Российские SSL/TLS сертификаты

[aleksey-v.]

Отнюдь!  На чистой системе Alt Wks p10, out-of-box, после установки Я.Браузера с сайта.
Всё сразу открывается. Не требуется ни дополнительных программ устанавливать, ни CA chain. Красотища! 

А Mozilla FF и MS Edge на той свежей системе говорят

NET::ERR_CERT_AUTHORITY_INVALID
Subject: online-alpha.vtb.ru
Issuer: Russian Trusted Sub CA
Expires on: 4 мар. 2023 г.
Current date: 17 мар. 2022 г.
PEM encoded chain:

[trs]

На чистой системе Alt Wks p10, out-of-box, после установки Я.Браузера с сайта.
Всё сразу открывается.

Вот Вам и "вечная бета" (ц). Слава Богу, что ЯБ устанавливается в систему из rpm пакета при помощи apt-get install.

Об этом думают операторы CA и разработчики операционных систем. Это их профессия, они этому учились, регулярно с этом работают и получают зарплату.

Вы излишне оптимистичны. Довелось познакомиться с разработчиком, как они сами себя называют, "Российская ОС", который учился на физика-теоретика и за всю свою жизнь написал курсовик на языке Pascal, а потому предлагал пользователю скопировать раздел в каталог командой dd if=/dev/sda2 of=/home. И там все примерно такие, иначе как бы он туда попал? В Альте в техническом плане существенно лучше, но они ведь 20 лет занимались не импортозамещением, а заменяли Windows и наоборот хотели интегрироваться с мировым сообществом СПО. Просто почему-то так получилось, что они оказались здесь чуть ли не единственные.

[Skull]

https://packages.altlinux.org/ru/sisyphus/srpms/ca-certificates-digital.gov.ru/

[aleksey-v.]

Отлично! Большое спасибо!

curl
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server did not agree to a protocol
* Server certificate:
*  subject: C=RU; ST=St. Petersburg; L=St. Petersburg; O=VTB Bank (PJSC); OU=IT Department; CN=online-alpha.vtb.ru
*  start date: Mar  4 14:59:21 2022 GMT
*  expire date: Mar  4 14:59:21 2023 GMT
*  subjectAltName: host "online-alpha.vtb.ru" matched cert's "online-alpha.vtb.ru"
*  issuer: C=RU; O=The Ministry of Digital Development and Communications; CN=Russian Trusted Sub CA
*  SSL certificate verify ok.
> GET / HTTP/1.1
> Host: online-alpha.vtb.ru

MS Edge и Mozilla Firefox открыли сайт без ошибок сертификатов.

[Skull]

Завтра будет доступна в p10 и c9f2. В p9 чуть позже.

[aleksey-v.]

Теперь надо как-нибудь распространить этот пакет на все системы.

Можно по аналогии с пакетом ca-certificates:

Код: [Выделить]

rpm -q --whatrequires --queryformat "%{NAME}.%{ARCH}\n"  ca-certificates
python3-module-urllib3.noarch
librest.x86_64
glib-networking.x86_64
vivaldi-stable.x86_64
libcrypto1.1.x86_64
libcurl.x86_64
ansible.noarch
yandex-browser-beta.x86_64
microsoft-edge-stable.x86_64
Или ради важности процесса добавить зависимость от ca-certificates-digital.gov.ru к пакетам alt-os-release или branding-alt-workstation-release.


Потому что сейчас

Код: [Выделить]

rpm -q --whatrequires --queryformat "%{NAME}.%{ARCH}\n"  ca-certificates-digital.gov.ru
ни один из пакетов не требует ca-certificates-digital.gov.ru

[yaleks]

ни один из пакетов не требует ca-certificates-digital.gov.ru

и правильно, иначе образы с альтом как вредоносное ПО будут для антивирусов.

[aleksey-v.]

Для рабочих станций Linux на недавнее время существовало только два антивируса: Dr.Web и ESET. Все другие слились, Sophos, Comodo, etc. Clamav не рассматриваем.
Для серверов - какой смысл проверять этот пакет в почте или в файлах?

В любом случае иностранные антивирусы нам неинтересны.
А местные:

• https://vms.drweb.ru/online/ и https://opentip.kaspersky.com/ не находят ничего странного в пакете.
• Всегда можно договориться на включение в whitelist.

[Skull]

Или ради важности процесса добавить зависимость от ca-certificates-digital.gov.ru к пакетам alt-os-release или branding-alt-workstation-release.

Однозначно, нет. Мы не фашисты и не принуждаем.

[aleksey-v.]

А как иначе обеспечить доставку этого пакета? 
Если человек сам не узнает и на заинтересуется установкой, то как у него на компьютере появятся нужные файлы?
К примеру, tzdata распространяется в рамках регулярных обновлений. Ожидание, что так же будет и с ca-certificates-digital.gov.ru. Тем более, что они могут меняться во временем.

[yaleks]

https://vk.com/wall-667081_40796 - тупой маркетинг в ущерб технологии. Без Яндекс браузера, который это носит с собой, и якобы умеет проверять (доступно и в текущей версии для linux), это опасно. Тем более внутри этих сертификатов написано что они выдаются Ростелекомом, имеющем в наличии средства для осуществления  MiTM (espd.rt.ru).

[sashaqwert]

Планируется ли добавлять корневой сертификат ТЦИ? https://cctld.ru/media/news/industry/32585/?rtm_source=e-mail&rtm_medium=e-mail&rtm_campaign=NewsDigestDark_41735
Корневые сертификаты: https://tlscc.ru/ecdsa-a1.crt и https://tlscc.ru/gost-a1.crt

[Skull]

Что это за контора и зачем она?

[sashaqwert]

Что это за контора и зачем она?

Технический центр Интернет: https://www.tcinet.ru/about/
Подробнее: https://www.tcinet.ru/about/how-it-works/

Ещё один российский центр SSL/TLS сертификации. Создан "Технический центр Интернет" (ООО ТЦИ) https://tlscc.ru/
Отличие от ЦС госуслуг в том, что сертификаты могут получить не только юридические, но и физические лица. Проверка владения доменом происходит как в большинстве зарубежных ЦС (TXT-запись DNS или загрузка тестового файла).
Поддерживается 2 вида сертификатов: ГОСТ (работает с настроенным на этот стандарт ПО) и  ECDSA (Обычный SSL/TLS).

Моё мнение о ЦС: идея хорошая, но пока ещё не сделана нормальная инструкция: например, в качестве ключа по инструкции нужно указать файл ".key", а при создании выдаётся ".key.pem". (для теста использовалась автоматическая генерация CSR)
Планирую использовать после выхода ЦС из беты при условии бесплатности.

[Skull]

Какая-то шарашка.