[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ

Vitaly Lipatov lav на altlinux.ru
Ср Авг 2 01:37:31 MSK 2017


Konstantin Lepikhov писал 1.8.17 21:24:
...
>> > А где можно ознакомиться с регламентом предоставления статуса ЦА и
>> > отчетом аудита, что данные ЦА являются ЦА?
>> 
>> Видимо, там же, где и с данными о статусе аудитора и отчёте о
>> подтверждении его аутентичности.
> т.е. спросить товарища майора?
Возможно, следует начать с порядка аккредитации:
https://e-trust.gosuslugi.ru/AccreditationProcess


>> > Официальной поддержки ГОСТ в браузерах нет и не предвидится по целому
>> > ряду факторов, если интересно я могу их озвучить отдельным письмом но об
>> > этом знают и в руководстве ООО.
>> 
>> Да, это действительно очень интересно! Озвучьте, пожалуйста.
> https://bugzilla.mozilla.org/show_bug.cgi?id=518787#c19
В этой баге написана какая-то ерунда. Кроме того, что за 5 лет так и не 
приняли патч, никакого конструктива там не видно. Можно перевести на 
русский хоть один фактор, кроме вранья о том, что использование не 
сертифицированной криптографии может быть криминальным?

...
>> Не-не, речь о том, чтобы добавить сертификаты УЦ, аккредитованных
>> Минкомсвязью. Которыми подписаны, например, сертификаты физических 
>> лиц.
>> Не сайтов. Чтобы иметь возможность проверить данные этих сертификатов.
> Насколько требования Минкомсвязи соответствуют документу от Mozilla?
Mozilla Firefox — не единственный  браузер. И я сомневаюсь, что документ 
от Mozilla соответствует требованиям Минкомсвязи. И пока для меня некие 
правила на таком уровне выглядят не более, чем предрассудки. Говоря 
по-другому, всем известно, что продажа SSL-сертификатов — это продажа 
воздуха за хорошие деньги, а люди 20 лет этим занимались и довольно 
успешно.

> Как используя несертифицированные СКЗИ вы сможете убедиться в 
> достоверности этих сертификатов?
Повторюсь,
https://www.altlinux.org/ГОСТ_в_OpenSSL
Берём openssl и проверяем, сертификаты все стандартные, не вижу проблем.

>> > Например, компьютер в сети администрации Х будет хакнут хакером Васей,
>> > который потом переподпишет этими сертификатами имена gosuslugi или
>> > sberbank.ru. И ваш openssl это проглотит.
Сертификаты публикует не администрация Х, а уполномоченный федеральный 
орган на странице
https://e-trust.gosuslugi.ru/CA
и подписывает список своим ключом.

Векторы атаки лучше обсуждать с ними.


>> > Не надо выставлять собственные проблемы как проблемы мифических
>> > "пользователей".
Какие собственные проблемы? Есть ресурсы, к которым нужно подключаться, 
используя выданные в РФ сертификаты. Это торговые площадки, ГосУслуги, 
налоговая (сдача налоговой отчётности). И их становится всё больше. И 
да, у меня, как одного из пользователей всего этого, есть такие 
проблемы.

Не надо грубить, это невежливо.




-- 
С уважением,
Виталий Липатов,
Etersoft


Подробная информация о списке рассылки Devel