Az Orosz Föderáció közszolgáltatási portáljának (gosuslugi.ru) felhasználói értesítést kaptak egy állami tanúsító hatóság létrehozásáról a gyökér TLS-tanúsítványukkal, amely nem szerepel az operációs rendszerek és a fő böngészők gyökértanúsítványainak tárolásában. A tanúsítványokat önkéntes alapon bocsátják ki jogi személyek számára, és olyan helyzetekben használhatók, amikor a TLS-tanúsítványokat szankciók következtében visszavonják vagy megszüntetik. Például az egyesült államokbeli székhelyű CA-k, mint például a DigiCert, leállították a tanúsítványok kiadását a szankciós listán szereplő szervezetek webhelyei számára.
Jelenleg az állami gyökértanúsítvány csak a Yandex.Browser és Atom termékekbe van integrálva. Annak biztosítása érdekében, hogy a nyilvános CA-tól származó tanúsítványokat használó webhelyek megbízhatóak legyenek más böngészőkben, manuálisan kell hozzáadnia a gyökértanúsítványt a rendszer vagy a böngésző tanúsítványtárolójához.
Az állami TLS-tanúsítványokat már megkapó webhelyek között vannak különböző bankok (Sberbank, VTB, Központi Bank), valamint kormányzati szervekkel kapcsolatban álló szervezetek és projektek. Ugyanakkor a cikk írásakor a Sber és a VTB fő webhelyei továbbra is hagyományos, minden böngészőben támogatott TLS-tanúsítványt használnak, de néhány aldomain (például az online-alpha.vtb.ru) már átkerült a új bizonyítvány.
Abban az esetben, ha új CA-t vezetnek be, vagy visszaéléseket, például MITM-támadásokat fedeznek fel, valószínűleg a Firefox, Chrome, Edge és Safari böngészőgyártók intézkednek, hogy a problémás gyökértanúsítványt hozzáadják a tanúsítvány-visszavonási listákhoz. tette a tanúsítvánnyal, amelyet a HTTPS-forgalom elfogására valósítottak meg Kazahsztánban.
Forrás: opennet.ru