Gli utenti del portale dei servizi governativi della Federazione Russa (gosuslugi.ru) hanno ricevuto una notifica sulla creazione di un centro di certificazione statale con il loro certificato TLS root, che non è incluso negli archivi dei certificati root dei sistemi operativi e dei principali browser. I certificati sono emessi su base volontaria a persone giuridiche e sono destinati ad essere utilizzati in situazioni di revoca o cessazione del rinnovo dei certificati TLS a seguito di sanzioni. Ad esempio, le autorità di certificazione sotto la giurisdizione statunitense, come DigiCert, hanno smesso di fornire certificati per i siti web delle organizzazioni incluse nell'elenco delle sanzioni.
Attualmente, il certificato radice dello stato è integrato solo nei prodotti Yandex.Browser e Atom. Per garantire l'attendibilità in altri browser per i siti che utilizzano certificati di un'autorità di certificazione governativa, è necessario aggiungere manualmente il certificato radice all'archivio certificati del sistema o del browser.
Tra i siti che hanno già ricevuto i certificati TLS governativi figurano diverse banche (Sberbank, VTB, Banca Centrale) e organizzazioni e progetti affiliati ad enti governativi. Allo stesso tempo, al momento della stesura della notizia, i principali siti Web di Sberbank e VTB continuano a utilizzare i tradizionali certificati TLS, supportati in tutti i browser, ma i singoli sottodomini (ad esempio online-alpha.vtb.ru) sono già stati trasferito al nuovo certificato.
Se inizia ad essere imposta una nuova CA o vengono scoperti abusi come attacchi MITM, è probabile che i fornitori dei browser Firefox, Chrome, Edge e Safari agiscano per aggiungere il certificato radice problematico agli elenchi di revoche di certificati, poiché lo hanno già fatto con il certificato, implementato per intercettare il traffico HTTPS in Kazakistan.
Fonte: opennet.ru