Os usuários do portal de serviços públicos da Federação Russa (gosuslugi.ru) receberam uma notificação sobre a criação de uma autoridade de certificação estadual com seu certificado TLS raiz, que não está incluído no armazenamento de certificados raiz de sistemas operacionais e navegadores principais. Os certificados são emitidos voluntariamente a entidades legais e destinam-se a ser utilizados em situações em que os certificados TLS são revogados ou rescindidos em resultado de sanções. Por exemplo, as CAs dos EUA, como a DigiCert, pararam de emitir certificados para sites de organizações na lista de sanções.
Atualmente, o certificado raiz do estado é integrado apenas aos produtos Yandex.Browser e Atom. Para garantir que os sites que usam certificados de uma CA pública sejam confiáveis em outros navegadores, você deve adicionar manualmente o certificado raiz ao sistema ou armazenamento de certificados do navegador.
Entre os sites que já receberam certificados TLS estaduais estão vários bancos (Sberbank, VTB, Banco Central) e organizações e projetos afiliados a órgãos governamentais. Ao mesmo tempo, no momento da redação deste artigo, os principais sites da Sber e VTB continuam usando certificados TLS tradicionais suportados em todos os navegadores, mas alguns subdomínios (por exemplo, online-alpha.vtb.ru) já foram transferidos para o novo certificado.
Caso uma nova CA seja imposta ou abusos como ataques MITM sejam descobertos, é provável que os fabricantes dos navegadores Firefox, Chrome, Edge e Safari tomem medidas para adicionar o certificado raiz problemático às listas de certificados revogados, pois eles já fez com o certificado , implementado para interceptar o tráfego HTTPS no Cazaquistão.
Fonte: opennet.ru