В новостях несколько раз проскакивала информация о том, что госучреждения в связи с санкциями начали использовать на российские TLS сертификаты. В частности, Сбер сообщает, что через несколько дней его сервисы начнут переход на российские TLS-сертификаты Минцифры. В этой статье говорим об особенностях таких сертификатов, их поддержке и установке в различных устройствах и браузерах.
Однако главная проблема в том, что сертификаты, выданные Минцифрой, считаются недоверенными на большинстве устройств и браузерах и отсутствуют в списках корневых сертификатов операционных систем.
Вы можете проверить, доверяет ли ваш компьютер (браузер) сертификатам, выданным Минцифрой, перейдя на сайт https://fgiscs.minstroyrf.ru/. В моем случае браузер Edge выдает:
Your connection isn't private Attackers might be trying to steal your information from fgiscs.minstroyrf.ru (for example, passwords, messages, or credit cards). NET::ERR_CERT_AUTHORITY_INVALID Subject: *.minstroyrf.ru Issuer: Russian Trusted Sub CA
Поддержка российских TLS сертификатов встроена только в российские интернет-браузеры (Атом и Яндекс браузер). Все остальные браузеры (Chrome, Opera, Microsoft Edge, Firefox и т.д.) будут выдавать ошибку проверки сертификатов при открытии таких сайтов. Это означает, что вам нужно вручную установить корневые сертификаты на ваши устройства.
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 "C:\Temp\russian_trusted_root_ca.cer"
$cert.Thumbprint
Он должен быть 8FF915CCAB7BC16F8C5C8099D53E0E115B3AEC2F
Для Windows и Android нужно скачать (с сайта Минцифры или Госуслуг) и добавить в доверенные следующие сертификаты:
- Russian Trusted Root CA (от The Ministry of Digital Development and Communications)– корневой сертификат удостоверяющего центра — russian_trusted_root_ca.cer https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer
- Russian Trusted Sub CA – промежуточный (выпускающий TLS сертификат) — russian_trusted_sub_ca.cer https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer
Для MacOS:
- Корневой и выпускающий сертификаты — russiantrustedca.pem https://gu-st.ru/content/Other/doc/russiantrustedca.pem
Для iOS:
- Корневой и выпускающий сертификаты Russian Trusted Root CA — russiantrusted.mobileconfig https://gu-st.ru/content/Other/doc/russiantrusted.mobileconfig
Инструкции по установки доступны на сайте Госуслуги: https://www.gosuslugi.ru/crt. Здесь же есть полный список сайтов, для которых выпущен сертификат от CA Минцифры.
В случае с Windows корневой и выпекающий сертификат нужно установить в доверенные центры сертификации текущего пользователя. Откройте CER файл, нажмите Install Certificate, и следуйте шагам мастера установки.
Mozilla Firefox по-умолчанию не использует хранилище сертификатов Windows и смотрит на собственное хранилище доверенных сертификатов. Чтобы добавить корневой сертификат Минцифры в Firefox:
- Откройте его настройки:
about:preferences#privacy - Нажмите View Certificates;
- Нажмите Import и выберите CER файл с сертификатом. Включите опции Trust this CA to identify websites и Trust this CA to identify email users.
На данный момент такие сертификаты безопасности выданы для более чем 4000 доменных имен (полный список есть здесь https://www.gosuslugi.ru/tls -> Список доменов, в отношении которых выпущены сертификаты безопасности).
Вероятно, TLS сертификаты Национального удостоверяющего центра Минцифры России в скором времени будут внедрены на большинство российских сайтов госорганов.
В конце статьи хочу отменить, что установка таких сертификатов в ОС вносит определенный риск утечки данных и реализации MITM атаки со стороны владельца сертификата (такое было пару лет назад в Казахстане). Возможно в данный момент оптимальное решение не устанавливать сертификаты на компьютеры, а использовать российские браузеры (Яндекс.браузер) для доступа к веб сайтам, использующие российские TLS сертификаты.
В firefox вроде давно по дефолту включён параметр security.enterprise_roots.enabled и соответственно используется системное хранилище сертификатов. Если выключен, то уж лучше включить этот параметр, чем устраивать костыли с импортом непосредственно в firefox.
Не открываются сайты Сбербанка в браузерах Chrome и Firefox. Сайт выдает ошибку: «Нельзя войти на сайт Сбербанка в этом браузере. Пожалуйста, попробуйте другой браузер.»
В браузере Chromium Gost все работает.
Может есть какая то функция, которую нужно включить дополнительно?
У меня firefox пишет что сертфикат не доверен:
SEC_ERROR_UNKNOWN_ISSUER
Warning: Potential Security Risk Ahead
Firefox detected a potential security threat and did not continue to _www.sberbank.ru. If you visit this site, attackers could try to steal information like your passwords, emails, or credit card details.
Нажимаем Advanced -> Accept the Risk and Continue и сайт открывается.
ЗЫ. Сертфикаты не ставил
Сертификаты если что установлены через GPO.
Разобрался вроде, перезапуск браузеров помог.
Палевно устанавливать именно корневой сертификат. А вот промежуточный russian_trusted_sub_ca.cer можно — да, будет предупреждение ERR_CERT_AUTHORITY_INVALID, но лучше так, чем вообще не открывающийся сайт, или возможный MITM при установке корневого сертификата.
Chrome/chromium в скором времени перейдут на собственное хранилище сертификатов для браузера, аналогично Firefox. То есть системное хранилище не будет использоваться
На компьютерах с ктиент-банками и так установлены корневой сертификаты Миркомсвязи, Тезора и т.д. Так что уже давно потенциально возможен МиТМ через них.
товарищи, а что делать, если изначально именно эти сертификаты не скачиваются файлом, а открываются в самом браузере просто текстовым содержимым этого сертификата — что с андроида, что с винды (в хроме и опере)?
Правый щелчкоп по ссылке — Сохранить ссылку как.
Или из страницы с текстом сертфиката сделать Menu-> Сохранить страницы как и указать имя и расширение файла .cer для файла
о, точно, спасибо большое!х)
ана, с госуслуг CER файлы теперь не скачиваются, а отображаются как текстовые.
Всё заработало в firefox по методике, изложенной в этой статье. А то по инструкции на госуслугах ничего не устанавливалось.
Так ничего и не заработало, обращался в Яндекс, сказали удостоверяющий центр сбербанка не поддерживает android 7, в Сбербанке посоветовали атом и гугл, и тишина, сертифткаты установлены и рут и sub, https://fgiscs.minstroyrf.ru/ открывается во всех трех.
Я.Браузер использует системное хранилище сертификатов. То есть он при установке должен его модифицировать, да? Есть какая-то разница, как корневой сертификат туда попадет? 🙂 Если так беспокоит паранойя, лучше использовать виртуалку.
Я импортировал сертики в Firefox, но они работают только в обычном режиме. В Private Mode они, похоже, не подгружаются. Можно ли это поправить?