俄羅斯聯邦公共服務門戶網站 (gosuslugi.ru) 的用戶收到了有關使用其根 TLS 證書創建國家證書頒發機構的通知,該證書不包含在操作系統和主要瀏覽器的根證書存儲中。 證書是在自願的基礎上向法律實體頒發的,旨在用於 TLS 證書因制裁而被撤銷或終止的情況。 例如,總部位於美國的 CA(例如 DigiCert)已停止為製裁名單上的組織網站頒發證書。
目前,狀態根證書僅集成到 Yandex.Browser 和 Atom 產品中。 為確保使用來自公共 CA 的證書的站點在其他瀏覽器中受信任,您必須手動將根證書添加到系統或瀏覽器證書存儲區。
已經獲得國家 TLS 證書的站點包括各種銀行(Sberbank、VTB、中央銀行)以及隸屬於政府機構的組織和項目。 同時,在撰寫本文時,Sber 和 VTB 的主要網站繼續使用所有瀏覽器都支持的傳統 TLS 證書,但一些子域(例如,online-alpha.vtb.ru)已經轉移到新證書。
如果實施新的 CA 或發現 MITM 攻擊等濫用行為,Firefox、Chrome、Edge 和 Safari 瀏覽器製造商可能會採取行動,將有問題的根證書添加到證書吊銷列表中,因為他們已經做了證書,實現攔截哈薩克斯坦的 HTTPS 流量。
來源: opennet.ru