Rosja uruchamia „narodowe” CA (certificate authority).

Całość zapewne w odpowiedzi na sankcje. Nie będzie można można przedłużyć / zakupić nowego certyfikatu na Zachodzie? Nie ma problemu, pomoże rosyjskie certificate authority. Niektórzy zauważyli od razu ten certyfikat root CA:

Czujne osoby zapewne powiedzą: eeee, taki certyfikat można wygenerować w każdym sklepie z certyfikatami root CA, co z jego dostępnością w przeglądarkach?

Odpowiedzi można się spodziewać: na razie jest tylko w pewnych rosyjskich przeglądarkach (np. Yandex browser) i tak pewnie zostanie…:

Currently, the only web browsers that recognize Russia’s new CA as trustworthy are the Russia-based Yandex browser and Atom products, so Russian users are told to use these instead of Chrome, Firefox, Edge, etc.

To znaczy można oczywiście dograć narodowy rosyjski certyfikat root CA do dowolnej przeglądarki, nie wydaje się to jednak zbyt rozsądnym pomysłem ;-) Można takim root-certyfikatem podpisać certyfikat dla dowolnej domeny, a później próbować podsłuchiwać ruch użytkowników bez żadnych alertów w przeglądarce.

Swoją drogą, kiedyś Chińczycy eksperymentowali ze swoim root CA – skończyło się wyrzuceniem tego ostatniego z popularnych przeglądarek. Z „narodowym root CA” eksperymentowali też w Kazachstanie: Deszyfrują ruch HTTPS na poziomie całego kraju! Narodowy certyfikat root CA w akcji.

~Michał Sajdak