Los usuarios del portal de servicios gubernamentales de la Federación de Rusia (gosuslugi.ru) recibieron una notificación sobre la creación de un centro de certificación estatal con su certificado TLS raíz, que no está incluido en los almacenes de certificados raíz de los sistemas operativos y los principales navegadores. Los certificados se emiten de forma voluntaria a personas jurídicas y están destinados a ser utilizados en situaciones de revocación o terminación de la renovación de certificados TLS como resultado de sanciones. Por ejemplo, las autoridades de certificación bajo jurisdicción estadounidense, como DigiCert, han dejado de proporcionar certificados para sitios web de organizaciones incluidas en la lista de sanciones.
Actualmente, el certificado raíz estatal está integrado únicamente en los productos Yandex.Browser y Atom. Para garantizar la confianza en otros navegadores para sitios que utilizan certificados de una autoridad de certificación gubernamental, debe agregar manualmente el certificado raíz al almacén de certificados del sistema o del navegador.
Entre los sitios que ya han recibido certificados TLS gubernamentales se encuentran varios bancos (Sberbank, VTB, Central Bank) y organizaciones y proyectos afiliados a agencias gubernamentales. Al mismo tiempo, en el momento de escribir la noticia, los principales sitios web de Sberbank y VTB continúan utilizando certificados TLS tradicionales, compatibles con todos los navegadores, pero ya se han implementado subdominios individuales (por ejemplo, online-alpha.vtb.ru). transferido al nuevo certificado.
Si se comienza a imponer una nueva CA o se descubren abusos como ataques MITM, es probable que los proveedores de los navegadores Firefox, Chrome, Edge y Safari tomen medidas para agregar el certificado raíz problemático a las listas de revocación de certificados, como también lo harían los proveedores de los navegadores Firefox, Chrome, Edge y Safari. Ya lo han hecho con el certificado, implementado para interceptar el tráfico HTTPS en Kazajstán.
Fuente: opennet.ru