[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ

[Dmitry Derjavin]

Вт, 01 авг 2017, 18:47, Konstantin Lepikhov:

>> Ситуация осложняется тем, что ГУЦ передало функции по выдаче 
>> сертификатов различным УЦ (аккредитованным), что приводит к появлению 
>> нескольких тысяч промежуточных сертификатов
>> https://e-trust.gosuslugi.ru/CA
> А где можно ознакомиться с регламентом предоставления статуса ЦА и
> отчетом аудита, что данные ЦА являются ЦА?

Видимо, там же, где и с данными о статусе аудитора и отчёте о
подтверждении его аутентичности.

> Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому
> ряду факторов, если интересно я могу их озвучить отдельным письмом но об
> этом знают и в руководстве ООО.

Да, это действительно очень интересно! Озвучьте, пожалуйста.

> Вы же предлагаете еще больший бардак вроде добавить сертификаты УЦ
> какой-то администрации какого-то края где вообще непонятно что происходит

Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных
Минкомсвязью. Которыми подписаны, например, сертификаты физических лиц.
Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов.

> Например, компьютер в сети администрации Х будет хакнут хакером Васей,
> который потом переподпишет этими сертификатами имена gosuslugi или
> sberbank.ru. И ваш openssl это проглотит.

Теоретически, видимо, можно так сделать. Но бояться не нужно, вы ведь
сейчас расскажете, почему в браузерах поддержки ГОСТ нет и не будет. ;)

> Не надо выставлять собственные проблемы как проблемы мифических
> "пользователей".

+1

Согласен, давайте не будем додумывать друг за друга, насколько актуальна
поставленная задача. А задача на данный момент такова — задействовать
имеющуюся весьма развитую PKI. Которая уже существует и прекрасно работает.
Учитывая при этом, конечно же, возможные нюансы вроде «хакера Васи» и
сайта Госуслуг.

-- 
~dd