Benutzer des Regierungsdienstleistungsportals der Russischen Föderation (gosuslugi.ru) erhielten eine Benachrichtigung über die Einrichtung eines staatlichen Zertifizierungszentrums mit ihrem Root-TLS-Zertifikat, das nicht in den Root-Zertifikatspeichern von Betriebssystemen und gängigen Browsern enthalten ist. Zertifikate werden auf freiwilliger Basis an juristische Personen ausgestellt und sollen in Situationen des Widerrufs oder der Beendigung der Erneuerung von TLS-Zertifikaten aufgrund von Sanktionen verwendet werden. Beispielsweise haben Zertifizierungsbehörden unter US-amerikanischer Rechtsprechung wie DigiCert die Bereitstellung von Zertifikaten für Websites von Organisationen eingestellt, die auf der Sanktionsliste stehen.
Derzeit ist das staatliche Stammzertifikat nur in Yandex.Browser- und Atom-Produkte integriert. Um das Vertrauen in anderen Browsern für Websites sicherzustellen, die Zertifikate einer staatlichen Zertifizierungsstelle verwenden, müssen Sie das Stammzertifikat manuell zum System- oder Browser-Zertifikatspeicher hinzufügen.
Zu den Websites, die bereits staatliche TLS-Zertifikate erhalten haben, gehören verschiedene Banken (Sberbank, VTB, Zentralbank) sowie Organisationen und Projekte, die mit Regierungsbehörden verbunden sind. Gleichzeitig verwenden die Hauptwebsites von Sberbank und VTB zum Zeitpunkt des Schreibens der Nachrichten weiterhin traditionelle TLS-Zertifikate, die in allen Browsern unterstützt werden, einzelne Subdomains (z. B. online-alpha.vtb.ru) jedoch bereits auf das neue Zertifikat übertragen.
Wenn eine neue Zertifizierungsstelle eingeführt wird oder Missbräuche wie MITM-Angriffe entdeckt werden, werden die Anbieter der Browser Firefox, Chrome, Edge und Safari wahrscheinlich Maßnahmen ergreifen, um das problematische Stammzertifikat zu den Zertifikatssperrlisten hinzuzufügen Sie haben dies bereits mit dem Zertifikat getan, das zum Abfangen des HTTPS-Verkehrs in Kasachstan implementiert wurde.
Source: opennet.ru