Юзер Инфо :)

 
 
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Наш календарь

Ноябрь 2022
Вс. Пн. Вт. Ср. Чт. Пт. Сб.
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 [29] 30

Who's Online

  • Точка Гостей: 25
  • Точка Скрытых: 0
  • Точка Пользователей: 3
  • Точка Сейчас на форуме:

* Board Stats

  • stats Всего пользователей: 755
  • stats Всего сообщений: 108777
  • stats Всего тем: 3828
  • stats Всего категорий: 8
  • stats Всего разделов: 37
  • stats Максимум онлайн: 916

Счетчики


Рейтинг@Mail.ru
Яндекс.Метрика
Яндекс цитирования
Блок с содержанием первого сообщения
15 сентября Минцифры и "Сбер" сообщили, что онлайн-сервисы «Сбера» через несколько дней начнут переход на российские TLS-сертификаты. Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс Браузере» и браузере «Атом» от VK.

https://digital.gov.ru/ru/events/41983/

Браузер " Амиго"   незаслуженно  забыт

И кнопочка  "пофиг  на  серификат,  давай  так"   работать  видимо  не  будет ,  так  как  ГОСТ  и  все  такоэ .

Ссылка

Автор Тема: Сервисы «Сбера» после 28 сентября 2022 г  (Прочитано 1206 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн snv

  • Кабельщик по жизни
  • ***
  • Сообщений: 4908
  • Дата регистрации: 13.11.2008, 02:33
Это перекладывание безопастности на плечи клиентов ,

Оффлайн 1076Автор темы

  • Администратор
  • Кабельный ГУРУ
  • *****
  • Сообщений: 9224
  • Дата регистрации: 14.11.2008, 00:46
  • КМБУ
ГИБДД ейцы  вон  прописли  себе   Let's Encrypt  и  горя  не  знают .

Оффлайн 1076Автор темы

  • Администратор
  • Кабельный ГУРУ
  • *****
  • Сообщений: 9224
  • Дата регистрации: 14.11.2008, 00:46
  • КМБУ
Цитировать
Из комментариев видно, что не все понимают, как работают сертификаты. Объясняю.
1) Сертификат обеспечивает две функции: шифрование трафика и удостоверение подлинности сайта. При этом для шифрования трафика подойдёт даже самоподписной сертификат, а для удостоверения подлинности нужен удостоверяющий центр. Даже для самого низкого уровня проверки (DV) УЦ проверяет способность заявителя управлять доменом, соответственно, получить сертификат на чужой домен невозможно.
2) Если трафик зашифрован, то промежуточный узел не может не только его прочитать, но и, что часто намного важнее, внести в него изменения. То есть используя соединение https вы можете быть полностью уверены, что получили в точности то, что вам отправил сервер.
3) Ключевую роль играет доверие к УЦ, то есть уверенность в том, что УЦ никогда и ни при каких условиях не удостоверит сертификат при отсутствии у клиента прав на этот сертификат и при проверке будут соблюдены все обязательные процедуры и условия.
4) Мировая система удостоверяющих центров основывается на взаимном доверии. Корневые сертификаты, которыми удостоверяющие центры подписывают выдаваемые сертификаты (в действительности процедура несколько сложнее), взаимно подписана другими удостоверяющими центрами, то есть доверие к каждому УЦ основано на доверии УЦ друг к другу. 
5) Корневые сертификаты основных УЦ хранятся непосредственно в операционной системе, то есть входят в дистрибутив системы и регулярно обновляются. К этим сертификатам пользователь может добавить любые другие корневые сертификаты, которые после такого добавления будут локально считаться доверенными и любой сертификат, подписанный этими сертификатами будет признаваться доверенным. Кроме этого, в системе можно установить в качестве доверенных конечные сертификаты конкретных доменов, которые также буду признаны доверенными вне зависимости от доверия к УЦ, который их удостоверил - даже самоподписные.

И тут начинается самое главное. Если у товарища майора есть карманный доверенный УЦ, то он сможет себе выписать сертификат на любой домен. После этого он сможет проксировать через себя трафик, представляя клиенту вместо подлинного сертификата - свой, и, соответственно, не только читать, но и как угодно изменять трафик. Единственное препятствие для этого то, что ни один приличный УЦ, дорожа своей репутацией, не выпустит сертификат на чужой домен, а корневой сертификат неприличного УЦ не подписан другими УЦ и поэтому не будет доверенным, из-за чего не будут доверенными и все сертификаты, подписанные им. Если же корневой сертификат такого УЦ  установить себе в систему, то все сертификаты подписанные им, сразу станут доверенными. Поэтому, в данном случае, можно признать сертификат Сбербанка доверенным и установить его себе на постоянной основе, но ни в коем случае нельзя признавать доверенным корневой сертификат этого УЦ.

Как то  так .

Оффлайн serykh

  • Местный кабельщик
  • *
  • Сообщений: 731
  • Дата регистрации: 11.04.2009, 11:24
А в чем проблема то? Доверится российскому ЦС?
В техническом плане браузерам и прочим программа абсолютно всё равно какой ЦС выдал сертификат, если ЦС у вас в доверенных.
Вам решать Let's Encrypt или Минсвязи. Единственный момент что вам придется разок жмакнуть "установить сертификат Минсвязи". Я думаю, что большинство наших граждан воспримут Let's Encrypt как попытку "кинуть на бабло", а Минсвязь будет воспринята как очень надежная.

Оффлайн 1076Автор темы

  • Администратор
  • Кабельный ГУРУ
  • *****
  • Сообщений: 9224
  • Дата регистрации: 14.11.2008, 00:46
  • КМБУ

большинство наших граждан воспримут Let's Encrypt как попытку "кинуть на бабло", а Минсвязь будет воспринята как очень надежная.
К  сожалению  это так .

http://www.sberbank.ru/ru/certificates
https://www.gosuslugi.ru/crt

Предлагают  установить  корневой  f_emo_48 f_emo_48 f_emo_48


Оффлайн 1076Автор темы

  • Администратор
  • Кабельный ГУРУ
  • *****
  • Сообщений: 9224
  • Дата регистрации: 14.11.2008, 00:46
  • КМБУ
Сбер  выкрутился  -  где  то  нашел  менее  протухшие.

 

Поиск