Российские SSL/TLS сертификаты

[aleksey-v.]

Приветствую!

В свете недавних новостей, интересуюсь, добавляются ли российские сертификаты в процессе установки или обновления системы?
К сожалению, в выводе trust list подходящих не нашёл.

[Skull]

Нет, не добавляются. Попросите апстрим ca-certificates их добавить.

[aleksey-v.]

Создал - https://bugzilla.altlinux.org/42090

Вообще, запрос в текущей ситуации критичный.
Думаю, многие получили письмо от Госуслуг:

Дорогие друзья
Некоторые сайты сейчас могут не открываться. Это связано с проблемами в работе центров сертификации, которые проверяют безопасность и надёжность интернет-ресурсов
Чтобы иметь доступ ко всем сайтам и нужным онлайн-сервисам, в том числе к Госуслугам, рекомендуем установить браузеры, которые поддерживают российский сертификат.

Надеемся на понимание
Команда Минцифры

[red-matter]

Поддержка Яндекс браузера ГОСТ TLS: теперь для Linux и macOS
https://zen.yandex.ru/media/yandexbrowser/podderjka-gost-tls-teper-dlia-linux-i-macos-620f8a254643e629fd295100?&

[aleksey-v.]

Это не совсем то.

Чтобы воспользоваться ей, необходимо установить стороннюю программу «КриптоПро CSP»

И эта программа совсем не бесплатная.

[yaleks]

Нет, не добавляются. Попросите апстрим ca-certificates их добавить.

и лучше сразу в blacklist 

[yaleks]

Чтобы воспользоваться ей, необходимо установить стороннюю программу «КриптоПро CSP»

И эта программа совсем не бесплатная.

Если не надо авторизовываться по своему сертификату (и подписывать им), то бесплатно.

[aleksey-v.]

Пока идёт работа над https://bugzilla.altlinux.org/42090, можете порекомендовать, какие сертификаты следует добавить?
Возможно, уже есть какая-то статья на официальном сайте с инструкцией?

Кстати, я так и не понял про Госуслуги. Сайт https://www.gosuslugi.ru по-прежнему использует сертификат, выданный Sectigo.

Спойлер

* Server certificate:
*  subject: CN=*.gosuslugi.ru
*  start date: Dec  6 00:00:00 2021 GMT
*  expire date: Jan  6 23:59:59 2023 GMT
*  subjectAltName: host "www.gosuslugi.ru" matched cert's "*.gosuslugi.ru"
*  issuer: C=GB; ST=Greater Manchester; L=Salford; O=Sectigo Limited; CN=Sectigo RSA Domain Validation Secure Server CA
*  SSL certificate verify ok.

Сайт https://www.nalog.gov.ru/ сертификат GlobalSign.

Спойлер

* Server certificate:
*  subject: C=RU; ST=Moscow; L=Moscow; O=Federal Tax Service of Russia; CN=*.nalog.gov.ru
*  start date: Dec 24 09:52:02 2021 GMT
*  expire date: Jan 21 12:06:08 2023 GMT
*  issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign RSA OV SSL CA 2018
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.

Спойлер

* Server certificate:
*  subject: C=RU; ST=Moscow; L=Moscow; O=Federal Tax Service of Russia; CN=*.nalog.ru
*  start date: Sep 28 07:21:02 2021 GMT
*  expire date: Oct 30 07:21:02 2022 GMT
*  issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign RSA OV SSL CA 2018
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.

[yaleks]

можете порекомендовать, какие сертификаты следует добавить?

1) https://www.gosuslugi.ru/tls
2) https://espd.rt.ru/

[aleksey-v.]

Отлично! То, что нужно!
Это всё или ещё ещё какие-нибудь?

Давайте я эти ссылки здесь оставлю:
https://espd.rt.ru/cert/ca.root.crt
https://gu-st.ru/content/lending/RootCa_SSL_RSA.zip

[yaleks]

Это всё или ещё ещё какие-нибудь?

Думаю вам нужна инструкция по отключению контроля сертификатов, чтобы не заморачиваться и принимать вообще всё что угодно.

[aleksey-v.]

Боже упаси от такого!  Чему Вы учите?! Ещё кто-нибудь возьмёт да послушает. 

Российские сертификаты надо интегрировать и как можно скорее.
Во множестве стран есть свои сертификаты. И они уже включены в стандартный пакет ca-certificates. Посмотрите: там турецкие, польские, греческие, немецкие сертификаты. Российских нет.

Кстати, Яндекс.Браузер не поддерживает российские сертификаты. 
Откуда вообще эта информация, что Яндекс.Браузет и Атом их поддерживают? Да, я помню, что из почты от Госуслуг-Минцифры.  Кто дезинформировал автора этого письма?

Я сейчас про техническую сторону вопроса. На том сайте есть список сайтов, получивших сертификаты. Среди них https://online-alpha.vtb.ru/. Решил проверить.

Спойлер

* Server certificate:
*  subject: C=RU; ST=St. Petersburg; L=St. Petersburg; O=VTB Bank (PJSC); OU=IT Department; CN=online-alpha.vtb.ru
*  start date: Mar  4 14:59:21 2022 GMT
*  expire date: Mar  4 14:59:21 2023 GMT
*  issuer: C=RU; O=The Ministry of Digital Development and Communications; CN=Russian Trusted Sub CA
*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.

И ожидаемая ошибка в браузере net::ERR_CERT_AUTHORITY_INVALID.

[yaleks]

Российские сертификаты надо интегрировать и как можно скорее.

без реализации корректной системы certificate transparency и гарантий молниеносного отзыва такого корневого сертификата при выпуске первого "левого" сертификата (чем espd занимается постоянно) "торопиться не надо" 

[aleksey-v.]

Чем это должно отличаться от существующего процесса CRL, работающего во всём мире?

[aleksey-v.]

Получил ответ поддержки Я.Браузера:

К сожалению, поддержка сертификатов безопасности, которые выдает Национальный удостоверяющий центр, работает только в браузерах на Windows и на Android, другие платформы пока прорабатываются.

Спасибо за понимание!

Стыдно, стыдно.
 

Но это означает, что плевать на Я.Браузер и надо скорее добавить CA в саму OS.
Поэтому очень надеюсь на https://bugzilla.altlinux.org/42090.