Есть ли какие-нибудь готовые решения чтобы ограничить доверенный корневой центр сертификации одним доменом?

Question

[Илья лук]

А то нужно центр сертификации от минцифры поставить чтобы на сайт зайти, а доступа к трафику товарищу майору давать не хочу.

Comments

[shurshur]

Некоторые для этого отдельный тындекс браузер держат

[Кот Абсолютный]

shurshur, Не, только не тындекс! "И даже под дулом пистолета" (С) Niletto я его ставить не буду!

Answer 1

[Telcontar]

Использовать отдельный браузер с этим сертом

Comments

[Илья лук]

Не красиво это) Да и менеджеры жалуются что с двумя браузера не удобно.

Answer 2

[Adamos]

Для того, чтобы "зайти на сайт", на хрен не нужно устанавливать никакие левые сертификаты.

Comments

[Илья лук]

У меня на hsts ругается. Вроде пытался исключение сделать в настройках хроме но чет не хочет переходить.

[Adamos]

Илья лук, приглядитесь к моему скриншоту. Где вы видите Хром? ;)

Answer 3

[Кот Абсолютный]

Нет. Архитектура такая. Ставишь FF (или любой другой, у которого свое хранилище сертификатов), ставишь туда сертификат от минцифры, оттуда ходишь куда надо. Куда не надо ходишь с другого браузера.

Еще можно виртуалку поставить. Я так полагаю, скоро это будет популярным решением - vbox, в котором сертификат минцифры и всяческий "типо российский" софт. Оттуда ходим на авито, wb, озон, гу etc.

Господи, до какого маразма мы докатились...

Comments

[pfg21]

зато доверяют остальным центрам сертификации :)

[Adamos]

pfg21, не ждут от них подлянок, скажем так.

[Василий Банников]

Adamos, а зря. Уже были прецеденты компрометации больших УЦ.

Но понятно дело, то родной тщ майор ближе и уже и так практически открыто государство заявляет, что хочет контролировать и расшифровывать весь трафик.

Ждём, когда для всех официальных ОРИ под сертификатом минцифры сделают централизованный mitm для целей безопасности и защиты от терроризма.

[Adamos]

Василий Банников, мы можем быть уверены, что прецедента компрометации Минцифры не будет никогда.

[Кот Абсолютный]

Василий Банников, Да можно подумать оно тут уникально :) Все этого хотят. Как только оказалось, что "гиковская штучка" способна сносить правительства - забеспокоились все. Кто-то в форме постановки трафика под контроль (РФ, Китай, Иран, Туркменистан, РБ, Эритрея, Саудовская Аравия, ОАЭ, Вьетнам), кто-то прикрывается как обычно "ужесточением доступа для несовершеннолетних". Почему прикрывается? Потому что для доступа совершеннолетних потребуется доказать, что он совершеннолетний :) Таких уже немало (Австралия, Индонезия, Малайзия, Бразилия, отдельные штаты США (в США у каждого штата свое законодательство)). Потенциально в это число могут войти Норвегия, Испания, Франция, Австрия, Греция, Великобритания (хотя там уже и так), Турция и Дания.

А насчет централизованного mitm -я еще когда говорил, что выход в тырнет будет по персональному сертификату (который разумеется будет у тащмайора)

[Илья лук]

Это понятно но менеджерам это ставить...

Answer 4

[NekoGami]

Не устанавливай левые сертефикаты в ОС.

Выдели отдельный браузер. Можно портабельную версию (я например ungoogled chromium портабельный использую). И добавь сертефикат только в сам этот браузер. И все. Ничего другого тогда этот сертификат не затронет.

Answer 5

[Alexey Dmitriev]

Нет

Answer 6

[Drno]

виртуалка разве что