@Dmitry А, тот самый, который от Минцифры, наверное 😀
Ну, с ним я бы был аккуратнее. Просто сертификат для какого-то ресурса не несёт особых рисков, а вот корневой (т.е. от центра сертификации) теоретически может использоваться для перехвата и подмены обращений куда угодно. Пока о таком слышно не было, но я себе не ставлю, пока удаётся обходиться 😀
Да, он самый. Ты не пользуешься мобильным банкингом? В частности СБП... Мне крайне важен доступ к СБП. У меня один поток платежей очень важный идет по СБП. Подумываю перейти на наличку, но т.к. там постоянно разные суммы, это доставит серьезные неудобства.
Кстати, он вшит в Яндекс.Браузер и ресурсы с ним открываются и без установки серта в системе. Но это тоже так себе решение, так как ЯБ и другие программы Яндекса уже попадались на шпионаже 😀
Да, я криптопараноик - но для таких вещей надо иметь либо отдельный простенький смартфон, либо отдельную виртуалку на компе (или вообще отдельный старенький ноут).
Не теоретически, это самый настоящий вектор атаки. РКН в своих ТСПУ может легко митмить TLS-трафик, генерируя валидный сертификат через рут-серт минцырка и шифруя им все данные.
Другой вопрос, что на андроиде вот (но не на десктопе!) далеко не каждое приложение принимает пользовательские root CA. (Что затрудняет отладку и реверс-инжиниринг, к слову.)
А мобильные аппы банков вообще-то должны бандлить этот корневой сертификат у себя и форсировать подключение к серверам только по нему. А не просить его устанавливать в систему. Ни в коем случае
Разумеется я ребутнулся. Он ругается на АЦ сертификат, а это другой раздел. Там есть сертификат ACCVRAIZ1 он вызывает подозрение т.к. не имеет нормальной подписи о своем происхождении.
UPD: я понял каждый пользовательский сертификат содержит ключ, сертификат ЦС и сертификат пользователя. Всетаки раздел правильный. Но там помимо сертификата от минцифры есть еще что-то лишнее. Вопрос: что именно?
Я думал, раз там есть серты от самсунга и кейсторов, то вот это предупреждение не должно на них показываться…
Если они настоящие, кстати! А не вирус какой-нибудь (но это надо было бы вручную нажать подтверждение). Вообще странное решение, с чего бы им быть в пользовательских. Но может я чего не знаю
Какая то мадам в ответах меил.ру пишет, что смартфон стал ругаться на сертификат после установки банковских приложений. Решила вопрос так: просто удалила все пользовательские сертификаты. Больше не ругается, приложения работают. Я хз насколько это правильно, опасаюсь что если снесу все сертификаты и перестанет работать что-то важное, то за эти может последовать серьезный головняк с тем чтобы найти поставить нужный сертификат.
🤷♂️ХЗ я помимо минцифры грохнул еще Chaser Key Store, на всякий - он вообще хз что это такое. Пока не заметил проблем. Остальные сносить как-то стремно. Особенно есим.
@Dmitry да вот сегодня, когда посмотрел и вспомнил, что раньше там ничего не было такого.
Думаю, что в случае чего снова пропишутся. Например, один прописался при нажатии на "добавить eSIM" (у меня её нет, но при самой попытке добавить он появляется).
Шуро
в ответ на Dmitry • • •Dmitry
в ответ на Шуро • • •Помню, что ситуация безвыходная была.
Шуро
в ответ на Dmitry • • •нравится это
Dmitry и Wandering Thinker нравится это.
Dmitry
в ответ на Шуро • • •Шуро
в ответ на Dmitry • • •@Dmitry А, тот самый, который от Минцифры, наверное 😀
Ну, с ним я бы был аккуратнее. Просто сертификат для какого-то ресурса не несёт особых рисков, а вот корневой (т.е. от центра сертификации) теоретически может использоваться для перехвата и подмены обращений куда угодно. Пока о таком слышно не было, но я себе не ставлю, пока удаётся обходиться 😀
Wandering Thinker (Sharkey) нравится это.
41402-nyan
в ответ на Шуро • • •Dmitry нравится это.
Dmitry
в ответ на Шуро • • •Мне крайне важен доступ к СБП. У меня один поток платежей очень важный идет по СБП. Подумываю перейти на наличку, но т.к. там постоянно разные суммы, это доставит серьезные неудобства.
Шуро
в ответ на Dmitry • • •@Dmitry бывает, но пока и без сертификата всё работало, даже если говорили, что не будет 😀
В приложениях он обычно и так вшит, а веб у моих банков пока на стандартных, либо с файловером (пробуют гос, если нет, то переключаются на привычный.
Шуро
в ответ на Dmitry • • •@Dmitry кстати, не сталкивался с проблемами ещё?
Там усиленно пугают ужесточением финконтроля, меня пока проносило.
Dmitry
в ответ на Шуро • • •Но прошу помощи как у знатока:
Какие из этих сертификатов лучше грохнуть.
Шуро
в ответ на Dmitry • • •Dmitry
в ответ на Шуро • • •Шуро
в ответ на Dmitry • • •@Dmitry да, этот самый.
Кстати, он вшит в Яндекс.Браузер и ресурсы с ним открываются и без установки серта в системе. Но это тоже так себе решение, так как ЯБ и другие программы Яндекса уже попадались на шпионаже 😀
нравится это
Dmitry и Wandering Thinker нравится это.
Dmitry
в ответ на Шуро • • •Dmitry
в ответ на Шуро • • •Wandering Thinker
в ответ на Шуро • • •Andrey DarkCat09
в ответ на Шуро • • •Не теоретически, это самый настоящий вектор атаки. РКН в своих ТСПУ может легко митмить TLS-трафик, генерируя валидный сертификат через рут-серт минцырка и шифруя им все данные.
Другой вопрос, что на андроиде вот (но не на десктопе!) далеко не каждое приложение принимает пользовательские root CA. (Что затрудняет отладку и реверс-инжиниринг, к слову.)
А мобильные аппы банков вообще-то должны бандлить этот корневой сертификат у себя и форсировать подключение к серверам только по нему. А не просить его устанавливать в систему. Ни в коем случае
Шуро
в ответ на Andrey DarkCat09 • • •@Andrey DarkCat09 да, так и есть. Под "теоретически" я имел в виду лишь то, что пока на этом громко не попадались.
@Dmitry
Andrey DarkCat09
в ответ на Dmitry • • •Dmitry
в ответ на Andrey DarkCat09 • • •Andrey DarkCat09
в ответ на Dmitry • • •Dmitry
в ответ на Andrey DarkCat09 • • •Andrey DarkCat09
в ответ на Dmitry • • •Andrey DarkCat09
в ответ на Andrey DarkCat09 • • •Чё-т странные они
Dmitry
в ответ на Andrey DarkCat09 • • •Шуро
в ответ на Dmitry • • •@Dmitry вероятно, надо ребутнуться 😀
@Andrey DarkCat09
Dmitry
в ответ на Шуро • • •Разумеется я ребутнулся.
Он ругается на АЦ сертификат, а это другой раздел.
Там есть сертификат ACCVRAIZ1 он вызывает подозрение т.к. не имеет нормальной подписи о своем происхождении.
UPD:
я понял каждый пользовательский сертификат содержит ключ, сертификат ЦС и сертификат пользователя.
Всетаки раздел правильный. Но там помимо сертификата от минцифры есть еще что-то лишнее. Вопрос: что именно?
Dmitry
в ответ на Andrey DarkCat09 • • •Andrey DarkCat09
в ответ на Dmitry • • •По крайней мере андроид так делает, да.
Я думал, раз там есть серты от самсунга и кейсторов, то вот это предупреждение не должно на них показываться…
Если они настоящие, кстати! А не вирус какой-нибудь (но это надо было бы вручную нажать подтверждение).
Вообще странное решение, с чего бы им быть в пользовательских.
Но может я чего не знаю
Dmitry
в ответ на Andrey DarkCat09 • • •Шуро
в ответ на Dmitry • • •@Dmitry у меня не ругался, пока дополнительные не добавлял (а добавлял я иногда корпоративный).
Но сейчас уже не подскажу, так как снёс вообще всё из пользовательского 😀 До того список был как у тебя, кроме того отечественного.
@Andrey DarkCat09
Dmitry
в ответ на Шуро • • •Остальные сносить как-то стремно. Особенно есим.
Шуро
в ответ на Шуро • • •@Dmitry вот на мне и проверим 😀
По идее, действительно важные вещи одной кнопкой удаляться не должны.
@Andrey DarkCat09
Dmitry нравится это.
Dmitry
в ответ на Шуро • • •Шуро
в ответ на Dmitry • • •@Dmitry да вот сегодня, когда посмотрел и вспомнил, что раньше там ничего не было такого.
Думаю, что в случае чего снова пропишутся. Например, один прописался при нажатии на "добавить eSIM" (у меня её нет, но при самой попытке добавить он появляется).
@Andrey DarkCat09