[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ

Konstantin Lepikhov lakostis на altlinux.org
Вт Авг 1 21:24:49 MSK 2017


Hi Dmitry!

On 08/01/17, at 07:26:09 PM you wrote:

> Вт, 01 авг 2017, 18:47, Konstantin Lepikhov:
> 
> >> Ситуация осложняется тем, что ГУЦ передало функции по выдаче 
> >> сертификатов различным УЦ (аккредитованным), что приводит к появлению 
> >> нескольких тысяч промежуточных сертификатов
> >> https://e-trust.gosuslugi.ru/CA
> > А где можно ознакомиться с регламентом предоставления статуса ЦА и
> > отчетом аудита, что данные ЦА являются ЦА?
> 
> Видимо, там же, где и с данными о статусе аудитора и отчёте о
> подтверждении его аутентичности.
т.е. спросить товарища майора?

> 
> > Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому
> > ряду факторов, если интересно я могу их озвучить отдельным письмом но об
> > этом знают и в руководстве ООО.
> 
> Да, это действительно очень интересно! Озвучьте, пожалуйста.
https://bugzilla.mozilla.org/show_bug.cgi?id=518787#c19

> 
> > Вы же предлагаете еще больший бардак вроде добавить сертификаты УЦ
> > какой-то администрации какого-то края где вообще непонятно что происходит
> 
> Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных
> Минкомсвязью. Которыми подписаны, например, сертификаты физических лиц.
> Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов.
Насколько требования Минкомсвязи соответствуют документу от Mozilla? Как
используя несертифицированные СКЗИ вы сможете убедиться в достоверности
этих сертификатов?

> 
> > Например, компьютер в сети администрации Х будет хакнут хакером Васей,
> > который потом переподпишет этими сертификатами имена gosuslugi или
> > sberbank.ru. И ваш openssl это проглотит.
> 
> Теоретически, видимо, можно так сделать. Но бояться не нужно, вы ведь
> сейчас расскажете, почему в браузерах поддержки ГОСТ нет и не будет. ;)
очень смешно.

> 
> > Не надо выставлять собственные проблемы как проблемы мифических
> > "пользователей".
> 
> +1
> 
> Согласен, давайте не будем додумывать друг за друга, насколько актуальна
> поставленная задача. А задача на данный момент такова — задействовать
> имеющуюся весьма развитую PKI. Которая уже существует и прекрасно работает.
> Учитывая при этом, конечно же, возможные нюансы вроде «хакера Васи» и
> сайта Госуслуг.
Давайте займемся развитием поддержки PKI Северной Кореи и Китая, там же
большой рынок и куча пользователей, если перефразировать вашу шутку.

-- 
WBR et al.


Подробная информация о списке рассылки Devel