России нужно пересесть на правильные браузеры

Автор:

26 января 2023 17:01

Сообщество : Жить в России

Метки: Атом Россия Яндекс интересно протоколы сбер сертификаты

4992

Суверенные сертификаты для суверенного интернета. И речь совсем не про блокировки

Иностранные центры, выдающие сертификаты для обеспечения защищенного соединения HTTPS, разорвали отношения с организациями, попавшими под санкции. Казалось бы, ничего страшного. Можно использовать российские сертификаты, например, от Национального удостоверяющего центра (НУЦ) при Минцифры РФ.

России нужно пересесть на правильные браузеры

Но есть проблема, вытекающая из устройства сети. Корневые УЦ — это ограниченное число широко известных и доверенных организаций, которые подтверждают «личность» локальных УЦ по всему миру. И уже эти второстепенные центры выпускают сертификаты, подтверждающие, что сайт Х — действительно сайт Х.

Вот только корневой сертификат, выданный НУЦ, не считается доверенным иностранными УЦ. Не потому, что он чем-то отличается от «западных» сертификатов — решение сугубо политическое.

Поэтому российские сертификаты в иностранных браузерах и на иностранных ОС помечены как «ненадежные», и безопасное соединение с такими сайтами не установить.

Чтобы они адекватно воспринимались, необходимо установить корневой сертификат Минцифры на все устройства россиян или «пересадить» их на «правильные» браузеры («Яндекс Браузер» или «Атом»).

Источник:

Проблема в том, что все это неудобно и непонятно для пользователей. Так как речь идет о безопасности устройства, все действия проводятся вручную. Автоматизировать процесс нельзя. Еще 20 октября «Сбер» выпустил видеоинструкции, но это не сильно помогло.

Пока речь идет прежде всего о корпоративных клиентах. Уже 30 января «Сбер» переведет свой платежный шлюз на TLS-сертификаты, выпущенные НУЦ. Интернет-магазинам и веб-сервисам необходимо до конца января добавить на свои серверы корневой сертификат Минцифры для продолжения корректной работы с API банка, а также проверить его работу.

Ближайшие месяцы будут сложными и для бизнеса, и для пользователей. Краха рунета не случится, но «попотеть» придется. Пусть переход на отечественные сертификаты и будет болезненным, зато обеспечит независимость наших сайтов от международных УЦ.

Источник:

Ссылки по теме:

подписаться на сообщество "Жить в России"

Метки: Атом Россия Яндекс интересно протоколы сбер сертификаты

Новости партнёров

А что вы думаете об этом?

Фото Видео Демотиватор Мем ЛОЛ Twitter Instagram Аудио

Отправить комментарий в Вконтакте

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Фото Видео Демотиватор Мем ЛОЛ Twitter Instagram Audio

Отправить комментарий в: Вконтакте Отправить комментарий в Вконтакте

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

61 комментарий

Сначала новые

Сначала лучшие Сначала старые

Лучший комментарий

dikijnub Год назад

Сижу на Тормозилле с версии 0.5.2. Привычка.

Главное, в любом браузере считаю, чтобы он умел наглухо валить всю рекламу от Яндекса.

Ответить • Ссылка • Пожаловаться •

16k

анатолий Год назад

пользуюсь оперой, вроде норм

Ответить • Ссылка • Пожаловаться •

Алиса Год назад

Просто факт, какой браузер на самом деле объявлен "правильным" - на Astra Linux, облепленном сертификатами ФСТЭК по самые гланды, массово сейчас поставляемом во все госучреждения в срочнопринудительном порядке за 30тыр/место, усмановского Atom и нидерландского Яндекс-Брузера нету, а устаревший Firefox 93 есть.

Ответить • Ссылка • Пожаловаться •

47k

Игорь Год назад

Автор, ещё про RuStore напиши, и почему в него только с учётными записями Сбера и VK войти можно, или вводи номер телефона, и получай код по СМС.
Всё бы ничего, но только после каждого такого входа телефон заваливают предложениями от контор микрозаймов.

Всё ПО от Яндекса, - это первое что я удаляю с телефона или компьютера.

Ответить • Ссылка • Пожаловаться •

Сергей С Год назад

Не кто не мешает добавить сертификат вручную

Ответить • Ссылка • Пожаловаться •

HUBLOT Год назад

Автор, ты предложи россиянам браузер "амиго" и поисковик "спутник". Чай отечественные.

-5

Ответить • Ссылка • Пожаловаться •

Нечаинка HUBLOT Год назад

Спутнику поддержку 31 января прикрывают.

Ответить • Ссылка • Пожаловаться •

drTNT HUBLOT Год назад

Атом это и есть Амиго. Просто майл ру немного его перелицевал и дал новое название.

Ответить • Ссылка • Пожаловаться •

evenSeven Год назад

Yandex браузер вполне себе. Не без приколов, но, по крайней мере, так не тупит, как Firefox. И есть приятные плюшки. Что-то выделять, копировать, работа со скриншотами, автоматишный перевод по правой клавише все это в нем из коробки и... удобно, как ни странно.

Ответить • Ссылка • Пожаловаться •

62k

ВСЕМ БОБРА и ПЕЧЕНЕК evenSeven Год назад

Yandex браузер я удалил,фонит немного. в плане служба обновлений пашет по умолчанию.

Ответить • Ссылка • Пожаловаться •

likiloki ВСЕМ БОБРА и ПЕЧЕНЕК Год назад

Так этим почти все браузеры грешат. Хром например постоянно в фоне ресурсы тянет. Конечно это все можно вручную заблокировать, но тратить на это время... В общем я тоже его удалил. Сейчас Vivaldi использую, реально очень комфортный

Ответить • Ссылка • Пожаловаться •

62k

ВСЕМ БОБРА и ПЕЧЕНЕК likiloki Год назад

по тестам он вроде бы самый слабый.

-1

Ответить • Ссылка • Пожаловаться •

−3

Минцифры evenSeven Год назад

Там один прикол-Алиса чего только стоит. Кто работал на яндекс-толоке знают, куда сливается всё ею услышанное)

Ответить • Ссылка • Пожаловаться •

217

Алексей Год назад

Проблема как раз в другом, что народ не очень доверяет российским сертификатом в силу того, что у нас любые базы данных продаются на черном рынке, а значит и корневые сертификаты могут попасть в очень нехорошие руки, а после этого будет взломана защита ЛЮБОГО сайта построенного на этих сертификатах. То есть переход на отечественные сертификаты это большой риск для безопасности, особенно когда множество айтишников не очень лояльны режиму.

Ответить • Ссылка • Пожаловаться •

10k

Олег Алексей Год назад

Проблема в том, что ты понятия не имеешь как работают центры выпуска доверенных сертификатов, как и то, что такое корневой сертификат. Ты и наплюсовавшие тебе сейчас похожи на Боню которая про вышки 5G заливала...

Ответить • Ссылка • Пожаловаться •

−3

Минцифры Олег Год назад

Хорошая работа, Олег! Но давай всё же попытаемся объяснить товарищу с его сотоварищами от чего он отказывается не доверяя Минцифрам. Общая схема "защищенного соединения" имеет форму треугольника. Алиса(пользователь)-Боб(сайт)-и Удостоверяющий центр. Когда Алиса хочет инициировать защищенное соединение с Бобом, она обращается по каналу связи к Удостоверяющему центру за сертификатом(справкой), подтверждающим(подписывающим), что Боб этот Боб. С помощью этого подтверждающего ключа шифрует свое обращение и оправляет по каналу связи Бобу. Боб, в свою очередь, получив зашифрованное, может расшифровать это сообщение имея свой секретный фрагмент ключа, математическими формулами связанный с хранящимся в Удостоверяющем центре. Когда любопытный Ваня из Минцифр хочет отследить переписку Алисы с Бобом, он ставит на канал между Алисой и центром, и на канал между Алисой и Бобом своё оборудование, которое по запросу Алисы сначала выдаст поддельный открытый ключ Боба, а потом расшифрует, прочитает и обратно зашифрует своим ключом для дальнейшей передачи Бобу. Таким образом, прежде все коммуникации сливались сразу в АНБ, а теперь идут через посредника в Минцыфры: "Родина слышит" всегда, - поэтому не уважаемые кибердрочилы пользуются стеганографией, позволяющей в открытое фото или видео-сообщение типа бессмысленного youtu . be/92nkyHjKv5M благополучно вплетать осмысленное.
PS: зачем это объяснять? Затем, чтобы люди понимали, на какую именно чухню очередной раз тратятся бюджетные лярды.

-3

Ответить • Ссылка • Пожаловаться •

ФИШКИ - ГОВНО Алексей Год назад

Алексей, а расскажите пожалуйста, как попавшие не в те руки корневые сертификаты позволяют обоже-боже взломать защиту ЛЮБОГО сайта?

Можете начать с обьяснения, как вы взломаете защиту, ну не знаю там, Пентагона. Мне кажется это нобелевка сразу, если б ее давали за криптографию, ну уж точно все награды года в области кибербезопасности.

TLS решает 2 задачи, разные, аутентификация (сайта, но может быть и двусторонняя) + шифрование трафика. Причем вторая задача требует доступа к трафику, что без физического доступа к линии абонента может провайдер (и СОРМ), а не каждый левый джо. Потом нужно поймать конктретно момент обмена эфемерными ключами, потому что трафик шифруется нифига не криптографией из сертификатов. И только тогда можно получить данные логина и содержимое траффика. Но и тогда можно налететь на 2FA (нужен контроль над опсосом или поддельная БС) и шифрование уровня приложения. А с первой задачей можно влететь на пин сертификата.

И вообще это не самая плохая идея иметь разные браузеры для банков и официальных сайтов и для всего остального.

Но расскажите, пожалуйста, как вы будете ломать сайт, ну пускай, МВФ, любой сайт же, защита.

Ответить • Ссылка • Пожаловаться •

Алиса ФИШКИ - ГОВНО Год назад

Вам же Минцифра объяснила принцип выше. Неужели не доходчиво? Ок, рассмотрим конкретный кейс, на примере Спёр-банка, того самого, который оказывал финансовую поддержку спецоперации по развалу СССР, а ныне здравствует. Банк с завидной регулярностью обновляет своё приложение, блокируя старые версии. Где рядовому пользователю скачать его обновление? Только с "официального" сайта банка. А если у тебя на правах Центра сертификации есть возможность указывать пользователям какие сайты заслуживают официального доверия, а какие нет, то ты сможешь перенаправить трафик с адреса банка на свой домен, даже с тем же именем (так как клиенты все-равно брали сертификат не в банке, а в твоём карманном Центре сертификации). На сертицифированном таким способом сайте располагается приложение-прокладка, которое в дальнейшем ко всем операциям пользователя, естественно авторизовавшегося по 2fa со всеми внешними атрибутами надёжности, зеленой галочкой в гос-браузере, добавляет небольшую комиссию за посредничество. Невероятно? Но схема рабочая! На практике давно можно наблюдать как трафик с китайского aliexpress.com уводит Mail.ru Group и уже сумели законно оформить эту сделку без ведома самих китайцев hi-tech .mail. ru/review/vse-o-sdelke-goda-Aliexpress/
PS: по поводу 5G, а сколько одиноких стариков нашли и довели до самоубийства Ростелекомовские дельцы с применением RF-зрения по Wi-Fi, позволяющего видеть движения сквозь стены и буквально выжигать мозги людям - не счесть, плачут бедные со стонами "Он нам и нах й не нужон ваш Интернет!"(С)

Ответить • Ссылка • Пожаловаться •

Frank Borman Год назад

-1

Ответить • Ссылка • Пожаловаться •

25k

Евгений Год назад

С тех пор, как интернет был по карточкам и до сего дня, сижу на Опере.

Ответить • Ссылка • Пожаловаться •

Froll Евгений Год назад

Я тоже,но от той оперы осталось только название.А жаль.Был один из лучших браузеров.

Ответить • Ссылка • Пожаловаться •

likiloki Евгений Год назад

Сравнительно недавно от него отказался. Жаль что он упал в качестве, был топовым раньше

Ответить • Ссылка • Пожаловаться •

25k

Евгений likiloki Год назад

В пользу чего отказался, если не секрет?

Ответить • Ссылка • Пожаловаться •

КАКАнгел Год назад

не чего не понял, но одобряю.

Ответить • Ссылка • Пожаловаться •

13k

Konstantin Год назад

По работе пришлось ставить корневые сертификаты НУЦ в системное хранилище и в хром...
Сбербанк для пользователей переходит на альтернативные домены, с международными сертификатами, поэтому пользователям пока что не обязательно переходить на отечественные браузеры, но...

Ответить • Ссылка • Пожаловаться •

perekrestok Год назад

ГуглХром, Яндекс, Сафари. Глючит давно только Сафари, причем именно по сертификатам безопасности. Остальные работают нормально. Поставил российские сертификаты. Правда хожу мало куда. Только пять сайтов новостей, Фишки, спорт, автогонки. Ну и сайты с девушками разной степени одетости.

Ответить • Ссылка • Пожаловаться •

MidMaster Год назад

Только Нетшкаф :)

Ответить • Ссылка • Пожаловаться •

dikijnub MidMaster Год назад

Только Нетшкаф Голд 3.0. Навигатор сакс.

Ответить • Ссылка • Пожаловаться •

Гвоздь Год назад

ставим атом. фсб одобряет.

-3

Ответить • Ссылка • Пожаловаться •

155

Sebastian Год назад

Я пользуюсь браузером Puffin.
В нём все сайты открываются без всяких проблем. Даже те, что заблокированы на территории РФ.

-1

Ответить • Ссылка • Пожаловаться •

Комментарий скрыт по причине низкого рейтинга. Показать

Дмитрий Год назад

Firefox и точка. Остальное шлак.

-17

Ответить • Ссылка • Пожаловаться •

Показать все 7 ответов

Babangdida Дмитрий Год назад

И Tor

-2

Ответить • Ссылка • Пожаловаться •

Комментарий скрыт по причине низкого рейтинга. Показать

Alex Дмитрий Год назад

Yndex в общем неплох. Тот же движок, что и у хрома, плюс плюшки всякие

-16

Ответить • Ссылка • Пожаловаться •

DVPET Alex Год назад

И реклама/продвижение ни разу не агрессивные...

Ответить • Ссылка • Пожаловаться •

11k

JeanLuk иванов дмитрий Год назад

Если профиль давно не чистился/не пересоздавался - то дело может быть в этом

Ответить • Ссылка • Пожаловаться •

22k

иванов дмитрий JeanLuk Год назад

спасибо , действительно надо бы почистить кэш.

-3

Ответить • Ссылка • Пожаловаться •

Потапыч Год назад

Необходимо установить корневой сертификат Минцифры на все устройства россиян или «пересадить» их на «правильные» браузеры. Автоматизировать процесс нельзя.

Ну, как бы в организациях корневые сертификаты можно распространить через Active Directory. Вполне себе автоматизировано. И сидите себе на любых браузерах, кому какой удобнее.

Ответить • Ссылка • Пожаловаться •

poбт Потапыч Год назад

да речь то какбэ в основном про андроиды и айосы, а не десктопы

и да

а что в доменах организаций сидят в любых браузерах? очень сомнительно...
наверняка там вообще не сидят в браузерах, а если и сидят то в тех что поддерживают групповые политики, читай тот же яндекс браузер для организаций

-5

Ответить • Ссылка • Пожаловаться •

Котэ Год назад

Ответить • Ссылка • Пожаловаться •

Показать все 6 ответов

33k

Ashabad Потапыч Год назад

У пригоженских всегда так. Там одни блатные. Мне вот в Ольгино выдали талон на 100 Гб и фсьо тут.
Правда говорят, что мне норму интернета сократили из-за систематической пьянки, невыполнение нормы и проё@б казенных валенков...

Ответить • Ссылка • Пожаловаться •

PbIBOK Потапыч Год назад

Эт у него годовая подписка...

Ответить • Ссылка • Пожаловаться •

Комментарий удален

33k

Ashabad Михаил Год назад

А норму по срачу надо выполнять! Нам так товарыш литинант говорил!

Ответить • Ссылка • Пожаловаться •

dikijnub Котэ Год назад

Откуда столько ежей достал????

Ответить • Ссылка • Пожаловаться •

klop Год назад

А то что Яндекс.Браузер сам на движке chromium работает это ничего?

Ответить • Ссылка • Пожаловаться •

Показать все 8 ответов

13k

Konstantin klop Год назад

Яндекс добавил в свой браузер сертификаты НУЦ. Что тут не понятного? ) Гугл и многие другие не стали этого делать по понятным причинам.

Ответить • Ссылка • Пожаловаться •

Alex klop Год назад

Да в общем от хрома почти не отличается (что неудивительно). Плюс плюшки всякие. Я правда перешел обратно на Хром ) Нравится мне его минимализм.

Ответить • Ссылка • Пожаловаться •

klop Alex Год назад

У Яндекса то же теперь минимализм. Поисковик по России у него получше чем у гугла, но жене почему то не нравиться, она не стала на него переходить с гугла как я. Хотя тоже раньше говорила что яндекс какой-то аляпистый, весь экран каким-то мусором забит.

Ответить • Ссылка • Пожаловаться •

−3

Минцифры klop Год назад

Всё самое сочное полезное на скриншоте собрано в правом нижнем углу, за Алисой наши уши!

-3

Ответить • Ссылка • Пожаловаться •

profit-farma Минцифры Год назад

Точно! А ещё нас слушают в и снимают в секретных подвалах КГБ. Я уже отправил жалобу в Спортлото!
Держитесь! Заграница нам поможет!

Ответить • Ссылка • Пожаловаться •

Григорий Год назад

опера, остальное вроде как гуголь.

-3

Ответить • Ссылка • Пожаловаться •

alex Григорий Год назад

опера, только не ори, забанят и заминусят, не ведают они что творят...

Ответить • Ссылка • Пожаловаться •

poбт Григорий Год назад

ага, остальное, вроде как...

Ответить • Ссылка • Пожаловаться •

11k

JeanLuk Григорий Год назад

Все гугл ибо на движке Chromium, кроме FireFox (Gecko) и Safari (WebKit). А кому не повезло - пользователям iOS и MacOS, у тех какой браузер не поставь - всё WebKit

Ответить • Ссылка • Пожаловаться •