Let's Encrypt присоединился к западным санкциям против российских сайтов ()

ну в рунете подсуетились, у них есть яндекс браузер. но вообще логичнее было бы россии для "захвата" зоны влияния свой минцифровский сертификат выдавать бесплатно без заморочек, как LE чтоб автоматом.

Поддержу. Кстати, такая идея была, но как-то быстро заглохла. Наверное, разработчики браузеров не поддержали. Интересно, почему хотя бы для Яндекс Браузера не сделали.

Упс: https://www.gosuslugi.ru/landing/tls (может, получить сертификат не так уж и сложно). Наверное, не распространены из-за отсутствия встроенной поддержки со стороны других браузеров. Но проверить, как оно работает, нужно, конечно.

У меня желание закончилось на чтение описания того, как получить. Сделать .com и редирект сильно проще. А так один фиг все на впн. 

Если сами Госуслуги не пользуют свои сертификаты, то что уж... Но когда все "международные" отрубят, другого варианта и не будет. 

Наверное, "не пользуют" по причине, которую я выше упоминал. Но в общем для определенных направлений тема перспективная. Например, во многих организациях Яндекс Браузер или интеграция корневого/промежуточного сертификатов Минцифры - практически норма. Я тоже подумаю. Возможно, в каком-нибудь сервисе буду использовать такой сертификат, особенно если с Let's Encrypt действительно возникнут проблемы.

Кстати, что за "утолщение" появилось в LE-сертификатах: Root YR (Root YE)? Обкатывают технологию смены корневых?

Пример: estic.ru --> YR2 --> Root YR --> ISRG Root X1

Раньше думать надо было. Когда была возможность продвинуть замечательную вещь по названием DANE . Если кто не в курсе, это стандарт, где не требуется доверия одному из горстки доверенных удостоверяющих центров, а проверка сертификата встроена в DNS.

Но стандарт этот, несмотря на то что его давно приняли, так и не был реализован ни в одном популярном браузере. Только через сторонние расширения.

По понятным причинам. Браузеры получают от удостоверяющих центров немалые деньги за то, что включают их в список довененных. Формально там типа независимый форум решает, но никто особо не скрывает куда деньши отчисляются.

И сам факт что интернет мог перейти на бесплатные самоподписные сертификаты, от которых от не получали бы ни копейки был опасен для их бизнеса.

Поэтому они долгие годы не добавляли его реализацию,  а потом полуофициально отклонили под надуманным предлогом (переходом на новую криптографию, хотя никто не мешал реализовать ее и в DANE).

Результаты ждать не заставили.

Теперь вот первые отзывы сертификатов уже пошли, это из новой волны, прошлая в 22 году была,  https://online.absolutbank.ru/app/ например недавно вроде как уже, Т-банк и другие тоже сообщяют что скоро возможны проблемы доступностью из-за санкций.

Был и альтернативный путь, сделать хоть один корневой доверенный Удостоверяющий Центр из РФ в рамках существующей инфраструктуры PKI. Но это же нужно требования безопасности соблюдать весьма строгие, дорого это.

В итоге оказалось что в стране полно всяких УЦ, которые выдают ЭЦП сертификаты без проверок, которые используются в криминальных схемах на миллиарды, периодически теряют аккредиации, появляются новые. Но ни одного нормального, который смог стать довереным чтобы выдавать TLS-сертификаты для доменов не нашлось.

Понятно что УЦ от российской компании рано или поздно попал бы под санкции, и был бы выпилен из браузеров с западными корнями.

Точно так же и российские регистраторы рано или поздно попадут под санкции, и будут отключены от международных зон.

Но можно было бы пользоваться существующей безопасной инфраструктурой, переход был бы сильно менее болезненным, а не вот это вот все.

А теперь выбор не большой будет. Либо ставить на свои устройства в доверенные эти госсерты минцифровские с риском госMITM. Либо ставить троян под названием ЯБраузер. Либо в отдельный браузер ставить серт, причем собственное хранилище из популярных поддерживает только Огнелис. Либо голый http. Либо не пользоваться ru-сайтами.

Какой путь выберет простая домохозяйка вопрос интересный, но ответ очевидный.

Сейчас набегут тролли и скажут, что и так все крупные российские соцсети и прочие давно обязали депонировать сертификаты в Госхранилище, и трафик и так доступен прослушивания. Все так. Но принциально разные истории когда скомпрометированы отдельные сайты и твое устройство. Когда прослушивать и подменять cмогут любой трафик.

Причем риски можно было бы снизить, для сайтов на который включен DNSSEC. От прослушки трафика не сильно защитит в текущих реалиях когда у каждого российского провайдера и хостера стоит оборудование, через которое идет весь трафик, и с котором оно может делать все что угодно, и которое провайдеры и хостеры никак не контролируют, но от подмены может помочь.

Но много ли сайтов в Рунете с DNSSEC?

Вот тут можно проверить https://dnssec-debugger.verisignlabs.com/

Много крупных российских сайтов защищены?  Я ни одного не нашел.

Кто то может знает такой?

Что еще хуже, после позарошлогодней аварии в ru-зоне национальный центр чего то там связанного с безопасностью рекомендовал его отключить! Единственный протокол который хоть как то мог помочь с безопасностью при текущем раскладе!

И многие подчинились, отключили, но что еще хуже, популярные в РФ резольверы начали вырезать DNSSEC записи, сводят на нет всю защиту!

В итоге под соусом суверенного безопасного национального рунета подается что-то такое что ругаться очень сильно хочеться словами нехорошими. И как всегда кто то на этом еще отлично заработает.

Но теперь да согласен, сколько лет прошло с момента санкций, до сих пор не сделали аналоги "вражеских" LE и CF. И это очень печально, т.к. наглядно показывает что для чего на самом деле делается. Красивые слова все для безопасности интеренета делается из каждого утюга, а безопасность локального сегмента только снижается.

Просто крик души, как говорится, понятно там все все за всех давно решили, поделили, и что от написанного ничего не изменится...

Есть вероятность, что народ достаточно быстро привыкнет "отмахиваться" от предупреждений безопасности на просроченные, отозванные и самоподписанные сертификаты как от куки-всплывашек.