Автор Тема: Российские SSL/TLS сертификаты  (Прочитано 3003 раз)

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: Российские SSL/TLS сертификаты
« Ответ #30 : 17.03.2022 00:32:22 »
Отнюдь!  ;-) На чистой системе Alt Wks p10, out-of-box, после установки Я.Браузера с сайта.
Всё сразу открывается. Не требуется ни дополнительных программ устанавливать, ни CA chain. Красотища!  :-*

А Mozilla FF и MS Edge на той свежей системе говорят

NET::ERR_CERT_AUTHORITY_INVALID
Subject: online-alpha.vtb.ru
Issuer: Russian Trusted Sub CA
Expires on: 4 мар. 2023 г.
Current date: 17 мар. 2022 г.
PEM encoded chain:

Оффлайн trs

  • Давно тут
  • **
  • Сообщений: 218
Re: Российские SSL/TLS сертификаты
« Ответ #31 : 17.03.2022 06:42:40 »
На чистой системе Alt Wks p10, out-of-box, после установки Я.Браузера с сайта.
Всё сразу открывается.
Вот Вам и "вечная бета" (ц). Слава Богу, что ЯБ устанавливается в систему из rpm пакета при помощи apt-get install.

Об этом думают операторы CA и разработчики операционных систем. Это их профессия, они этому учились, регулярно с этом работают и получают зарплату.
Вы излишне оптимистичны. Довелось познакомиться с разработчиком, как они сами себя называют, "Российская ОС", который учился на физика-теоретика и за всю свою жизнь написал курсовик на языке Pascal, а потому предлагал пользователю скопировать раздел в каталог командой dd if=/dev/sda2 of=/home. И там все примерно такие, иначе как бы он туда попал? В Альте в техническом плане существенно лучше, но они ведь 20 лет занимались не импортозамещением, а заменяли Windows и наоборот хотели интегрироваться с мировым сообществом СПО. Просто почему-то так получилось, что они оказались здесь чуть ли не единственные.
« Последнее редактирование: 17.03.2022 06:48:37 от trs »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 295
    • Домашняя страница
    • Email
Андрей Черепанов (cas@)

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: Российские SSL/TLS сертификаты
« Ответ #33 : 17.03.2022 10:12:32 »
Отлично! Большое спасибо!

curl
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server did not agree to a protocol
* Server certificate:
*  subject: C=RU; ST=St. Petersburg; L=St. Petersburg; O=VTB Bank (PJSC); OU=IT Department; CN=online-alpha.vtb.ru
*  start date: Mar  4 14:59:21 2022 GMT
*  expire date: Mar  4 14:59:21 2023 GMT
*  subjectAltName: host "online-alpha.vtb.ru" matched cert's "online-alpha.vtb.ru"
*  issuer: C=RU; O=The Ministry of Digital Development and Communications; CN=Russian Trusted Sub CA
*  SSL certificate verify ok.
> GET / HTTP/1.1
> Host: online-alpha.vtb.ru

MS Edge и Mozilla Firefox открыли сайт без ошибок сертификатов.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 295
    • Домашняя страница
    • Email
Re: Российские SSL/TLS сертификаты
« Ответ #34 : 17.03.2022 13:46:01 »
Завтра будет доступна в p10 и c9f2. В p9 чуть позже.
Андрей Черепанов (cas@)

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: Российские SSL/TLS сертификаты
« Ответ #35 : 17.03.2022 13:46:38 »
Теперь надо как-нибудь распространить этот пакет на все системы.

Можно по аналогии с пакетом ca-certificates:
rpm -q --whatrequires --queryformat "%{NAME}.%{ARCH}\n"  ca-certificates
python3-module-urllib3.noarch
librest.x86_64
glib-networking.x86_64
vivaldi-stable.x86_64
libcrypto1.1.x86_64
libcurl.x86_64
ansible.noarch
yandex-browser-beta.x86_64
microsoft-edge-stable.x86_64

Или ради важности процесса добавить зависимость от ca-certificates-digital.gov.ru к пакетам alt-os-release или branding-alt-workstation-release.


Потому что сейчас
rpm -q --whatrequires --queryformat "%{NAME}.%{ARCH}\n"  ca-certificates-digital.gov.ru
ни один из пакетов не требует ca-certificates-digital.gov.ru



Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 146
Re: Российские SSL/TLS сертификаты
« Ответ #36 : 17.03.2022 15:34:18 »
ни один из пакетов не требует ca-certificates-digital.gov.ru
и правильно, иначе образы с альтом как вредоносное ПО будут для антивирусов.
« Последнее редактирование: 17.03.2022 17:23:57 от yaleks »

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: Российские SSL/TLS сертификаты
« Ответ #37 : 17.03.2022 15:46:52 »
Для рабочих станций Linux на недавнее время существовало только два антивируса: Dr.Web и ESET. Все другие слились, Sophos, Comodo, etc. Clamav не рассматриваем.
Для серверов - какой смысл проверять этот пакет в почте или в файлах?

В любом случае иностранные антивирусы нам неинтересны.
А местные:

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 295
    • Домашняя страница
    • Email
Re: Российские SSL/TLS сертификаты
« Ответ #38 : 17.03.2022 16:24:36 »
Или ради важности процесса добавить зависимость от ca-certificates-digital.gov.ru к пакетам alt-os-release или branding-alt-workstation-release.
Однозначно, нет. Мы не фашисты и не принуждаем.
Андрей Черепанов (cas@)

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: Российские SSL/TLS сертификаты
« Ответ #39 : 17.03.2022 16:32:27 »
А как иначе обеспечить доставку этого пакета?  :-o
Если человек сам не узнает и на заинтересуется установкой, то как у него на компьютере появятся нужные файлы?
К примеру, tzdata распространяется в рамках регулярных обновлений. Ожидание, что так же будет и с ca-certificates-digital.gov.ru. Тем более, что они могут меняться во временем.

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 146
Re: Российские SSL/TLS сертификаты
« Ответ #40 : 27.03.2022 19:08:57 »
https://vk.com/wall-667081_40796 - тупой маркетинг в ущерб технологии. Без Яндекс браузера, который это носит с собой, и якобы умеет проверять (доступно и в текущей версии для linux), это опасно. Тем более внутри этих сертификатов написано что они выдаются Ростелекомом, имеющем в наличии средства для осуществления  MiTM (espd.rt.ru).

Оффлайн sashaqwert

  • Начинающий
  • *
  • Сообщений: 10
Re: Российские SSL/TLS сертификаты
« Ответ #41 : 04.08.2022 11:24:17 »
Планируется ли добавлять корневой сертификат ТЦИ? https://cctld.ru/media/news/industry/32585/?rtm_source=e-mail&rtm_medium=e-mail&rtm_campaign=NewsDigestDark_41735
Корневые сертификаты: https://tlscc.ru/ecdsa-a1.crt и https://tlscc.ru/gost-a1.crt

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 295
    • Домашняя страница
    • Email
Re: Российские SSL/TLS сертификаты
« Ответ #42 : 04.08.2022 21:18:44 »
Что это за контора и зачем она?
Андрей Черепанов (cas@)

Оффлайн sashaqwert

  • Начинающий
  • *
  • Сообщений: 10
Re: Российские SSL/TLS сертификаты
« Ответ #43 : 05.08.2022 12:06:31 »
Что это за контора и зачем она?
Технический центр Интернет: https://www.tcinet.ru/about/
Подробнее: https://www.tcinet.ru/about/how-it-works/

Ещё один российский центр SSL/TLS сертификации. Создан "Технический центр Интернет" (ООО ТЦИ) https://tlscc.ru/
Отличие от ЦС госуслуг в том, что сертификаты могут получить не только юридические, но и физические лица. Проверка владения доменом происходит как в большинстве зарубежных ЦС (TXT-запись DNS или загрузка тестового файла).
Поддерживается 2 вида сертификатов: ГОСТ (работает с настроенным на этот стандарт ПО) и  ECDSA (Обычный SSL/TLS).

Моё мнение о ЦС: идея хорошая, но пока ещё не сделана нормальная инструкция: например, в качестве ключа по инструкции нужно указать файл ".key", а при создании выдаётся ".key.pem". (для теста использовалась автоматическая генерация CSR)
Планирую использовать после выхода ЦС из беты при условии бесплатности.
« Последнее редактирование: 05.08.2022 16:09:22 от sashaqwert »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 295
    • Домашняя страница
    • Email
Re: Российские SSL/TLS сертификаты
« Ответ #44 : 05.08.2022 22:35:52 »
Какая-то шарашка.
Андрей Черепанов (cas@)