Почему сайт ФСБ (fsb.ru) не использует https и как проверить отозванные сертификаты по имени?

Сейчас легко заметить, что такие сайты как fsb.ru или kremlin.ru доступны только через http.

В новостях это поясняется очень кратко, и утверждается, что отозваны 35 сертификатов:
Это беспрецедентный шаг, заявил изданию "ГОРДОН" американский IT-бизнесмен Майкл Талан
https://gordonua.com/news/politics/it-biznesmen-iz...

Другие источники упоминают это, но по сути - просто перепечатывают эту новость, ссылаются на нее. Но ведь мы же технари и обсуждаем техническое событие, к тому же, как известно, ученые часто насилуют журналистов (для них было бы допустимо перепутать "отозвали" и "не продлили", а 35 перепутать с 53 или 350). Неужели такое значимое техническое событие оставило только едва заметный "гуманитарный след" - устное заявление IT бизнесмена украинскому изданию в статье с клик-бейтным заголовком?

Как-то можно технически убедиться-проверить, что сертификат fsb.ru отозван (или может они просто сами решили его не использовать)? Где-то есть какие-то первоисточники этого? Какие-нибудь треды/тикеты на github, заявления в твиттере verisign или mozilla, может быть где-то публикуются все отозванные сертификаты? На худой конец - если они отозваны в соответствии с каким-то американским законом - то есть ли в открытом доступе этот закон/указ, перечисляющий эти 35 сертификатов?
  • Вопрос задан
  • 1277 просмотров
Решения вопроса 1
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
Если я чешу в затылке - не беда!
Ну, Ярославище, американские законы далеко не всегда можно найти в открытом доступе - хайли лайкли знаете... А вот CRL - можно проверить, у нас не так уж и много крупных CA - thawte, comodo, globalsign... Вряд ли там был сертификат от LE :)

UPD: Нифига не получится. В CRL есть только серийник и код отзыва :) Чел, у которого сертификат, конечно сможет проверить - а другие скорее всего нет :)

UPD2 (большое):
Ну, меня вопрос заинтересовал, и вот какие у меня соображения.

Статья, разумеется, фуфел. У сайта fsb.ru, как и у kremlin.ru никогда не было сертификатов, проверить это можно у всезнающего гугла - сервис проверки. Сервис не находит ничего - то есть ничего не было. То есть, я так полагаю, все эти "35 отозванных сертификатов" на самом деле никогда не существовали, а упомянутые сайты никогда не имели сертификатов.
То есть, получается, что американец пиZDит... как и полагается сейчас настоящему американцу :) Но тем не менее, он как ни странно - прав!

Потому что проблема реально существует. Берем, например, яндекс.

Сертификат выдан внутренним CA Yandex:
CN = Yandex CA
OU = Yandex Certification Authority
O = Yandex LLC
C = RU

...которое ессно не корневой СA, а его сертификат выдан:
CN = Certum Trusted Network CA
OU = Certum Certification Authority
O = Unizeto Technologies S.A.
C = PL

... которое - внезапно - находится (тут музыка, туш, чернила и клей) - в Польше!
Issuer:
    CN=Certum CA,O=U­nizeto Sp. z o.o­.,C=PL
    CN=Certum Truste­d Network CA,OU=­Certum Certifica­tion Authority,O­=Unizeto Technol­ogies S.A.,C=PL
Serial:
    1961572933532405­2664386507102252­1293608
    279744
    4772842536756395­3368335862826026­879003
    9458922105397704­9342468936609165­78283
Not valid before:
    2008-10-22 12:07­:37 UTC
Not valid after:
    2027-06-10 10:46­:39 UTC
    2029-12-31 12:07­:37 UTC
    2025-12-30 23:59­:59 UTC
Key size:
    2048
Signature Algorithm:
    sha256WithRSAEnc­ryption
    sha1WithRSAEncry­ption

basicConstraints:
    CA:TRUE
subjectKeyIdentifier:
    08:76:CD:CB:07:F­F:24:F6:C5:CD:ED­:BB:90:BC:E2:84:­37:46:75:F7
authorityKeyIdentifier:
    DirName:/C=PL/O=­Unizeto Sp. z o.­o./CN=Certum CA­serial:01:00:20
keyUsage:
    Certificate Sign­, CRL Sign
crlDistributionPoints:
    Full Name:­ URI:http://crl­.certum.pl/ca.cr­l
authorityInfoAccess:
    OCSP - URI:http:­//subca.ocsp-cer­tum.com­CA Issuers - URI­:http://reposito­ry.certum.pl/ca.­cer
certificatePolicies:
    Policy: X509v3 A­ny Policy­ CPS: http://ww­w.certum.pl/CPS
    Policy: X509v3 A­ny Policy­ CPS: https://w­ww.certum.pl/CPS

(пруф - вот)

То есть, одним движением мышки Certum отзывает сертификат субцентра яндекса - и все сертификаты, выпущенные им, превращаются... в тыкву!

Есть от чего с ума сойти...

Ну и еще момент. Имея сертификат сайта - можно достаточно просто проверить факт его отозванности. Вот статья на хабре, она короткая, но полезные команды там есть.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@vitaly_il1
DevOps Consulting
"Однако до сих пор не озадачились безопасностью передаваемой информации официальные порталы Президента России kremlin.ru, Госдумы www.duma.gov.ru, ФСБ России www.fsb.ru, Совета Безопасности РФ www.scrf.gov.ru. "
https://roskomsvoboda.org/31159/ - 15.08.2017
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы