Впихнуть и затолкать можно, конечно.
Мы говорим о другом: сейчас объявлен беспрецедентный вызов российской инфраструктуре.
В любой момент могут перестать работать сертификаты, защищающие ключевые российские сервисы.
Это большое упущение и даже позор, что у России не было рабочего CA, доступного всем. Были какие-то местечковые решения типа КриптоПро.
Посмотрите состав пакета
ca-certificate, в любой стране есть свои CA: Польша, Венгрия, Греция, Турция. Россия там не представлена.
Ладно, пусть нет российских CA в этом пакете. Но российским OS должны поставляться в российскими CA. Чтобы любой пользователь мог открыть сайты Госуслуг, налоговой и прочих out-of-box, без заталкивания чего-либо по инструкции.
Никого ведь не удивляет, что американская операционная система поставляется с американскими сертификатами. И всё работает без дополнительных инструкций. Запускаешь программу, и всё сразу открывается.
А представьте такой вектор атаки.
Проходит новость, что нужно установить корневые сертификаты, для работы с указанными государственными да и прочими сайтами, например, банками.
Человек пытается открыть сайт, например, Госуслуг, у него не открывается.
Он резонно идёт в google/yandex/bing в поисках инструкции для заталкивания и набирает фразу типа "
госуслуги ошибка сертификат".
И ему в первых строках выдачи отображается инструкция по заталкиванию некого Root CA.
Подстроить такую выдачу для опытного SEO вполне реально. Примеры - выдача в первых строках фишинговых сайтов банков.
Только этот Root CA не имеет никакого отношения к официальным российским CA.
Но человек этого не понимает, да он и не обязан - он пользователь. И загружает вредоносный CA на свой компьютер, следуя некой наспех найденной инструкции.
Этого бы не случилось, если российская операционная система изначально понимала российские сертификаты.
