تلقى مستخدمو بوابة الخدمات العامة في الاتحاد الروسي (gosuslugi.ru) إشعارًا حول إنشاء هيئة تصديق حكومية مع شهادة TLS الجذرية الخاصة بهم ، والتي لا يتم تضمينها في تخزين الشهادات الجذرية لأنظمة التشغيل والمتصفحات الرئيسية. يتم إصدار الشهادات على أساس طوعي للكيانات القانونية ويقصد استخدامها في الحالات التي يتم فيها إبطال شهادات TLS أو إنهاؤها نتيجة للعقوبات. على سبيل المثال ، توقفت CAs ومقرها الولايات المتحدة ، مثل DigiCert ، عن إصدار شهادات لمواقع الويب الخاصة بالمنظمات المدرجة في قائمة العقوبات.
حاليًا ، تم دمج شهادة جذر الولاية فقط في منتجات Yandex.Browser و Atom. للتأكد من أن المواقع التي تستخدم شهادات من مرجع مصدق عام موثوق بها في المتصفحات الأخرى ، يجب عليك إضافة الشهادة الجذر يدويًا إلى مخزن شهادات النظام أو المستعرض.
من بين المواقع التي تلقت بالفعل شهادات TLS الحكومية ، هناك بنوك مختلفة (Sberbank و VTB و Central Bank) ومنظمات ومشاريع تابعة للوكالات الحكومية. في الوقت نفسه ، في وقت كتابة هذا التقرير ، استمرت مواقع الويب الرئيسية لـ Sber و VTB في استخدام شهادات TLS التقليدية المدعومة في جميع المتصفحات ، ولكن تم بالفعل نقل بعض المجالات الفرعية (على سبيل المثال ، online-alpha.vtb.ru) إلى شهادة جديدة.
في حالة فرض مرجع مصدق جديد أو اكتشاف انتهاكات مثل هجمات MITM ، فمن المحتمل أن يتخذ مصنعو متصفح Firefox و Chrome و Edge و Safari إجراءات لإضافة شهادة الجذر التي بها مشكلات إلى قوائم إبطال الشهادات ، كما فعلوا بالفعل مع الشهادة ، التي تم تنفيذها لاعتراض حركة مرور HTTPS في كازاخستان.
المصدر: opennet.ru