Пользователи портала государственных услуг Российской Федерации (gosuslugi.ru) получили уведомление о создании государственного удостоверяющего цента со своим корневым TLS-сертификатом, не включённым в хранилища корневых сертификатов операционных систем и основных браузеров. Cертификаты выдаются на добровольной основе юридическим лицам и нацелены на использование в ситуации отзыва TLS-сертификатов в результате санкций. Например, удостоверяющие центры, находящиеся в юрисдикции США, такие как DigiCert, прекратили предоставление сертификатов для сайтов организаций, входящих в санкционный список.

В настоящее время государственный корневой сертификат интегрирован только в продукты Яндекс.Браузер и Атом. Для обеспечения доверия к сайтам, использующим сертификаты от государственного удостоверяющего центра, в других браузерах, требуется ручное добавление корневого сертификата в системное или браузерное хранилище сертификатов. Среди сайтов, которые уже получили государственные TLS-сертификаты, различные банки (Сбер, VTB, ЦБ) и аффилированные с госструктурами организации и проекты (gosuslugi.ru). При этом на момент написания новости на указанных сайтах продолжается использование традиционных TLS-сертификатов, поддерживаемых во всех браузерах.

В случае начала навязывания нового удостоверяющегося центра или выявления фактов злоупотреблений, таких как совершение MITM-атак, вероятно, что производители браузеров Firefox, Chrome, Edge и Safari предпримут действия по добавлению проблемного корневого сертификата в списки отозванных сертификатов, как это уже было сделано с сертификатом, внедрённым для перехвата HTTPS-трафика в Казахстане.

Источник: http://www.opennet.ru/opennews/art.shtml?num=56830