[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ
Vitaly Lipatov
lav на altlinux.ru
Ср Авг 2 01:37:31 MSK 2017
Konstantin Lepikhov писал 1.8.17 21:24:
...
>> > А где можно ознакомиться с регламентом предоставления статуса ЦА и
>> > отчетом аудита, что данные ЦА являются ЦА?
>>
>> Видимо, там же, где и с данными о статусе аудитора и отчёте о
>> подтверждении его аутентичности.
> т.е. спросить товарища майора?
Возможно, следует начать с порядка аккредитации:
https://e-trust.gosuslugi.ru/AccreditationProcess
>> > Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому
>> > ряду факторов, если интересно я могу их озвучить отдельным письмом но об
>> > этом знают и в руководстве ООО.
>>
>> Да, это действительно очень интересно! Озвучьте, пожалуйста.
> https://bugzilla.mozilla.org/show_bug.cgi?id=518787#c19
В этой баге написана какая-то ерунда. Кроме того, что за 5 лет так и не
приняли патч, никакого конструктива там не видно. Можно перевести на
русский хоть один фактор, кроме вранья о том, что использование не
сертифицированной криптографии может быть криминальным?
...
>> Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных
>> Минкомсвязью. Которыми подписаны, например, сертификаты физических
>> лиц.
>> Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов.
> Насколько требования Минкомсвязи соответствуют документу от Mozilla?
Mozilla Firefox — не единственный браузер. И я сомневаюсь, что документ
от Mozilla соответствует требованиям Минкомсвязи. И пока для меня некие
правила на таком уровне выглядят не более, чем предрассудки. Говоря
по-другому, всем известно, что продажа SSL-сертификатов — это продажа
воздуха за хорошие деньги, а люди 20 лет этим занимались и довольно
успешно.
> Как используя несертифицированные СКЗИ вы сможете убедиться в
> достоверности этих сертификатов?
Повторюсь,
https://www.altlinux.org/ГОСТ_в_OpenSSL
Берём openssl и проверяем, сертификаты все стандартные, не вижу проблем.
>> > Например, компьютер в сети администрации Х будет хакнут хакером Васей,
>> > который потом переподпишет этими сертификатами имена gosuslugi или
>> > sberbank.ru. И ваш openssl это проглотит.
Сертификаты публикует не администрация Х, а уполномоченный федеральный
орган на странице
https://e-trust.gosuslugi.ru/CA
и подписывает список своим ключом.
Векторы атаки лучше обсуждать с ними.
>> > Не надо выставлять собственные проблемы как проблемы мифических
>> > "пользователей".
Какие собственные проблемы? Есть ресурсы, к которым нужно подключаться,
используя выданные в РФ сертификаты. Это торговые площадки, ГосУслуги,
налоговая (сдача налоговой отчётности). И их становится всё больше. И
да, у меня, как одного из пользователей всего этого, есть такие
проблемы.
Не надо грубить, это невежливо.
--
С уважением,
Виталий Липатов,
Etersoft
Подробная информация о списке рассылки Devel