Последние лет десять [с гаком] в интернетах с заслуживающим лучшего применения упорством продавливается переход на повсеместное использование протокола HTTPS. Особое рвение, воплощённое в организационном гноблении базового (нешифрованного) протокола (HTTP) можно наблюдать лет шесть-семь как.
Аргументация данного действа вполне… красива и почти что адекватна — информационная безопасность. Правда тут есть нюансы. В пригодной для массового применения компоновке протокол HTTPS не то, чтобы достаточен для обеспечения надлежащего решения заявленной задачи. Пример можно посмотреть здесь, особое внимание рекоменлую обратить на обсуждение, а точнее один фундаментальный вопрос, попытки набрасывания возражений и результат верификации приведённых примеров.
Куда реалистичнее коньспирологическое объяснение мотива двумя бонусами:
Во-1) использование протокола HTTPS — это не только ценный мех, но и фактически дополнительный источник *абонентских* платежей, дополняющих цену владения рабочим сайтиком;
И во-2) дополнительная, в коньспирологическом сценарии, реальность которого показана практикой, *неподконтрольная* администратору сайта точка отказа.
Жизненность второго пункта была наглядно продемонстрирована нашими «партнёрами» в эпизоде недавнего отзыва сертификата сайтов ряда российских банков (тут мне очень интересно как эта… инсталляция отразилась на послужном списке профессионалов от ИБ, согласовывавших схему).
Закономерным следствием пробуждения жареного петуха стала активизация деятельности по организации национальных альтернатив буржуинским… корпорастам (до того эффективно гнобимая борцунами с «коррюпцыей»®©™, с закономерно-очевидным следствием в виде необходимости воплощения разворачивающегося Действа в поднятие теми уголовных статей со сроками от 15 лет). В данном случае речь об организации национального удостоверяющего центра.
Получите электронный сертификат безопасности
Он заменит иностранный сертификат безопасности в случае его отзыва или окончания срока действия. Минцифры предоставит бесплатный отечественный аналог. Услуга предоставляется юридическим лицам — владельцам сайтов по запросу в течение 5 рабочих дней
И-23: пока (?) закономерно — только юридическим лицам. Зато — бесплатно (с учётом свидетельств о величине ренты буржуинских удостоверяющих центров может получиться *очень* болезненное воздействие по самому чувствительному месту (кошельку).
$ unzip RootCa_SSL_RSA.zip Archive: RootCa_SSL_RSA.zip inflating: rootca_ssl_rsa2022.cer inflating: rootca_ssl_rsa2022.cer.detached.sig
И-23: культура распространения файлов с головой выдаёт профессионала, сформированного экосистемой самой распространённой ОС. ☹
$ openssl x509 -text -in rootca_ssl_rsa2022.cer -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 4096 (0x1000)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = RU, O = The Ministry of Digital Development and Communications, CN = Russian Trusted Root CA
Validity
Not Before: Mar 1 21:04:15 2022 GMT
Not After : Feb 27 21:04:15 2032 GMT
Subject: C = RU, O = The Ministry of Digital Development and Communications, CN = Russian Trusted Root CA
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (4096 bit)
Modulus:
00:c7:c5:39:9f:29:50:02:f7:fa:bd:a7:aa:a1:34:
66:9e:76:b1:e9:57:b0:a1:85:62:81:b4:18:ce:5b:
c3:3d:5b:48:5b:42:b7:e0:19:40:c8:64:59:08:5e:
23:7a:68:64:04:e8:60:9b:ba:f6:91:cb:29:2e:90:
5c:18:b0:04:2d:5c:bf:36:26:51:82:8c:61:90:bb:
8c:4e:58:84:45:36:6d:22:f4:99:7e:cd:68:cc:4c:
0e:61:f6:fc:dc:2e:39:54:63:f0:e2:26:55:ae:6c:
d4:5e:14:ce:7e:0a:bf:73:c5:94:30:63:8d:28:d7:
29:56:3d:92:68:d4:06:c5:d0:ac:81:de:6a:a9:94:
22:c3:c8:94:d5:94:9e:29:97:4b:42:34:69:b1:31:
aa:46:dd:ad:76:d7:63:00:8e:5e:13:8e:da:90:d4:
c7:77:24:98:99:42:31:41:9a:71:44:e7:ca:5c:90:
5b:65:6c:24:8c:88:18:0f:15:d3:1c:dd:69:e5:17:
83:45:59:e9:99:8d:52:be:58:05:ea:ff:10:03:8b:
3d:bf:0d:62:9b:00:84:97:b6:99:78:cc:07:f2:7d:
1c:db:28:14:c0:45:27:49:4b:39:3f:fe:75:0b:e3:
6d:d4:59:a0:e4:fc:7a:a2:69:5a:75:43:53:e4:0b:
fe:a1:19:9f:3e:7b:37:cf:0e:58:cd:eb:69:b2:64:
44:d7:54:fd:9e:f1:e5:21:48:33:d1:6b:aa:d3:7c:
c5:ec:2c:88:15:81:23:42:ba:5c:5b:8e:04:e4:c3:
e1:5d:3c:a3:84:f3:27:cf:82:72:ae:57:94:25:16:
d8:be:3c:a5:93:42:62:e0:43:7c:18:7b:17:19:01:
ee:a0:e0:18:38:9a:7e:d1:24:65:97:c0:a5:18:36:
13:e3:3d:1b:cc:24:34:a4:cf:2c:37:38:c0:7d:05:
0d:38:a3:86:0c:51:dd:8e:0f:89:2d:47:2f:66:61:
c3:b6:c3:dc:26:ec:96:61:06:81:f9:e7:66:88:cd:
90:9b:5c:2d:e0:47:04:b6:b9:db:f7:52:c0:d5:38:
59:62:ee:6d:a6:12:88:09:80:f4:85:0c:5f:5f:d1:
a5:fa:71:3b:17:78:62:49:a1:cf:de:e8:15:b5:1a:
0c:91:62:a4:88:20:c7:9b:17:78:f0:25:91:37:56:
9e:ff:91:58:1c:65:27:03:10:db:9a:04:1e:64:60:
b8:d6:1f:e1:9a:ff:47:1a:fd:71:2f:77:63:e9:9d:
5c:86:5a:04:41:34:29:2d:a2:2d:1a:9a:3a:25:81:
92:2f:48:31:05:38:a6:1a:8f:38:10:1a:1b:b0:3e:
78:ff:0f
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
E1:D1:81:E5:CE:5A:5F:04:AA:D2:E9:B6:9D:66:B1:C5:FA:AC:2C:87
X509v3 Authority Key Identifier:
keyid:E1:D1:81:E5:CE:5A:5F:04:AA:D2:E9:B6:9D:66:B1:C5:FA:AC:2C:87
X509v3 Basic Constraints: critical
CA:TRUE, pathlen:4
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
Signature Algorithm: sha256WithRSAEncryption
00:b2:18:d7:09:22:96:df:ee:ad:f1:15:33:9b:ca:ce:be:ae:
b4:e7:83:58:25:1c:ce:65:97:fd:15:f8:96:3a:51:76:01:7e:
e5:f0:08:4b:8b:c7:b6:65:e4:aa:94:82:39:57:96:52:b2:55:
f5:0b:d9:9f:a2:f6:db:b6:70:b8:4d:79:71:68:bc:0c:20:da:
97:75:1e:f7:45:a0:00:92:59:31:f4:ec:84:de:0e:23:c7:2a:
5b:d1:38:10:6f:70:82:56:c4:b4:c9:ce:6c:79:66:b3:c1:77:
08:79:ab:c3:79:3a:2a:65:24:58:6a:1a:fb:f1:0d:99:c5:65:
eb:cb:bf:70:c4:65:d4:96:d6:d9:b3:3e:ff:70:3e:48:08:36:
73:a8:8f:0e:57:a1:73:32:b1:da:86:bd:e5:05:b4:4a:43:cf:
58:6b:8d:03:f0:84:f0:2a:72:00:d2:21:bb:d5:c5:ae:3d:d1:
43:71:2a:79:17:12:01:04:28:77:54:4d:b8:7a:5f:11:32:d4:
fc:0d:a0:32:6b:e7:ff:0f:ec:c7:b4:c1:dd:6e:41:3e:ce:ab:
a6:b3:80:df:bb:6e:b4:fa:bd:bb:a1:53:64:e7:06:d4:ea:a3:
0b:f0:7b:c9:3a:a0:23:ba:db:ca:fa:31:ec:31:17:a1:7e:eb:
22:21:2a:c8:d3:54:82:e4:e4:fe:ed:d2:67:85:57:13:69:26:
c5:d9:92:87:74:d0:bf:26:df:6e:75:d5:e0:96:c2:65:56:aa:
89:9a:da:a9:ce:e8:64:c9:d1:a1:6a:d7:44:6d:f3:b5:b9:db:
7a:cf:fd:aa:14:46:23:b3:ea:5e:a7:8a:24:1c:ed:c5:14:c4:
56:3f:0e:36:cd:5d:58:de:6c:cd:3c:1a:3c:8b:e1:92:13:b7:
08:ee:44:ad:4d:ab:55:d5:2b:f3:dc:0a:a4:d5:db:04:e0:c5:
29:1b:60:c5:44:fb:d1:8a:66:27:8e:95:55:aa:9d:02:13:99:
0f:d1:14:52:7e:18:69:e2:da:4b:c0:23:48:5f:e1:ed:49:23:
3a:26:cd:73:8a:95:0e:23:cf:fa:b9:1e:84:55:8c:eb:a3:d5:
9c:fd:4c:b2:1f:77:b5:cf:ad:68:87:c2:11:85:4c:c6:38:7c:
cc:d6:c5:ba:87:3b:7f:3b:ef:ac:52:0b:2d:ee:e2:7e:f1:08:
52:a4:95:20:2f:c0:ce:99:4c:fc:9c:70:ed:bb:97:15:e1:8f:
d6:a5:42:04:41:ea:df:dd:5d:ff:d4:40:7d:a6:75:db:39:30:
16:c9:7e:20:ac:04:fc:e6:71:5b:c0:07:6b:d8:b5:a7:81:8e:
d1:84:8d:b9:cc:f3:12:6e
Данный сертификат очень хорошо, практически достаточно иллюстрирует *реальный* (!) *современный* (!!!) статус «давным давно решённой» (© Александр Мичуринский) проблемы кодировок (тем кто затрудняется с интепретацией сарказма отмечу, что в *моих* сертификатах, начиная с сертификата УЦ, в зависимости от методики вторую или третью пятилетку пишется *кириллица*).
В актуальных российских сборках браузеров (Яндекс-Браузер, Атом, далее не знаю) этот сертификат должен быть включён в состав дистрибутива.
В случае буржуинских, да с отягчающим обстоятельством причастности к санкциям (например www-client/microsoft-edge) есть вероятность предполагать в лучшем случае отсутствие данного сертификата (до специального «обновления», проверяющего его наличие и при обнаружении классифицирующего как недоверенный).
Решение простое и стандартное:
- Скачать архив;
- Извлечь сертификат из архива;
- Установить (насколько нужно расписывать очевидное действие?) в качестве доверенного корневого.
Profit!
Согласно некоторым свидетельствам, перевод сайтов на этот сертификат начнётся завтра, т.е. 28 марта.
Комментарии
Продолжение истории.
Страницы