Автор Тема: Российские SSL/TLS сертификаты  (Прочитано 3004 раз)

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Приветствую!

В свете недавних новостей, интересуюсь, добавляются ли российские сертификаты в процессе установки или обновления системы?
К сожалению, в выводе trust list подходящих не нашёл.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 295
    • Домашняя страница
    • Email
Re: Российские SSL/TLS сертификаты
« Ответ #1 : 10.03.2022 08:49:43 »
Нет, не добавляются. Попросите апстрим ca-certificates их добавить.
Андрей Черепанов (cas@)

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: Российские SSL/TLS сертификаты
« Ответ #2 : 10.03.2022 11:24:51 »
Создал - https://bugzilla.altlinux.org/42090

Вообще, запрос в текущей ситуации критичный.
Думаю, многие получили письмо от Госуслуг:

Дорогие друзья
Некоторые сайты сейчас могут не открываться. Это связано с проблемами в работе центров сертификации, которые проверяют безопасность и надёжность интернет-ресурсов
Чтобы иметь доступ ко всем сайтам и нужным онлайн-сервисам, в том числе к Госуслугам, рекомендуем установить браузеры, которые поддерживают российский сертификат.

Надеемся на понимание
Команда Минцифры

Оффлайн red-matter

  • Давно тут
  • **
  • Сообщений: 254
Re: Российские SSL/TLS сертификаты
« Ответ #3 : 10.03.2022 13:26:15 »
Поддержка Яндекс браузера ГОСТ TLS: теперь для Linux и macOS
https://zen.yandex.ru/media/yandexbrowser/podderjka-gost-tls-teper-dlia-linux-i-macos-620f8a254643e629fd295100?&

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: Российские SSL/TLS сертификаты
« Ответ #4 : 10.03.2022 13:32:20 »
Это не совсем то.

Цитировать
Чтобы воспользоваться ей, необходимо установить стороннюю программу «КриптоПро CSP»

И эта программа совсем не бесплатная.

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 146
Re: Российские SSL/TLS сертификаты
« Ответ #5 : 10.03.2022 15:45:25 »
Нет, не добавляются. Попросите апстрим ca-certificates их добавить.
и лучше сразу в blacklist  :-t

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 146
Re: Российские SSL/TLS сертификаты
« Ответ #6 : 10.03.2022 22:57:13 »
Цитировать
Чтобы воспользоваться ей, необходимо установить стороннюю программу «КриптоПро CSP»
И эта программа совсем не бесплатная.
Если не надо авторизовываться по своему сертификату (и подписывать им), то бесплатно.

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: Российские SSL/TLS сертификаты
« Ответ #7 : 10.03.2022 23:00:48 »
Пока идёт работа над https://bugzilla.altlinux.org/42090, можете порекомендовать, какие сертификаты следует добавить?
Возможно, уже есть какая-то статья на официальном сайте с инструкцией?

Кстати, я так и не понял про Госуслуги. Сайт https://www.gosuslugi.ru по-прежнему использует сертификат, выданный Sectigo.
Спойлер
* Server certificate:
*  subject: CN=*.gosuslugi.ru
*  start date: Dec  6 00:00:00 2021 GMT
*  expire date: Jan  6 23:59:59 2023 GMT
*  subjectAltName: host "www.gosuslugi.ru" matched cert's "*.gosuslugi.ru"
*  issuer: C=GB; ST=Greater Manchester; L=Salford; O=Sectigo Limited; CN=Sectigo RSA Domain Validation Secure Server CA
*  SSL certificate verify ok.

Сайт https://www.nalog.gov.ru/ сертификат GlobalSign.
Спойлер
* Server certificate:
*  subject: C=RU; ST=Moscow; L=Moscow; O=Federal Tax Service of Russia; CN=*.nalog.gov.ru
*  start date: Dec 24 09:52:02 2021 GMT
*  expire date: Jan 21 12:06:08 2023 GMT
*  issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign RSA OV SSL CA 2018
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
Спойлер
* Server certificate:
*  subject: C=RU; ST=Moscow; L=Moscow; O=Federal Tax Service of Russia; CN=*.nalog.ru
*  start date: Sep 28 07:21:02 2021 GMT
*  expire date: Oct 30 07:21:02 2022 GMT
*  issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign RSA OV SSL CA 2018
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 146
Re: Российские SSL/TLS сертификаты
« Ответ #8 : 10.03.2022 23:05:12 »
можете порекомендовать, какие сертификаты следует добавить?
1) https://www.gosuslugi.ru/tls
2) https://espd.rt.ru/

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: Российские SSL/TLS сертификаты
« Ответ #9 : 10.03.2022 23:13:54 »
Отлично! То, что нужно!
Это всё или ещё ещё какие-нибудь?

Давайте я эти ссылки здесь оставлю:
https://espd.rt.ru/cert/ca.root.crt
https://gu-st.ru/content/lending/RootCa_SSL_RSA.zip

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 146
Re: Российские SSL/TLS сертификаты
« Ответ #10 : 10.03.2022 23:21:53 »
Это всё или ещё ещё какие-нибудь?
Думаю вам нужна инструкция по отключению контроля сертификатов, чтобы не заморачиваться и принимать вообще всё что угодно.

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: Российские SSL/TLS сертификаты
« Ответ #11 : 10.03.2022 23:29:47 »
Боже упаси от такого!  :-o Чему Вы учите?! Ещё кто-нибудь возьмёт да послушает.  ;-D

Российские сертификаты надо интегрировать и как можно скорее.
Во множестве стран есть свои сертификаты. И они уже включены в стандартный пакет ca-certificates. Посмотрите: там турецкие, польские, греческие, немецкие сертификаты. Российских нет.

Кстати, Яндекс.Браузер не поддерживает российские сертификаты.  :-t
Откуда вообще эта информация, что Яндекс.Браузет и Атом их поддерживают? Да, я помню, что из почты от Госуслуг-Минцифры.  :-D Кто дезинформировал автора этого письма?

Я сейчас про техническую сторону вопроса. На том сайте есть список сайтов, получивших сертификаты. Среди них https://online-alpha.vtb.ru/. Решил проверить.
Спойлер
* Server certificate:
*  subject: C=RU; ST=St. Petersburg; L=St. Petersburg; O=VTB Bank (PJSC); OU=IT Department; CN=online-alpha.vtb.ru
*  start date: Mar  4 14:59:21 2022 GMT
*  expire date: Mar  4 14:59:21 2023 GMT
*  issuer: C=RU; O=The Ministry of Digital Development and Communications; CN=Russian Trusted Sub CA
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.
И ожидаемая ошибка в браузере net::ERR_CERT_AUTHORITY_INVALID.

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 146
Re: Российские SSL/TLS сертификаты
« Ответ #12 : 10.03.2022 23:52:10 »
Российские сертификаты надо интегрировать и как можно скорее.
без реализации корректной системы certificate transparency и гарантий молниеносного отзыва такого корневого сертификата при выпуске первого "левого" сертификата (чем espd занимается постоянно) "торопиться не надо"  ;-)

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: Российские SSL/TLS сертификаты
« Ответ #13 : 10.03.2022 23:58:51 »
Чем это должно отличаться от существующего процесса CRL, работающего во всём мире?

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: Российские SSL/TLS сертификаты
« Ответ #14 : 11.03.2022 16:28:37 »
Получил ответ поддержки Я.Браузера:

Цитировать
К сожалению, поддержка сертификатов безопасности, которые выдает Национальный удостоверяющий центр, работает только в браузерах на Windows и на Android, другие платформы пока прорабатываются.

Спасибо за понимание!
Стыдно, стыдно.
 :'-(

Но это означает, что плевать на Я.Браузер и надо скорее добавить CA в саму OS.
Поэтому очень надеюсь на https://bugzilla.altlinux.org/42090.