Comments 27
Странно, что Yandex позволяет доверять сайту с недоверенным RootCA и судя по описанию, доверяет данному сайту только на основании доверия к промежуточному CA. Не уверен, что это не баг/фича, но так быть не должно.
ЕМНИП это фича — если цепочка доверия прослеживается до trusted root certs, сертификат доверенный. И неважно, какого точно типа серт, запиханный в корни — самоподписанный или нет. А то, что с дистром запихали в доверенные именно Sub CA — скорее всего, они не верят, что не придется перепиливать с нуля всю PKI, либо считают текущую цепочку доверия тестовой. Ну или как вариант, тупо боятся, что по корневому сертификату кто-то сумеет восстановить закрытую часть и его не расшаривают. (Это может иметь смысл, если серт ГОСТовый, там вроде как энтропии сильно меньше, чем в RSA, пусть и алгоритм типа более стойкий)
ЕМНИП это фича — если цепочка доверия прослеживается до trusted root certs, сертификат доверенный. И неважно, какого точно типа серт, запиханный в корни — самоподписанный или нет.
Так история про то, что серт не корневой, а промежуточный является доверенным. В то время, как корневой доверенным так и не является. Yandex браузер считает, что всё ОК, по доверию к промежуточному сертификату можно судить о доверии к конечному сертификату. Другие - так не считают. Нельзя доверять сертификату, если хоть один из сертификатов в цепочке не является доверенным.
В всякие буржуйские фаерволы ещё требуют, чтобы цепочки CRL проверялись сервисом и подтягивались автоматически.
Нельзя доверять сертификату, если хоть один из сертификатов в цепочке не является доверенным.
разве?
как раз сделано в расчёте на то, что старый CA есть только у части пользователей, и новый CA есть только у части пользователей, если прописать их оба, то будет работать почти у всех.
насколько я понимаю, сертификат должен считаться доверенным если можно построить цепочку доверия от какого-то доверенного сертификата, остальная часть сертификата не должна учитываться.
Стоило немного почитать буковки, тогда и картинка нормально интерпретируется.
https://letsencrypt.org/certificates/
Есть 2 серта, которые добавлены везде и всюду - самоподписанный ISRG Root X2 и он же, но подписанный ISRG Root X1. По факту, в случае отзыва от ISRG Root X1 сертификата для ISRG Root X2 у вас доверие у клиентов не будет проваливаться из-за того, что есть установленный самоподписанный сертификат для ISRG Root X2.
По факту, в случае отзыва от ISRG Root X1 сертификата для ISRG Root X2 у вас доверие у клиентов не будет проваливаться из-за того, что есть установленный самоподписанный сертификат для ISRG Root X2
и чем эта ситуация принципиально отличается от ситуации с Russian Trusted Sub CA?
там тоже у браузера нет доверия Russian Trusted Root CA, но есть доверие Russian Trusted Sub CA
Я у себя ещё несколько лет назад для использования российских ЭЦП и доступа к гос. системам завёл отдельную виртуалку на домашнем сервере, где ничем другим не занимаюсь, хожу на неё по RDP (через VPN, само собой). И там уже бесстрашно ставлю все эти мутные сертификаты, криптопровайдеры, плагины и иже с ними, особо не вдаваясь в подробности.
Заодно решается проблема доступа к ключам ЭЦП - и токен с собой таскать не надо, и рисковать копированием приватных ключей ЭЦП в реестр "боевого" ноута, используемого постоянно для разных нужд, - тоже (а последняя ЭЦП юр. лица от ФНС с токена в реестр, несмотря на все заклинания, так и не скопировалась - только на обычную флэшку).
В связи с последними событиями, все сертификаты стали мутными - сам институт сертификации нарушен.
Если вы пришли в чужую песочницу, там насрали, а вас за это не выпороли, а отобрали лопатку, которой вы говно закопали - это не значит, что продавцы лопаток плохие. Это значит, что продавцы лопаток не хотят, чтобы вы его прятали при помощи их лопаток.
Если у вас напрашивается вывод: буду пользоваться своей, то это не правильно. Вывод должен быть: не буду срать в чужой песочнице.
У меня в компании куча разных площадок для госзакупок (44 и 223 ФЗ), поставок, тендеров и прочей мути .
У одного через Яндекс работало, у другого только через IE, у третьего только Хром. Я так и не понял этого прикола, ведь у всех с AD через GPO устанавливается одинаковый набор программ, настроек и т.д.
Не знаю, что там у автора со Спутником, но версия с сайта ЕИС теперь стоит у всех, т.к. прекрасно работает у всех и везде, включая и указанный ФГИС.
Да, про это писано переписано:
Первое, доступ к порталам не должен зависеть от типа операционной системы и используемого криптопровайдера.
Второе, отечественные ОС должны иметь в своем составе браузеры с поддержкой ГОСТ-ового https.
Третье, отечественные ОС должны иметь в своем составе почтовые клиенты с поддержкой ГОСТ (подписание/шифрование).
Четвертое, отечественные ОС должны иметь в своем составе средства электронной подписи и шифрования
Пятое, отечественные ОС должны иметь поддержку токенов/смарткарт PKCS#11 с поддержкой российской криптографии.
Вот если этот минимум будет реализован, то можно говорить об отечественных ОС типа Linux.
А то не так давно был в одном министерстве, а там увидел уникальное импортозамещение: им предложили некий отечественный Линукс, в нем запустили виртуалку с Windows и со всеми прибамбасами, которые в Министерстве используются на Винде были, и сказали можно рапортовать об импортозамещении. Надеюсь, мой последний абзац не станет руководством к действию.
Но воз и нынче там!
Первое, доступ к порталам не должен зависеть от типа операционной системы и используемого криптопровайдера.
Можно, имхо, ограничиться вашим первым пунктом — и не городить местечковых велосипедов, воспользовавшись мудрым эмпирическим правилом «не изобретать свою криптографию просто так».
Уточню, что «просто так» — это пока нет объективных причин считать «неотечественную» криптографию к чему-то уязвимой или существенно проигрывающей по каким-то параметрам (скорость и т. п).
О, наконец вижу первый реальный сайт, где этот самопал реально используется. Забавно, что на https://minstroyrf.ru используется сертификат Sectigo, а ниже пытаются пропихнуть самопальщину, видимо, из соображений: никуда не денетесь, придется ставить Яндекс.Chromium.
Т.е. мы доверяем Russian Trusted Sub CA, но про Russian Trusted Root CA ничего не понятно
Это нормально, браузер и не должен знать про все существующие в природе промежуточные сертификаты. Он должен мочь построить цепочку от конечного сертификата к доверенному (известному ему) корневому.
Там немного по другому. minstroyrf.ru редиректит на minstroyrf.gov.ru, который выдан Sectigo.
Но ведь Russian Trusted Sub CA не является корневым сертификатом, а промежуточным, который выдан уже Russian Trusted Root CA, который является недоверенным.
Точно, проглядел.
Судя по Вашим скринам, цепочка такая: сертификат fgiscs.minstroyrf.ru ссылается на промежуточный сертификат Russian Trusted Sub CA, который в свою очередь ссылается на корневой Russian Trusted Root CA. Последний известен браузеру, т.е. браузер ему доверяет. Это нормально.
У меня сейчас другая проблема
Есть сертификаты со списками отзывов - указаны два домена откуда их брать. Один локальный вида qwerty.local, второй - росказны.
Но незадача - росказна закрыла к себе доступ с ip, которые по некоторых публичных листов не принадлежат к РФ и теперь онлайн проверка на отзыв валится.
Оффлайн - надо ручками подсовывать раз в неделю свежие CRL
Конечно, придуманы костыли, но блин..
Не совсем понятно что хотел донести автор... В чем конкретно претензия/вопрос? Как работать? Установить корневой сертификат и работать.
Russian Trusted Root CA (https://www.gosuslugi.ru/tls) появился как результат сомнительных действий других УЦ - https://habr.com/ru/news/t/653923/ как то надо было обеспечивать доступность сервисов в текущих условиях.
Russian Trusted Root CA подписан ЭП, с использованием сертификата Минцифры 00c9b3f794000000000586 http://reestr-pki.ru/cdp/guc_gost12.crt можете ему не доверять
Данные сертификаты по умолчанию включены в установщик КритоПРО начиная с версии
2022-02-16 КриптоПро CSP 5.0.12417 Osiris
installer: Добавлен корневой ГОСТ-сертификат Минцифры России от 2022 года (CPCSP-12658).
installer: Добавлен корневой RSA-сертификат Минцифры России от 2022 года (CPCSP-12675).
installer: Добавлен корневой ГОСТ-сертификат НУЦ (CPCSP-12675).
Есть даже специальный чатик для обсуждения данных сертификатов https://t.me/RussianTLS
Russian Trusted Root CA подписан ЭП, с использованием сертификата Минцифры
Russian Trusted Root CA - самоподписанный aka самозаверенный сертификат. Хотите я Вам десяток таких нагенерирую, тоже от имени The Ministry of Digital Development and Communications, и они будут ничуть не менее/более самоподписаны.
Импортозамещение центров сертификации