Теплица LIVE: Почему нельзя устанавливать SSL-сертификаты из России.
HTML-код
- Опубликовано: 29 сен 2024
- #ТеплицаLIVE #Михаил_Ивановский
С конца февраля ряд иностранных удостоверяющих центров начали отказывать российским организациям в обслуживании, проще говоря, отзывать SSL-сертификаты. В ответ на это Российские госорганы начали вводить национальные SSL-сертификаты, установка которых, по мнению специалистов, создает огромный риск утечки любых ваших данных.
В пятницу в 15:00 разбираемся в этом вопросе со специалистом по цифровой безопасности Михаилом Ивановским. Подключайтесь и задавайте вопросы.
Подробнее об SSL сертификатов и как удалить корневой от Российского УЦ: telegra.ph/Ros...
Видео Теплицы - это уроки на русском по всем программам, которые могут вам пригодиться.
Теплица социальных технологий: te-st.ru
Теплица социальных технологий в Telegram: t.me/teplitsa
Теплица социальных технологий в facebook: / teplitsast
Теплица социальных технологий в Instagram: teplitsast
Теплица социальных технологий в vk: TeplitsaST
Подписывайтесь на еженедельную рассылку Теплицы и получайте лучшие видеоуроки, полезные статьи и анонсы возможностей для саморазвития и командной работы:
newsletter.te-...
Музыка: Javier Suarez (jahzzar) "Please Listen Carefully" ©
Ничего не поняла. И каков итоговый ответ на вопрос "Как пользоваться сбером?"? ""Так и пользоваться" - зашибись ответ.
Я не поняла, как, из всего предыдущего разговора с плохим звуком и какими-то полуироничными полунамеками.
То есть - не устанавливать сертификат? А получится тогда сайт Сбера-то открыть и работать с ним? Или - получится, но только черезЯБраузер и желательно с виртуальной машины(впервые слышу про такое, правильно поняла, что это просто другой смартфон? работающий от вай-фая, например)
Приложение Сбера мой древний айфон(6ка) давно удалил, сам, причем. Утром просыпаюсь - Сбер сгружен в облако. Навсегда))
Они сами не до конца понимают, о чём говорят. Просто отрабатывают протестную повестку.
В видео было сказано как можно безопасно пользоваться сбером не компрометируя данные на других ресурсах.
Да, праздник самолюбования. Я понял, что если с телефона - лучше использовать для этих целей отдельный. Не самый старый. (Приложения не ставятся на старые версии Андроид и пр.)
На компе - "поднять виртуальную машину" и в нее загрузить браузер.
@@bbolike Формат интервью не подходит для такой темы. Нужно показывать экран - диаграммы там, визуализацию. А они лица показывают.
После удаления вышеуказанных сертификатов майор ничего не увидит?
Как проверить на андроид что окончательно удалил? (Делал через ui, может быть что то осталось в папках, как проверить?)
Да, спасибо большое. Вы действительно ответили на мой вопрос, пойду ставить виртуальную машину
Спасибо вам за этот стрим! Было очень полезно. Виртуальная машина устанавливается чтобы можно было заходить на Сбер😐 Так и до чебурнета скоро докатимся
так вообще-то уже...
Я больше доверяю иностранным сервисам, чем российским… Да, лучше заведу отдельный телефон для ру сервисов и мир пэя
идиотия. И таскаться будешь по всюду с двумя телефонами? У тебя же всегда смартфон с собой. Теперь всегда с двумя ? И ты не знаешь когда тебя преспичит воспользоваться. И такой аааа блин забыл второй телефон. Ну всё на гос услуги заходить не буду.
@@rybolovlev_vg я на них и так последний раз заходил только за QR кодом в 2021… А бэкдор на свой телефон я ставить не особо хочу
@@rybolovlev_vg Лучше 2 телефона носить, чем тебе на швабру кишки на зоне наматывать будут. ☠☠☠
сперва Казахстан, теперь РАБшия... ни когда, не ставлю ПО\ос расни!
Спасибо за рекомендации. А будет ли инстукция в виде стать стобы можно было поделисться с знакомыми.
А не проще создать отдельный профиль фаерфокс и в него поставить серт, чисто под ру сайты?
А сертификаты к профилю привязываются? Если да, то можно, почему нет.
@@ArtiomNeganov Да к профилю
Звук ужасный, если видёте трансляцию, то хотя бы озадачтесь хорошей передачей звука 🤦
Можно подумать, что до этого момента было по-другому 😆
Да и как будто кругом одна оппозиция и Джеймс Бонды 😁
До этого момента было по-другому: сертификационные центры, располагаясь зарубежом, не могли слушать наш траффик в каких-либо существенных масштабах.
Почему безопасник без звука нормального, петлички??
Я вроде себе на телефон, ничего такого не ставил, но точно не уверен. Как проверить, есть ли на телефоне что-нибудь такое? И если эти сертификаты есть, как их удалить? (Android)
Ребята, можно фолоу-ап видео выпустить по сабжу, уже три месяца миновало, и хотелось бы актуализировать полученные знания по SSL, с учетом того, что банки РФ усиленно форсируют тему интеграции. Спасибо!
Истерия на подобии вакцины коронавируса и куар кодов. Забавно на это смотреть.
Я не совсем понял. Я пользуюсь Google Chrome на ПК, значит заходить на сайт Сбера, Госуслуг и т.д. я не могу. Могу ли я установить Яндекс Браузер только для того, чтобы заходить на эти сайты, а основным браузером останется Chrome? Или это тоже небезопасно?
Конечно можете. Вы можете и ключи поставить прямо в Google Chrome, и ставить в свойствах сертификата галку "доверяю" перед заходом на Сбер и "не доверяю" после посещения сайта :)
Доверять зарубежным ssl можно ? А Российскому нет? 🤣
Зависит от того, где человек живет. Очевидно же, что майкрософт или гугл вам дверь не сломают за репост.
К сожалению этим роликом Вы смогли "удивить", всё смешали в кучу - раздолбайство банков, товарища майора и тд тп. Прослушал весь ролик - к сожалению спикер, на мой взгляд, не понимает механизм УЦ и формирование сертификатов. Например вопрос, этот механизм пользуют не только в WWW, а например в бухгалтерии, в электронных ключах подписи, догадайтесь сами - как меняют сертификат УЦ, сколько минут для этого требуется - ведь сертификат УЦ тоже имеет ограниченный срок. Но по многим другим роликам своим стажёрам давал Вас как пример, коротко и понятно. С уважением от Ведущего администратора сетей
То есть антивирус с компьютера и с ноутбука лучше удалить , какой бы он ни был?
С смартфона на андроиде тоже,если он не системный? А как быть с системным встроенным антивирусом на андроиде?
Что лучше- с ними или без них?
Вообще я не понимаю, почему люди в 2к23 до сих пор пользуются сторонними антивирусами, когда уже давно есть встроенный от винды? Лишняя нагрузка на систему и не более, хотя функционал тот же. Ну если прям хочется владеть ещё одним антивирем, то уж лучше его на флешечку установить (портативная версия) и время от времени обновлять его базы. Антивирь для ведроида абсолютно бесполезная хрень, т.к в Гугле не дебилойды работают и сделали кучу защитных механизмов по установке приложений. Если устанавливаешь приложения с гугл плея, то можешь спать спокойно, если нет...то постарайся найти более-менее надёжный ресурс с апк-шками и внимательно следи за тем, какие он требует разрешения, а потом от них отталкивайся.
Если спикер справа хоть с натяжкой и вызывает доверие, то от левого спикера прямо разит полным отсутствием понимания ситуации и технологии. Что я сейчас слушал?
Как я понял, слева - ведущий. Он просто опрашивает специалиста.
переходите на линукс, винда сама по себе дырявая. помимо темы с сертификатом
Спасибо большое! Очень нужная инфа! Очень нужный эфир!!!
При всём уважении к Вове, разговор содержит кучу ошибок и больше вводит в заблуждение, чем разъясняет. Владимир, зная Вашу дотошность, Вы можете самостоятельно изучить данную технологию без особых усилий. Концептуально, она -- эта технология -- достаточно проста.
Ну ладно уж прям кучу... )) Хорошо, буду работать на собой. Разберусь. Ну просто если по науке все объяснять, то это надолго. Я все упрощал
@@TestRuteplitsast лучше не упрощать такие чувствительные темы.
Схем не хватает. На словах тяжко такое понять.
Спасибо
Был ряд технических неточностей, но в целом полезно.
Пример неточности: если браузер говорит, что соединение не защищено потому что сертификат не доверенный - это не значит что используется HTTP соединение. Это значит, что используется сертификат, достоверность которого не подтверждена автоматически браузером. Теоретически пользователь может открыть просмотр сертификата в браузере, сверить фингерпринт и пользоваться сайтом дальше если он знает какой должен быть этот фингерпринт.
А мне кажется, мы и не говорили, что трафик идет по HTTP в таком случае. Мы говорили, что в таком случае есть вероятность атаки MITM
@@TestRuteplitsast 16:10
@@skobkinru да? а вот этого я не знал. За это спасибо, конечно, но я еще уточню этот вопрос.
@@TestRuteplitsast Достаточно на сайте Сбера когда показывает уведомление о незащищенном соединении ткнуть в адресной строке иконку слева и в выпадающем меню можно будет посмотреть тот самый сертификат, который сервер отдал. Он просто не может быть сочтен доверенным, но если его принять согласившись на незащищенное соединение, шифрование с ним будет.
Вопрос уже в том можно ли считать это шифрование надёжным, т.к. без УЦ мало шансов, что пользователь знает конкретный сертификат "в лицо", а ведь на его месте может быть и сертификат, который предоставил тот самый "человек посредине".
Но это само собой актуально только там, где HTTPS. Если по HTTP зайти никакого сертификата не будет.
эхо пипец. одеялом бы накрылся..
Сейчас у Сбера Греческий сертификат
Ну вот что тут не так ? А как же самоподписанный сертификат ?
А если уже установил обновлённое приложение на смартфон, то как избавиться от российского ssl сертификата со смартфона?
Settings > security > other security settings > либо user certificate, либо искать в view security certificate и отрубать ручками.
21:20 можно в андроид виртуалку vmos поставить, если нет второго смартфона или это плохая идея и что-то может из виртуалки получить доступ к хосту?
Виртуальные машины работают на том же железе, что и устройства, на которых они установлены. Vmos и подобные программы не меняют данные hardware (я вообще хз, можно ли их как-то поменять, искал инфу на самых гиковских форумах и ничего толком не нашел. На телефонах точно)
Заходишь с разных профилей, через фаервол или с виртуальной машины - hardware один и тот же. Вопрос - собирают ли данные железа, ибо это довольно большой массив данных, и для их хранения потребовалось бы оооочень много места на серверах, которых у нас, как известно, не так много.
Я бы посоветовал просто старый ненужный телефон или ноутбук использовать чисто для этих целей.
@@arseniitsvetkov2901 спасибо за развернутый ответ 🙏🏻
Как хорошо, что за пределами этой страны все исключительно честные и добрые, никто ни за кем не следит и никому не угрожают. Ассaнжей и Снoудeнов не преследуют и только и делают, что заботятся о простых людях, да?
Нет. Везде есть свои недостатки. Ну просто если вдруг выяснится, что кто-то из уполномоченных УЦ за границей небезопасен, это вызовет волну критики, многомилионные иски, банкротство и посадки. Если в "этой стране" такое выяснится, то посадят того, кто выяснит и про это расскажет. Навальный опять в шизо, кстати
А вам известны случаи государственных удостоверяющих центров, которые являются доверенными в браузерах (Firefox, Chrome, Safari), выпускают сертификаты для прослушки пользовательского трафика, об этом всем известно, но их никто из доверенных не убирает?
Или из того, что США преследует Сноудена следует то, что нужно вставить себе анальный зонд и сделать копию ключей от квартиры участковому?
@@skobkinru О какой волне критики можно говорить, когда даже неудобного президента открыто банят? Кто мешает спецслужбам собирать потихоньку компромат на всех целевых клиентов через специальные дырки и закладки и не афишировать источник? Интернет изначально военная разработка и родоначальники были бы последними глупцами, если бы заранее не предусмотрели скрытые такие удобные инструменты и рычаги воздействия. Да кому вы, робкая мелкотня, нужны с вашими комплексами, а если нужны - весь трафик идёт через провайдеров, которые все под строгим контролем. Ваш Навaльный - вороватый уголовник с дурными манерами и опухшим ЧСВ. Вот Ассанж - серьёзная фигура, он достоен уважения. И что же его цитадель радетелей за "свободу слова" так не возлюбила?
@@TestRuteplitsast Всë правильно, но к Навальному присмотритесь. Это такой же подставной сертификат😁
Везде есть зло и добро. Но есть места, где зло победило.
Т.е. по факту наш траффик и так уже есть у какого-то центра сертификации по факту и дальше это просто ворос доверия? Но центры сертификации у которых мы получаем сертификаты являются не государственными организациями, а частными или это не так?
Трафика у них нет. Они занимаются подписью сертификатов владельцев сайта своим сертификатом, которому доверяет браузер или система.
Точно ли все УЦ частные - не уверен. Но УЦ, который будет выписывать сертификат не владельцу сайта, а злоумышленнику при обнаружении будет моментально выкинут из доверенных как минимум браузерами.
Такая ситуация (когда обнаружили и вышвырнули) уже была с китайским УЦ WoSign. Можно почитать пресс-релиз Mozilla о том, что они перестают доверять этому УЦ и даже компании, которая проводила аудит в УЦ. А на их вики перечислены все случаи нарушений этого УЦ.
@@skobkinru Это каким наивным надо быть, чтобы доверять информации от западных корпораций и Википедии? 😁
@@bbolike Нужно понимать что такое криптография. И тогда вопрос доверия внезапно отпадет.
Но этому в университетах, а не в методичках пропаганды учат.
@@skobkinru если у уц трафика как такового нет, то почему так муссируется тема о недоверии к российскому уц? Ведь насколько я понял, нужно их один раз поймать на продаже сертификата злоумышленнику чтобы было о чём громко заявлять. Или проблема именно в сертификате который усиленно впихивается властями, но какие возможности этот сертификат даёт учитывая его явно выраженное производство в государственных структурах?
К тому же сразу появляется целая куча вопросов в виде: почему сбер не пользуется сертификатами от проверенных уц (или им его по какой-то причине не выдают?), или что происходит с уц если владелец сайта, получивший сертификат начинает творить беспредел (т.е. почему уц должен нести ответственность за его действия или это не так).
Видимо надо почитать подробнее по https, а то как-то всё равно не могу понять эти вещи.
@@skobkinru Вы наверно и абсолютную анонимность криптовалют верите да? Какой послушный либероид! 😄
Ужасный звук с той стороны. Не затруднит ли вас добавить субтитры?
Звук ужасный у гостя, как ты на гостя повлияешь? Заставишь его там всё настроить, так он скажет: не нравится - не звони :)
Нельзя читать трафик с гугла имея российский сертификат. Для этого нужно сертификат подменить посередине, но его подмена будет видна пользователю. Во всяком случае это легко проверяется.
Шпионское ПО с вами категорически не согласно, а сертификаты могут использоваться сторонним ПО например впнами для сниффа всего https трафика, особенно если в системе, такие случаи уже были.
В том и дело, что легко это не проверяется. Браузер не увидит подмену.
Мне одному кажется, что эксперт местами сам не знает как оно работает?
Если мы так боимся, что товарищ майор Василий послушает весь наш трафик, то почему не боимся что нас уже лет 20 слушает капитан Джек из Алабамы и все его друзья из других других штатов?
Запуск браузера Яндекс/Атом от имени пользователя не админа или вообще под гостевой учетной записи - вполне рабочее решение.
Пользоваться старыми телефона для захода в сбер - ещё хуже, чем ставить сертификат. Все андройди до 10 версии взламываются на раз два, причем дистанционно и на полном автомате.
Разница в том, что майр Василий, условно, сидит в соседней квартире, и ты находишься полностью в его юрисдикции и правовом поле, а капитан Джек на другом конце земного шара, в другой стране и даже языка твоего не знает. Теперь задай себе вопрос, кому ты более интересен? тому кто тебя за лайк может, из "соседней квартиры", прийти и посадить, или иностранцу которому до тебя не дотянутся и ты не в его правовом поле, и вообще есть ли ему до тебя хоть какое-то дело?)))))
@@TadParker Эх, хорошо сказал.
@@TadParker Конечно же Джеку из Алабамы нет до нас дела. Зато есть дело до Сноудена, Трампа и миллионов других, о ком мы никогда не узнаем, потому что хорошо работают чистильщики. Там точно так же за лайк можно укатить куда подальше.
А ни кому в голову не приходит мысль, что можно не мудохаться ядренными зарядами, а просто взять и окирпичить все устройства россиян по ведению деда бидона. Сразу все дружно из Ютуба в каменный век попадём.
@@Lastormo ааа, zомби, ну ты хотя бы как-то обозначь свою принадлежность, чтобы понапрасну не метать бисер)
пропишите в ярлыке игнор ошибок сертификатов