Jump to content

Национальные сертификаты


Thoth

Recommended Posts

Всем привет. Для начала цитата с Хабра:

Команда «Яндекс Браузера» ранее рассказала, что применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке на www.gosuslugi.ru/tls. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.

Теперь вопрос. Kaspersky Standart (не знаю, как в KIS, давно обновился) при входе на сайты с национальным сертификатом предлагает внести сертификат в доверенные, чтобы избежать ошибок. Так вот, это доверие тоже распространяется только на список с Госуслуг или на всех подряд? Если последнее, то это очень не хорошо и открывает дорогу к MITM на любом сайте.

Link to comment
Share on other sites

Дядь Виша

Не в доверенные, а в исключения проверки защищенных соединений предлагает занести. Kaspersky Plus такая же ситуация.

Эта ситуация с российскими государственными сайтами типа ЕИС, госзакупки, госуслуги и т.п. не так проста. У каждого сайта свой сертификат, сертифицированный российскими центрами сертификации. Нельзя взять один сертификат и все сайты станут открываться.

В исключения (список в настройках называется "Сайты с ошибками проверки") заносится каждый сайт по отдельности.

Link to comment
Share on other sites

Сертификат добавляется в Доверенные корневые сертификаты. По крайней мере в Standart так. Т.е. любой сайт с сертификатом, подписанным этим корневым, не будет показывать ошибку.

Вот зашел на Сбер, в "Сайты с ошибками проверки" он не появился. А если бы появился, то не расшифровывался бы антивирусом, и тогда ругались бы на сертификаты уже браузеры.

Edited by Thoth
Link to comment
Share on other sites

@Thoth, вы неправы. Антивирус не может добавить сертификат в системное хранилище сертификатов. Это может сделать только сам пользователь. Инструкция есть на тех же госуслугах. 

Антивирус может только добавить сайт в исключения и не проверять сертификат на этом сайте.

Проблема в следующем. В России запущен собственный центр сертификации, который выдает сертификаты для госсайтов. Это сделано, чтобы предотвратить возможность отзыва сертификатов для этих сайтов.

Но система ничего не знает (на сегодняшний день) об этом центре сертификации, поэтому выданные им сертификаты не считаются действительными.

Чтобы решить эту проблему пользователь (опять же на сегодняшний день) должен вручную добавить два сертификата самого этого центра в системное хранилище сертификатов. Инструкция как это сделать, есть на Госуслугах.

Если этого не сделать, то (применительно к  антивирусу Касперского) придется каждый такой сайт добавлять в исключения проверки.

Link to comment
Share on other sites

@Thoth, да, это конечно тоже вариант. 

Но все-таки правильнее загрузить в систему корневые сертификаты и не мучиться.

Link to comment
Share on other sites

@andrew75 Да в чём тут мучения ? Запрос выдается один раз. Но вот хотелось бы, что бы сайты с этим сертификатом проверялись по списку с Госуслуг. И если загрузить в систему, этого точно не будет.

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...