Використання та встановлення російських сертифікатів TLS (російський довірений кореневий CA)

У новинах кілька разів інформація пропустила, що урядові установи у зв'язку з санкціями почали використовувати сертифікати для російських TLS. Зокрема, SBER повідомляє, що через кілька днів його послуги розпочнуть перехід до російських сертифікатів TLS Міністерства цифри. У цій статті ми говоримо про функції таких сертифікатів, їх підтримку та встановлення в різних пристроях та браузерах.

Російські сертифікати Національного сертифікаційного центру Міністерства цифри Росії повинні забезпечити захищений доступ до сайтів та онлайн -послуг російських банків та держав. Ці сертифікати можуть бути використані російськими організаціями за санкціями, які не можуть розширити або перебувати в іноземних СА (у разі відкликання або закінчення періоду дії). Міністерство Cyphra надає безкоштовну послугу для випуску сертифіката TLS юридичним особам, власникам сайтів за запитом протягом 5 робочих днів.

Однак головна проблема полягає в тому, що сертифікати, видані Міністерством цивільної академії.

Ви можете перевірити, чи ваш комп'ютер (браузер) довіряє сертифікатам, виданим Міністерством цивільної академії, перейшовши на сайт https: // fgiscs.minstroyrf.RU/. У моєму випадку проблеми з браузером Edge:

Ваш зв’язок є приватними зловмисниками, можливо, намагаються викрасти інформацію FGISC.minstroyrf.ru (Наприклад, паролі, повідомлення або кредитні картки). NET :: ERR_CERT_AUTHORITY_INVALID Тема:*.minstroyrf.Ру Емітент: російський довірений підб

Підтримка російських сертифікатів TLS вбудована в російські Інтернет -браузери (Atom та Yandex Brauser). Усі інші браузери (Chrome, Opera, Microsoft Edge, Firefox та T.D.) видасть помилку перевірки сертифікатів при відкритті таких сайтів. Це означає, що вам потрібно вручну встановити кореневі сертифікати на своїх пристроях.

Перед встановленням перевірте відбиток кореневого сертифіката сертифікаційного центру за допомогою PowerShell:

$ cert = new -Object System.Безпека.Криптографія.X509Certificates.X509Certificate2 "c: \ temp \ russian_trusted_root_ca.Cer " $ cert.Відбиток

Він повинен бути 8ff915ccab7bc16f8099d53e0e115b3aec2f

Для Windows та Android Вам потрібно завантажити (з веб -сайту Міністерства міських чи державних служб) та додати до надійних наступних сертифікатів:

Російська довірена коренева CA (від Міністерства цифрової розробки та комунікацій)- кореневий сертифікат сертифіката - Russian_trusted_root_ca.Цер https: // gu-st.ru/concent/ith/doc/russian_trusted_root_ca.Цер
Російська довірена суб -CA - проміжна (звільнення сертифіката TLS) - Russian_trusted_sub_ca.Цер https: // gu-st.ru/concent/oth/doc/russian_trusted_sub_ca.Цер

Для Макус:

Корінь і сертифікат - Russiantrustedca.Pem https: // gu-st.Ru/вміст/інший/doc.Pem

Для iOS:

Сертифікати кореня та випуску російського довіреного кореня ca - рослина.MobileConfig https: // gu-st.ru/concent/ether/doc/russianantusted.MobileConfig

Інструкції щодо встановлення доступні на веб -сайті Державних служб: https: // www.Госуслюгі.ru/crt. Існує також повний перелік сайтів, на які випущено сертифікат від CA Minzifra.

У випадку з Windows, сертифікат кореня та випічки повинен бути встановлений у надійних сертифікаційних центрах поточного користувача. Відкрийте файл cer, натисніть Встановіть сертифікат, і виконайте кроки майстра інсталяції.

Ви також можете встановити сертифікат на комп’ютерах за допомогою GPO

Mozilla Firefox не використовує зберігання сертифікатів Windows і розглядає власне зберігання довірених сертифікатів. Щоб додати кореневий сертифікат Міністерства будівництва до Firefox:

Відкрийте свої налаштування: Про: уподобання#конфіденційність
Клацати Переглянути сертифікати;
Клацати Імпорт І вибрати Цер Файл сертифікату. Увімкніть параметри Довіряйте цьому CA, щоб визначити веб -сайти і Довіряйте цьому CA, щоб визначити користувачів електронної пошти.

На даний момент такі сертифікати безпеки були видані понад 4000 доменних імен (повний список тут https: // www.Госуслюгі.ru/tls -> Список доменів щодо яких видаються сертифікати безпеки).

Можливо, сертифікати TLS Національного сертифікаційного центру Міністерства цифри Росії незабаром будуть реалізовані на більшості російських веб -сайтів.

Встановлення сертифікатів у Linux описано в окремій статті.

Наприкінці статті я хочу скасувати, що встановлення таких сертифікатів в ОС представляє певний ризик витоку даних та впровадження атаки MITM власником сертифіката (це було пару років тому в Казахстані). Можливо, на даний момент оптимальне рішення полягає не в встановленні сертифікатів для комп’ютерів, а використання російських браузерів (Yandex.браузер) для доступу до веб -сайтів за допомогою російських сертифікатів TLS.