Benutzer des Regierungsdienstleistungsportals der Russischen Föderation (gosuslugi.ru) erhielten eine Benachrichtigung über die Einrichtung eines staatlichen Zertifizierungszentrums mit ihrem Root-TLS-Zertifikat, das nicht in den Root-Zertifikatspeichern von Betriebssystemen und gängigen Browsern enthalten ist. Zertifikate werden auf freiwilliger Basis an juristische Personen ausgestellt und sollen in Situationen des Widerrufs oder der Beendigung der Erneuerung von TLS-Zertifikaten aufgrund von Sanktionen verwendet werden. Beispielsweise haben Zertifizierungsbehörden unter US-amerikanischer Rechtsprechung wie DigiCert die Bereitstellung von Zertifikaten für Websites von Organisationen eingestellt, die auf der Sanktionsliste stehen.
Derzeit ist das staatliche Stammzertifikat nur in Yandex.Browser und Atom-Produkte integriert. Um sicherzustellen, dass Websites, die Zertifikate einer staatlichen Zertifizierungsstelle verwenden, in anderen Browsern vertrauenswürdig sind, müssen Sie das Stammzertifikat manuell zum Zertifikatspeicher des Systems oder Browsers hinzufügen.
Zu den Websites, die bereits staatliche TLS-Zertifikate erhalten haben, gehören verschiedene Banken (Sber, VTB, Zentralbank) sowie mit Regierungsbehörden verbundene Organisationen und Projekte. Zum Zeitpunkt des Schreibens verwenden die Hauptwebsites von Sber und VTB weiterhin traditionelle TLS-Zertifikate, die in allen Browsern unterstützt werden, aber einzelne Subdomains (z. B. online-alpha.vtb.ru) wurden bereits auf das neue Zertifikat übertragen.
Wenn eine neue Zertifizierungsstelle eingeführt wird oder Missbräuche wie MITM-Angriffe entdeckt werden, werden die Anbieter der Browser Firefox, Chrome, Edge und Safari wahrscheinlich Maßnahmen ergreifen, um das problematische Stammzertifikat zu den Zertifikatssperrlisten hinzuzufügen Sie haben dies bereits mit dem Zertifikat getan, das zum Abfangen des HTTPS-Verkehrs in Kasachstan implementiert wurde.
Source: opennet.ru
