Скоро коснется всех: Браузеры и корневые сертификаты

Браузеры, почтовые клиенты, офисные пакеты, файловые менеджеры, редакторы и т.п.
Ответить
vasek
Сообщения: 358
Зарегистрирован: 31.08.2022

#

Весной этого года зарубежные компании, которые выдают сертификаты безопасности, начали их отзывать у российских сайтов и отказывать в выдаче новых. Это означает, что многие наши сайты скоро будут не доступны - первая ласточка это sberbank.ru … сегодня уже не смог зайти.
Минцифры запустило выдачу отечественных сертификатов безопасности. На них в первую очередь начали переходить сайты российских государственных компаний … перевели с 26 сентября и основной сайт Сбербанка (sberbank.ru) на российские TLS-сертификаты, но со временем переведут и другие сайты.
Рекомендуют установить или yandex браузер или atom … или скачать корневые сертификаты.
Таких браузеров в репах, конечно, нет …. хотел скачать сертификат, но … нет для Linux … https://www.gosuslugi.ru/crt

Вопрос: кто как выходит из положения??? … или я что то не так понял?

PS - хотя скачивать сертификат не так уж и хорошо ...
... зайти в принципе можно, минуя все предостережения заходится, .... замочек, разумеется, зачеркнут ... но это не есть хорошо.

Ошибки не исчезают с опытом - они просто умнеют

willrock
Сообщения: 12
Зарегистрирован: 15.08.2022

#

Только если отдельный браузер для сбера, теряется смысл https.
ALiEN
Аватара пользователя
Сообщения: 61
Зарегистрирован: 23.08.2022

#

хотел скачать сертификат, но … нет для Linux
Без разницы, для linux-windows-android - это один и тот же файл.
Качаем по инструкции "для windows", кидаем в /etc/ca-certificates/extracted/cadir/ /etc/ca-certificates/trust-source/anchors/
Выполняем
 sudo update-ca-trust
Перелогиниться (желательно). Пожалуйста:
Изображение

Остаётся вопрос безопасности такого сертификата, но это уже другая история.
Последний раз редактировалось ALiEN 29.09.2022 22:02, всего редактировалось 2 раза.

🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

vasek
Сообщения: 358
Зарегистрирован: 31.08.2022

#

ALiEN:это один и тот же файл
а я, честно говоря, и поленился сравнить файлы ...
ALiEN:Остаётся вопрос безопасности такого сертификата
Будем считать, что вероятность практически равна нулю ....

Ошибки не исчезают с опытом - они просто умнеют

lnx
Сообщения: 73
Зарегистрирован: 24.08.2022

#

Адрес ссылки на сертификат https://gu-st.ru/content/Other/doc/russ ... oot_ca.cer, соответственно -
su
wget https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer  -P /etc/ca-certificates/trust-source/anchors/
wget https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer -P /etc/ca-certificates/trust-source/anchors/
update-ca-trust
Но как быть с телефонами?
Последний раз редактировалось lnx 29.09.2022 23:48, всего редактировалось 3 раза.
ALiEN
Аватара пользователя
Сообщения: 61
Зарегистрирован: 23.08.2022

#

Примечательно, что сбербанк-онлайн всё еще работает по старому GlobalSign RSA

🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

ALiEN
Аватара пользователя
Сообщения: 61
Зарегистрирован: 23.08.2022

#

lnx:Но как быть с телефонами?
По инструкции жеж https://www.gosuslugi.ru/crt

🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

lnx
Сообщения: 73
Зарегистрирован: 24.08.2022

#

Не взлетело. Даже перезагрузился.
ll /etc/ca-certificates/trust-source/anchors/
итого 4
drwxr-xr-x 1 root root   54 сен 29 22:24 .
drwxr-xr-x 1 root root   44 сен 15 14:38 ..
-rw-r--r-- 1 root root 1478 сен 15 11:29 russian_trusted_root_ca.cer

ll /etc/ssl/certs/Russian_Trusted_Root_CA.pem 
lrwxrwxrwx 1 root root 65 сен 29 23:30 /etc/ssl/certs/Russian_Trusted_Root_CA.pem -> ../../ca-certificates/extracted/cadir/Russian_Trusted_Root_CA.pem

ALiEN
Аватара пользователя
Сообщения: 61
Зарегистрирован: 23.08.2022

#

lnx:Не взлетело.
Браузер какой?

🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

lnx
Сообщения: 73
Зарегистрирован: 24.08.2022

#

Все. Палемун и хром.
ALiEN
Аватара пользователя
Сообщения: 61
Зарегистрирован: 23.08.2022

#

curl -vI https://sberbank.ru 2>&1 | grep issuer

🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

lnx
Сообщения: 73
Зарегистрирован: 24.08.2022

#

curl -vI https://sberbank.ru 2>&1 | grep issuer
* issuer: C=RU; O=The Ministry of Digital Development and Communications; CN=Russian Trusted Sub CA
ALiEN
Аватара пользователя
Сообщения: 61
Зарегистрирован: 23.08.2022

#

ну значит взлетело. Разбирайтесь с настройками браузера.
В браузере https:// напишите перед sberbank.ru

🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

lnx
Сообщения: 73
Зарегистрирован: 24.08.2022

#

https://sberbank.ru/

В Хроме взлетело - первоначальная ошибка была в том, что скачал лишь один сертификат.
Между тем по аналогии с другими ОС используя штатное приложение "связка ключей" не работает - сертификаты открываются, но кнопка Импортировать не активна.
Взлетело. Оказывается, это косяк сбера - с главной страницы определив непонятный для сбера браузер выдает глупую страницу.
ALiEN
Аватара пользователя
Сообщения: 61
Зарегистрирован: 23.08.2022

#

lnx: первоначальная ошибка была в том, что скачал лишь один сертификат.
Дык только один корневой и нужен. russian_trusted_root_ca.cer

🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

ALiEN
Аватара пользователя
Сообщения: 61
Зарегистрирован: 23.08.2022

#

$: curl -vI https://sberbank.ru 2>&1 | grep issuer
* SSL certificate problem: unable to get local issuer certificate
curl: (60) SSL certificate problem: unable to get local issuer certificate

$: cd /etc/ca-certificates/trust-source/anchors && sudo curl -O https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer

$: sudo update-ca-trust

$: curl -vI https://sberbank.ru 2>&1 | grep issuer
*  issuer: C=RU; O=The Ministry of Digital Development and Communications; CN=Russian Trusted Sub CA

🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

vasek
Сообщения: 358
Зарегистрирован: 31.08.2022

#

lnx:Палемун
palemoon у меня тоже не взлетел ... импортировал даже в ручную (из настроек) - сертификат в настройках имеется, читаетеся ... но зайти не дает. Искать причину не стал, так как в firefox все работает

Ошибки не исчезают с опытом - они просто умнеют

Ответить