Les utilisateurs du portail des services gouvernementaux de la Fédération de Russie (gosuslugi.ru) ont reçu une notification concernant la création d'un centre de certification d'État avec leur certificat TLS racine, qui n'est pas inclus dans les magasins de certificats racine des systèmes d'exploitation et des principaux navigateurs. Les certificats sont délivrés sur une base volontaire aux personnes morales et sont destinés à être utilisés dans des situations de révocation ou de résiliation du renouvellement des certificats TLS à la suite de sanctions. Par exemple, les autorités de certification sous juridiction américaine, telles que DigiCert, ont cessé de fournir des certificats pour les sites Web des organisations figurant sur la liste des sanctions.
Actuellement, le certificat racine d'État n'est intégré que dans les produits Yandex.Browser et Atom. Pour garantir la confiance dans les autres navigateurs pour les sites qui utilisent des certificats d'une autorité de certification gouvernementale, vous devez ajouter manuellement le certificat racine au magasin de certificats du système ou du navigateur.
Parmi les sites qui ont déjà reçu des certificats TLS du gouvernement figurent diverses banques (Sberbank, VTB, Banque centrale) et des organisations et projets affiliés à des agences gouvernementales. Dans le même temps, au moment de la rédaction de l'actualité, les principaux sites Web de la Sberbank et de VTB continuent d'utiliser les certificats TLS traditionnels, pris en charge dans tous les navigateurs, mais des sous-domaines individuels (par exemple, online-alpha.vtb.ru) ont déjà été transféré vers le nouveau certificat.
Si une nouvelle autorité de certification commence à être imposée ou si des abus tels que des attaques MITM sont découverts, il est probable que les fournisseurs des navigateurs Firefox, Chrome, Edge et Safari prendront des mesures pour ajouter le certificat racine problématique aux listes de révocation de certificats, comme ils l'ont déjà fait avec le certificat , mis en œuvre pour intercepter le trafic HTTPS au Kazakhstan.
Source: opennet.ru