Gebruikers van het overheidsdienstenportaal van de Russische Federatie (gosuslugi.ru) ontvingen een melding over de oprichting van een staatscertificeringscentrum met hun root-TLS-certificaat, dat niet is opgenomen in de rootcertificaatarchieven van besturingssystemen en grote browsers. Certificaten worden op vrijwillige basis afgegeven aan rechtspersonen en zijn bedoeld om te worden gebruikt in situaties van intrekking of beëindiging van de verlenging van TLS-certificaten als gevolg van sancties. Zo zijn certificeringsautoriteiten onder Amerikaanse jurisdictie, zoals DigiCert, gestopt met het verstrekken van certificaten voor websites van organisaties die op de sanctielijst staan.
Momenteel is het staatsrootcertificaat alleen geïntegreerd in Yandex.Browser- en Atom-producten. Om het vertrouwen in andere browsers te garanderen voor sites die certificaten van een overheidscertificeringsinstantie gebruiken, moet u het basiscertificaat handmatig toevoegen aan het systeem- of browsercertificaatarchief.
Onder de sites die al TLS-certificaten van de overheid hebben ontvangen, bevinden zich verschillende banken (Sberbank, VTB, Centrale Bank) en organisaties en projecten die zijn aangesloten bij overheidsinstanties. Tegelijkertijd blijven de belangrijkste websites van Sberbank en VTB, op het moment dat het nieuws wordt geschreven, traditionele TLS-certificaten gebruiken, ondersteund in alle browsers, maar individuele subdomeinen (bijvoorbeeld online-alpha.vtb.ru) zijn al overgezet naar het nieuwe certificaat.
Als er een nieuwe CA wordt opgelegd, of als er misbruik zoals MITM-aanvallen worden ontdekt, is het waarschijnlijk dat de leveranciers van de Firefox-, Chrome-, Edge- en Safari-browsers actie zullen ondernemen om het problematische rootcertificaat toe te voegen aan de certificaatintrekkingslijsten, aangezien ze hebben al gedaan met het certificaat, geïmplementeerd om HTTPS-verkeer in Kazachstan te onderscheppen.
Bron: opennet.ru