کاربران پورتال خدمات دولتی فدراسیون روسیه (gosuslugi.ru) اطلاعیه ای در مورد ایجاد یک مرکز صدور گواهینامه دولتی با گواهی ریشه TLS خود دریافت کردند که در فروشگاه های گواهی ریشه سیستم عامل ها و مرورگرهای اصلی گنجانده نشده است. گواهینامه ها به صورت داوطلبانه برای اشخاص حقوقی صادر می شوند و برای استفاده در شرایط ابطال یا خاتمه تمدید گواهی های TLS در نتیجه تحریم ها در نظر گرفته شده است. به عنوان مثال، مقامات صدور گواهینامه تحت صلاحیت ایالات متحده، مانند DigiCert، ارائه گواهی برای وب سایت های سازمان های موجود در لیست تحریم ها را متوقف کرده اند.
در حال حاضر، گواهی ریشه ایالت فقط در محصولات Yandex.Browser و Atom یکپارچه شده است. برای اطمینان از اعتماد به سایر مرورگرها برای سایتهایی که از گواهیهای یک مرجع صدور گواهینامه دولتی استفاده میکنند، باید گواهی ریشه را به صورت دستی به سیستم یا فروشگاه گواهی مرورگر اضافه کنید.
از جمله سایت هایی که قبلا گواهی TLS دولتی دریافت کرده اند، بانک های مختلف (Sberbank، VTB، Bank Central) و سازمان ها و پروژه های وابسته به سازمان های دولتی هستند. در همان زمان، در زمان نوشتن این خبر، وب سایت های اصلی Sberbank و VTB همچنان از گواهی های سنتی TLS استفاده می کنند که در همه مرورگرها پشتیبانی می شود، اما زیر دامنه های فردی (به عنوان مثال، online-alpha.vtb.ru) قبلاً وجود داشته است. به گواهی جدید منتقل می شود.
اگر یک CA جدید شروع به تحمیل کند یا سوء استفاده هایی مانند حملات MITM کشف شود، این احتمال وجود دارد که فروشندگان مرورگرهای فایرفاکس، کروم، اج و سافاری برای افزودن گواهینامه ریشه مشکل ساز به لیست های ابطال گواهی اقدام کنند. آنها قبلاً این گواهی را انجام داده اند که برای رهگیری ترافیک HTTPS در قزاقستان پیاده سازی شده است.
منبع: opennet.ru