не смотрел.

Но... внезапно на сбер.онлайн появился продлённый сертификат, подписанный CA, присутствующим в поставке mozilla. И виртуальной машиной я перестал пользоваться.

bars · Сообщение **bars** » 19.10.2022 09:50

Смысла нет ставить сертификат, так как сбер онлайн сертификат пока до среда, 25 января 2023.
А там смотришь и продлят.
А основной сайт сбера можно и по 80 порту открывать.

yoricI · Сообщение **yoricI** » 19.10.2022 09:51

То есть стало работать опять без лишних движений? Сбер продлили существующий мозилловский сертификат? Давно это произошло? А то знакомый (из тех, которых мы приручили))) второй день не может.
В ответах попрошу не придираться к неточностям, я в этих технологиях ни в зуб ногой, упор делать на суть вопроса))
Стоит устанавливать с госуслуг, или нет, а то вдруг опять накатит и всё испортят?

Ещё не спросил, уже ответили))

bars · Сообщение **bars** » 19.10.2022 10:15

https://online.sberbank.ru/CSAFront/index.do
Я бы не спешил с установкой сертификата.

Сообщение **Bizdelnick** » 19.10.2022 12:20

Если и устанавливать сертификат, то только в отдельный профиль браузера. И использовать этот профиль только для тех сайтов, у которых сертификат заверен этим УЦ.
firefox --new-instance --no-remote --ProfileManager

Далее в картинках

2022-10-19_11-50.png

2022-10-19_11-52.png

2022-10-19_11-53.png

2022-10-19_11-54.png

2022-10-19_11-56.png

2022-10-19_11-58.png

2022-10-19_11-59.png

2022-10-19_12-04.png

2022-10-19_12-09.png

2022-10-19_12-11.png

На всякий случай то же самое продублирую здесь.
В дальнейшем можно запускать firefox --new-instance --no-remote -P gos (вместо gos подставить имя профиля). А для обычной работы продолжать использовать профиль default.
Сертификат брал по этой ссылке.

Сообщение **Bizdelnick** » 19.10.2022 12:44

Пока писал сообщение, на госуслугах появилась инструкция для linux (RHEL). Пользоваться ей нельзя ни в коем случае! Даже если вы точно знаете, что хотите установить сертификат в систему глобально (например, в специально выделенную ВМ) — всё равно нельзя, она неправильная. В таком случае ищите инструкцию по установке корневых сертификатов для своего дистрибутива (так, как описано на ГУ, делать нельзя ни в одном дистрибутиве!). Конкретно в случае RHEL и родственных дистрибутивов (Fedora, CentOS, OL, Rocky…) сертификат надо помещать в /etc/pki/ca-trust/source/anchors/, но никак не в /usr/share/… (это системный каталог, не надо туда руками лазить вообще никогда), в остальном инструкция правильная. В Debian и производных от него всё совсем иначе, про другие дистрибутивы не могу сказать ничего определённого.

UnixNoob · Сообщение **UnixNoob** » 19.10.2022 14:24

Почему нельзя просто установить Yandex Browser и использовать его исключительно для Сбера и прочего? Не создавая профили в Firefox и не занимаясь установкой сертификатов? Правда тут конечно надо понимать кому мы этот сертификат ставим...

Сообщение **Bizdelnick** » 19.10.2022 14:31

UnixNoob писал: ↑
19.10.2022 14:24
Почему нельзя просто установить Yandex Browser и использовать его исключительно для Сбера и прочего?

Можно, но не нужно. Как и любой софт с закрытыми исходниками. Не говоря о том, что отдельный браузер сотни мегабайт ОЗУ откушает.

devilr · Сообщение **devilr** » 19.10.2022 16:42

Bizdelnick писал: ↑
19.10.2022 14:31
Не говоря о том, что отдельный браузер сотни мегабайт ОЗУ откушает.

Так вы его вряд ли каждый день будете запускать.
Вообще, идея "отдельный пользователь для подозрительных программ" не так уж плоха, как кажется.

yoricI · Сообщение **yoricI** » 19.10.2022 17:17

Это начало конца, когда не знаешь, доверять или нет, и запускать в систему троянских коней))

bars · Сообщение **bars** » 19.10.2022 17:21

Создать отдельного пользователя, либо можно если домашняя система то поставить вторую систему виндуз и на не пользоваться сбером.
Но пока спешить не надо, кто знает что будет после 25 января.
Сертификат не проблема установить.

yrii2121 · Сообщение **yrii2121** » 19.10.2022 17:40

Bizdelnick писал: ↑
19.10.2022 12:44
В таком случае ищите инструкцию по установке корневых сертификатов для своего дистрибутива

Они так и сделали.
В официальной инструкции "Red Hat Enterprise Linux" такой вариант допускается.

Сообщение **Bizdelnick** » 19.10.2022 20:40

devilr писал: ↑
19.10.2022 16:42
Вообще, идея "отдельный пользователь для подозрительных программ" не так уж плоха, как кажется.

Она отвратительна. Во многих дистрибутивах по умолчанию доступ к домашним каталогам на чтение открыт для всех.

algri14 · Сообщение **algri14** » 20.10.2022 00:38

Bizdelnick писал: ↑
19.10.2022 20:40
Она отвратительна. Во многих дистрибутивах по умолчанию доступ к домашним каталогам на чтение открыт для всех.

Извините, что немного в сторону:
— в иностранной Mageia я шагу не могу сделать без разрешения root, будь то другая ОСь или непримонтированный раздел
— в российской ROSA, настройки по умолчанию, гуляй куда хочешь, «за державу обидно»

devilr · Сообщение **devilr** » 20.10.2022 10:01

Bizdelnick писал: ↑
19.10.2022 20:40
Она отвратительна.

Тогда можно вообще не пользоваться. Сбербанком.

Либо совсем заизолироваться. Виртуальной машиной. На другом компьютере.

Aliech · Сообщение **Aliech** » 20.10.2022 10:46

devilr писал: ↑
20.10.2022 10:01

Bizdelnick писал: ↑
19.10.2022 20:40
Она отвратительна.
Тогда можно вообще не пользоваться. Сбербанком.
Либо совсем заизолироваться. Виртуальной машиной. На другом компьютере.

Вас ставят в ситуацию, когда вы вынуждены пользоваться.

Или в классическом примере, а-ля "Дядь, купи кирпич!" вы тоже ничего дурного не усматриваете? Казалось бы, дело ваше, покупать али нет. Но есть, как обычно, один нюанс...

devilr · Сообщение **devilr** » 20.10.2022 11:01

Aliech писал: ↑
20.10.2022 10:46
Вас ставят в ситуацию, когда вы вынуждены пользоваться.

Ну так я и предложил, как бы я выходил из такой ситуации - изолировался бы. Либо в виде отдельного пользователя, либо в виде виртуальной машины. Или не пользовался бы сбербанком. Тем более, что я предпочитаю наличные.

UnixNoob · Сообщение **UnixNoob** » 20.10.2022 15:13

А вариантов под docker для решения данной задачи нет? Видел когда-то ссылку на проект браузера, но потерялась она, ну и вопрос с настройкой, реально ли установить сертификат туда.

Сообщение **Bizdelnick** » 20.10.2022 17:45

devilr писал: ↑
20.10.2022 10:01
Тогда можно вообще не пользоваться. Сбербанком.

Я так и делаю, в общем-то. И не понимаю людей, которые годами жрут этот кактус. Ну, видать, вкусы у них такие…

Zer0 · Сообщение **Zer0** » 20.10.2022 19:58

UnixNoob писал: ↑
20.10.2022 15:13
А вариантов под docker для решения данной задачи нет?

вот

Сообщение **Bizdelnick** » 20.10.2022 22:20

UnixNoob писал: ↑
20.10.2022 15:13
А вариантов под docker для решения данной задачи нет?

Но зачем? Виртуалки, контейнеры, и всё ради одного несчастного сайта?

UnixNoob · Сообщение **UnixNoob** » 20.10.2022 22:32

Bizdelnick писал: ↑
20.10.2022 22:20
Но зачем? Виртуалки, контейнеры, и всё ради одного несчастного сайта?

Я не знаю как лучше организовать доступ людям, которые являются исключительно "пользователями". Не уверен что они будут переключать профиль ради одного сайта, хотя не исключено что туда же подтянутся госуслуги и другое, чем я не пользуюсь, но вынуждены пользоваться другие. Читал про установку сертификатов в Windows, так там предлагают с пользователями мудрить.
Это больше изучение возможных вариантов, на будущее.

Сообщение **Bizdelnick** » 20.10.2022 22:43

UnixNoob писал: ↑
20.10.2022 22:32
Я не знаю как лучше организовать доступ людям, которые являются исключительно "пользователями".

Да никак. Онлайн работает, а без главной страницы перебьются. Или, если Вы админ и у Вас стоит такая задача, сделайте им «ярлык» для запуска браузера с нужным профилем. (Можно подумать, запустить контейнер или виртуалку проще, ага.)

algri14 · Сообщение **algri14** » 22.10.2022 12:53

Bizdelnick, я по Вашему совету уже давно сделал второго_юзера, запускаю в его окружении из браузеров только яндекс-браузер и всего делов.
Мне не требуется, но в принципе можно запретить юзеру_2 запускать другие браузеры, немного неудобно переходить из сеанса юзер_1 в сеанс юзер_2, но ведь не требуется постоянно сидеть в сбербанке или на госуслугах.

algri14 писал: ↑
20.10.2022 00:38
— в российской ROSA, настройки по умолчанию, гуляй куда хочешь, «за державу обидно»

К тому же Роса уважает конфиденциальность юзера_2, без прав root не допускает в /home/юзер_2

Но есть сомнение относительно самого яндекса, кричать халва-халва они уже давно научились, а вот как с безопасностью даже не в курсе, киньте кто-нибудь ссылку на эту тему. Исследования мозилы и гугла как то попадались, уязвимостей много, устраняют, новые появляются, в общем полный… круговорот

bars · Сообщение **bars** » 16.12.2022 12:25

Привет.
Так все таки как лучше установить сертификат?
Решил создать отдельного пользователя в системе для этих нужд.
Браузер мазила, Линукс.
Но загружать сертификат от рута, то значит он и на других пользователей системы будет распространяться.

Сообщение **Bizdelnick** » 16.12.2022 12:54

bars писал: ↑
16.12.2022 12:25
Так все таки как лучше установить сертификат?

Re: Установка сертификатов для сбербанка

bars · Сообщение **bars** » 16.12.2022 16:12

Bizdelnick писал: ↑
16.12.2022 12:54
Re: Установка сертификатов для сбербанка

Спасибо добавил, сертификаты взял из сбербанк онлайна.
Мозила пишет что не может распознать издателя.

Kopilov · Сообщение **Kopilov** » 16.12.2022 17:32

Так в этом и фишка. Издатель не признанный, сертификат добавлен руками.

bars · Сообщение **bars** » 16.12.2022 18:26

Kopilov писал: ↑
16.12.2022 17:32
Так в этом и фишка. Издатель не признанный, сертификат добавлен руками.

Вроде работает так, да и ладно.