The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Сертификат минцифры"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на рабочей станции (Сеть / Linux)
Изначальное сообщение [ Отслеживать ]

"Сертификат минцифры"  +/
Сообщение от Школьный админ (?), 24-Окт-22, 12:01 
Приветствую всех.
Некоторые сайты в России переходят на сертификаты, пописанные CA Минцифры.
До установки этих ca сертификатов в систему (Дебиан 11) (копирование в /usr/local/share/ca-certificates/ и выполнения update-ca-certificates) клиент (в данном случае wget) при попытку доступа к  https://www.sberbank.ru, как и должно, выдавал ошибку при проверке подписи сертификата
После установки сертификатов в систему при попытке доступа к www.sberbank.ru клиент ошибку не выдал, ssl соединение было установлено, но сервер в рамках этого соединения выдал html страницу о том, что корневой сертификат минцифры не установлен.
При пользовательской установке этих сертификатов в браузер все работает.
Вопросов два.
1. Кроме сбербанка, какие есть сайты для тестирования?
2. Может, я неправильно установил сертификаты, хотя для других сертификатов, правда уже давно, подобная установка работала.
Спасибо, если кто откликнется.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 24-Окт-22, 13:16   +/
> Вопросов два.
> 1. Кроме сбербанка, какие есть сайты для тестирования?

Только оно.

> 2. Может, я неправильно установил сертификаты, хотя для других сертификатов, правда уже
> давно, подобная установка работала.

Сертификат как молварь (посмотри что делает ябраузер при установке). Держать за тремя виртуалками.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

2. Сообщение от ыы (?), 24-Окт-22, 13:40   +/
>[оверквотинг удален]
> После установки сертификатов в систему при попытке доступа к www.sberbank.ru клиент ошибку
> не выдал, ssl соединение было установлено, но сервер в рамках этого
> соединения выдал html страницу о том, что корневой сертификат минцифры не
> установлен.
> При пользовательской установке этих сертификатов в браузер все работает.
> Вопросов два.
> 1. Кроме сбербанка, какие есть сайты для тестирования?
> 2. Может, я неправильно установил сертификаты, хотя для других сертификатов, правда уже
> давно, подобная установка работала.
> Спасибо, если кто откликнется.

сертификаты случаем не ГОСТовские?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

3. Сообщение от Школьный админ (?), 24-Окт-22, 14:15   +/
> сертификаты случаем не ГОСТовские?

Нет, обычные.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

4. Сообщение от Школьный админ (?), 24-Окт-22, 14:17   +/
> Сертификат как молварь (посмотри что делает ябраузер при установке). Держать за тремя
> виртуалками.

Добавляет в базу данных в домашнем каталоге. Может еще что, но я не заметил.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7

5. Сообщение от Школьный админ (?), 24-Окт-22, 16:19   +/
> Некоторые сайты в России переходят на сертификаты, пописанные CA Минцифры.
> До установки этих ca сертификатов в систему (Дебиан 11) (копирование в /usr/local/share/ca-certificates/
> и выполнения update-ca-certificates) клиент (в данном случае wget) при попытку доступа
> к  https://www.sberbank.ru, как и должно, выдавал ошибку при проверке подписи
> сертификата
> После установки сертификатов в систему при попытке доступа к www.sberbank.ru клиент ошибку
> не выдал, ssl соединение было установлено, но сервер в рамках этого
> соединения выдал html страницу о том, что корневой сертификат минцифры не
> установлен.
> При пользовательской установке этих сертификатов в браузер все работает.

Спасибо за отклики.
Причину, вроде, нашел.
Если в системных клиентах, как wget, openssl-s_client указать url, который рельно открывается в браузере https://www.sberbank.ru/ru/person, то результат такой же, как в браузере.
С другой стороны, если в браузере указать конретный файл https://www.sberbank.ru/index.php, то результат, как в консольных клиентах.
Остается вопрос, может кто сталкивался:
Как попросить chromium и/или firefox использовать в том числе и системные сертификаты?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

6. Сообщение от LastOf (?), 24-Окт-22, 16:30   +/
>[оверквотинг удален]
> После установки сертификатов в систему при попытке доступа к www.sberbank.ru клиент ошибку
> не выдал, ssl соединение было установлено, но сервер в рамках этого
> соединения выдал html страницу о том, что корневой сертификат минцифры не
> установлен.
> При пользовательской установке этих сертификатов в браузер все работает.
> Вопросов два.
> 1. Кроме сбербанка, какие есть сайты для тестирования?
> 2. Может, я неправильно установил сертификаты, хотя для других сертификатов, правда уже
> давно, подобная установка работала.
> Спасибо, если кто откликнется.

Нужно 4 сертификата, мицифры, минкомсвзи, russian trust ca и russian trust sub

Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (1), 25-Окт-22, 01:11   –1 +/
>> Сертификат как молварь (посмотри что делает ябраузер при установке). Держать за тремя
>> виртуалками.
> Добавляет в базу данных в домашнем каталоге. Может еще что, но я
> не заметил.

Х там плавал. Эта молварь заменяет etc/са-сертификаты и ещё кое куда влезает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8

8. Сообщение от 1 (??), 25-Окт-22, 10:44   +1 +/
А куда она лезет? А то в /etc/ca-certificates ничего не заменила.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от Аноним (-), 27-Окт-22, 20:46   +/
>[оверквотинг удален]
>> установлен.
>> При пользовательской установке этих сертификатов в браузер все работает.
> Спасибо за отклики.
> Причину, вроде, нашел.
> Если в системных клиентах, как wget, openssl-s_client указать url, который рельно открывается
> в браузере https://www.sberbank.ru/ru/person, то результат такой же, как в браузере.
> С другой стороны, если в браузере указать конретный файл https://www.sberbank.ru/index.php,
> то результат, как в консольных клиентах.
> Остается вопрос, может кто сталкивался:
> Как попросить chromium и/или firefox использовать в том числе и системные сертификаты?

Если можешь - запили отдельный бровзир с подментованными сертификатами, иначе школьников из твоей школы очень скоро начнут либо вызывать в отдел полиции, либо сажать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #10

10. Сообщение от Школьный админ (?), 28-Окт-22, 06:46   +/
> Если можешь - запили отдельный бровзир с подментованными сертификатами, иначе школьников
> из твоей школы очень скоро начнут либо вызывать в отдел полиции,
> либо сажать.

Такие бровзеры есть, тот же яндекс.
Вопрос был конкретно о системных сертификатах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от СтреляныйВоробей (?), 05-Дек-22, 15:52   +/
www.gosuslugi.ru/crt

https://www.sberbank.com/ru/certificates
- тест на сертификаты

у wget опция где указывается папка с росс. сертификатами, см. man wget

Сертификат Russian Trusted Sub CA внутри Chromium-gost и Яндекс Браузер.


Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру