тема снова актуальна
https://habr.com/ru/news/t/688840denis-19 вчера в 23:46
«Сбер» после перехода на российские TLS-сертификаты просит установить корневой сертификат CA или «Яндекс Браузер»
.. для использования отдельных сертификатов отдельный браузер со своей отдельной песочницей, конечно, нужен (а лучше бы его в отдельной VM держать)
Moraiatw 18.09.2022 в 12:34
.. По дефолту этим сертом сбера можно подписать серт от любого сайта, к которому сбер не имеет отношения.
Т.е. MITM для всего траффика.
.. Вот что действительно страшно
: https://habr.com/ru/post/666520/.. Успел только статью прочитать,
а вот комментарии уже нет - доступ закрыт. Оперативно работают...
https://archive.ph/VQwWXAbyss777 18.09.2022 в 11:42
В прошлой новости раскрыли
https://habr.com/ru/news/t/688470/#comment_24736278Каналы связи уже контролируются, стоит СОРМ, просто надоест хранить цифровой шум по закону Яровой, обяжут всех провайдеров делать MitM.
Как уже делают в соседней стране кстати
https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_attack.. ну и третий вариант:
не пользоваться услугами сбера.
https://habr.com/ru/news/t/688470/denis-19 15 сентября в 17:51
Онлайн-сервисы «Сбера» переходят на российские TLS-сертификаты и будут работать только в «Яндекс Браузере» и «Атоме»
...
https://habr.com/ru/news/t/688470/comments/#comment_24736278baldr 15.09.2022 в 20:46
Я еще немного расшифрую: вы ставите себе в доверенные некий корневой сертификат. При попытке зайти (по HTTPS) на сайт, скажем, habr.com, провайдер вас перенаправляет на какой-то левый сервер, но сертификат на нем выпущен на habr.com (и подписан "доверенным" сертификатом!) и вы видете привычную зеленую иконку. Вы вводите свой логин и пароль - и теперь враги могут писать от вашего имени злобные комментарии.
https://archive.ph/https://habr.com/ru/post/666520/--->
https://archive.ph/VQwWX,
https://itnan.ru/post.php?c=1&p=666520Суверенный, сувенирный, самопровозглашенный
... Итак, повторю риторический вопрос: кем был создан сертификат с «Госуслуг», кто и на основании чего решил объявить его национальным и кто, соответственно, готов нести всю связанную с этим сертификатом ответственность, если известно, что якобы сгенерировавший его «национальный удостоверяющий центра» не существует в природе, якобы выпустившее его Минцифры не имеет соответствующих полномочий, а у якобы создавшего НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ?
Практический вопрос таков: если завтра кто-то ломанет ваш ЛК во ФГИС ценообразования в строительстве (единственный известный мне сайт, использующий «национальный» сертификат), а Минстрой скажет: где корневой сертификат скачивали – туда и обращайтесь, вы кому предъявлять станете?
Комментарии 9
...
https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_attackКазахстанская атака «человек посередине»
В 2015 году правительство Казахстана создало корневой сертификат, который мог обеспечить атаку «человек посередине» на HTTPS - трафик от интернет-пользователей в Казахстане . Правительство назвало это «сертификатом национальной безопасности». Если бы сертификат был установлен на устройствах пользователей, он позволил бы правительству Казахстана перехватывать, расшифровывать и повторно шифровать любой трафик, проходящий через контролируемые им системы. [1] [2]
В июле 2019 года казахстанские интернет-провайдеры начали уведомлять своих пользователей о том, что сертификат, который теперь называется Qaznet Trust Certificate [3] , выданный государственным центром сертификации Qaznet Trust Network , теперь должен быть установлен всеми пользователями. [4] [5] [6]
Сайты, которыми управляют Google , Facebook и Twitter , по- видимому, являются одними из первых целей казахстанского правительства. [7]
21 августа 2019 года Mozilla и Google одновременно объявили, что их веб-браузеры Firefox и Chrome не будут принимать выданный государством сертификат, даже если они будут установлены пользователями вручную. [8] [9] Apple также объявила, что они внесут аналогичные изменения в свой браузер Safari . [7] По состоянию на август 2019 года Microsoft до сих пор не вносила никаких изменений в свои браузеры, но повторила, что выданный государством сертификат не находится в доверенном корневом хранилище ни одного из ее браузеров и не будет иметь никакого эффекта, если пользователь установил его вручную. [10]
В декабре 2020 года правительство Казахстана в третий раз попыталось повторно ввести выданный государством корневой сертификат. [11] В ответ на это производители браузеров снова объявили, что будут блокировать любую такую попытку, аннулируя сертификат в своих браузерах. [12]