Nutzer des Portals der öffentlichen Dienste der Russischen Föderation (gosuslugi.ru) erhielten die Mitteilung über die Schaffung einer staatlichen Zertifizierungsstelle mit einem eigenen Root-TLS-Zertifikat, das nicht in die Root-Zertifikatsspeicher der Betriebssysteme und der gängigen Browser aufgenommen wurde. Zertifikate werden auf freiwilliger Basis an juristische Personen ausgegeben und sind für den Einsatz in Situationen gedacht, in denen TLS-Zertifikate aufgrund von Sanktionen widerrufen oder die Verlängerung eingestellt wird. Beispielsweise haben Zertifizierungsstellen, die unter Jurisdiktion der USA stehen, wie DigiCert, die Ausstellung von Zertifikaten für Websites von Organisationen, die auf der Sanktionsliste stehen, eingestellt.
Derzeit ist das staatliche Root-Zertifikat nur in den Produkten Yandex.Browser und Atom integriert. Um das Vertrauen in Websites, die Zertifikate von der staatlichen Zertifizierungsstelle verwenden, in anderen Browsern zu gewährleisten, ist es erforderlich, das Root-Zertifikat manuell in den systemeigenen oder browsereigenen Zertifikatsspeicher hinzuzufügen.
Zu den Websites, die bereits staatliche TLS-Zertifikate erhalten haben, gehören verschiedene Banken (Sberbank, VTB, Zentralbank) sowie mit staatlichen Strukturen verbundene Organisationen und Projekte. Zum Zeitpunkt der Erstellung dieser Nachricht verwenden die Hauptwebsites von Sberbank und VTB weiterhin traditionelle TLS-Zertifikate, die von allen Browsern unterstützt werden, jedoch wurden einige Subdomains (z. B. online-alpha.vtb.ru) bereits auf das neue Zertifikat umgestellt.
Falls ein neuer Zertifizierungsstelle aufgezwungen wird oder Fälle von Missbrauch entdeckt werden, wie etwa MITM-Angriffe, ist es wahrscheinlich, dass die Browserhersteller Firefox, Chrome, Edge und Safari Maßnahmen ergreifen, um das problematische Root-Zertifikat in die Sperrlisten aufzunehmen, wie es bereits bei dem Zertifikat geschehen ist, das zur Abhörung von HTTPS-Datenverkehr in Kasachstan verwendet wurde.

Quelle: opennet.ru
