Приветствую всех.
Некоторые сайты в России переходят на сертификаты, пописанные CA Минцифры.
До установки этих ca сертификатов в систему (Дебиан 11) (копирование в /usr/local/share/ca-certificates/ и выполнения update-ca-certificates) клиент (в данном случае wget) при попытку доступа к https://www.sberbank.ru, как и должно, выдавал ошибку при проверке подписи сертификата
После установки сертификатов в систему при попытке доступа к www.sberbank.ru клиент ошибку не выдал, ssl соединение было установлено, но сервер в рамках этого соединения выдал html страницу о том, что корневой сертификат минцифры не установлен.
При пользовательской установке этих сертификатов в браузер все работает.
Вопросов два.
1. Кроме сбербанка, какие есть сайты для тестирования?
2. Может, я неправильно установил сертификаты, хотя для других сертификатов, правда уже давно, подобная установка работала.
Спасибо, если кто откликнется.
> Вопросов два.
> 1. Кроме сбербанка, какие есть сайты для тестирования?Только оно.
> 2. Может, я неправильно установил сертификаты, хотя для других сертификатов, правда уже
> давно, подобная установка работала.Сертификат как молварь (посмотри что делает ябраузер при установке). Держать за тремя виртуалками.
> Сертификат как молварь (посмотри что делает ябраузер при установке). Держать за тремя
> виртуалками.Добавляет в базу данных в домашнем каталоге. Может еще что, но я не заметил.
>> Сертификат как молварь (посмотри что делает ябраузер при установке). Держать за тремя
>> виртуалками.
> Добавляет в базу данных в домашнем каталоге. Может еще что, но я
> не заметил.Х там плавал. Эта молварь заменяет etc/са-сертификаты и ещё кое куда влезает.
А куда она лезет? А то в /etc/ca-certificates ничего не заменила.
>[оверквотинг удален]
> После установки сертификатов в систему при попытке доступа к www.sberbank.ru клиент ошибку
> не выдал, ssl соединение было установлено, но сервер в рамках этого
> соединения выдал html страницу о том, что корневой сертификат минцифры не
> установлен.
> При пользовательской установке этих сертификатов в браузер все работает.
> Вопросов два.
> 1. Кроме сбербанка, какие есть сайты для тестирования?
> 2. Может, я неправильно установил сертификаты, хотя для других сертификатов, правда уже
> давно, подобная установка работала.
> Спасибо, если кто откликнется.сертификаты случаем не ГОСТовские?
> сертификаты случаем не ГОСТовские?Нет, обычные.
> Некоторые сайты в России переходят на сертификаты, пописанные CA Минцифры.
> До установки этих ca сертификатов в систему (Дебиан 11) (копирование в /usr/local/share/ca-certificates/
> и выполнения update-ca-certificates) клиент (в данном случае wget) при попытку доступа
> к https://www.sberbank.ru, как и должно, выдавал ошибку при проверке подписи
> сертификата
> После установки сертификатов в систему при попытке доступа к www.sberbank.ru клиент ошибку
> не выдал, ssl соединение было установлено, но сервер в рамках этого
> соединения выдал html страницу о том, что корневой сертификат минцифры не
> установлен.
> При пользовательской установке этих сертификатов в браузер все работает.Спасибо за отклики.
Причину, вроде, нашел.
Если в системных клиентах, как wget, openssl-s_client указать url, который рельно открывается в браузере https://www.sberbank.ru/ru/person, то результат такой же, как в браузере.
С другой стороны, если в браузере указать конретный файл https://www.sberbank.ru/index.php, то результат, как в консольных клиентах.
Остается вопрос, может кто сталкивался:
Как попросить chromium и/или firefox использовать в том числе и системные сертификаты?
>[оверквотинг удален]
>> установлен.
>> При пользовательской установке этих сертификатов в браузер все работает.
> Спасибо за отклики.
> Причину, вроде, нашел.
> Если в системных клиентах, как wget, openssl-s_client указать url, который рельно открывается
> в браузере https://www.sberbank.ru/ru/person, то результат такой же, как в браузере.
> С другой стороны, если в браузере указать конретный файл https://www.sberbank.ru/index.php,
> то результат, как в консольных клиентах.
> Остается вопрос, может кто сталкивался:
> Как попросить chromium и/или firefox использовать в том числе и системные сертификаты?Если можешь - запили отдельный бровзир с подментованными сертификатами, иначе школьников из твоей школы очень скоро начнут либо вызывать в отдел полиции, либо сажать.
> Если можешь - запили отдельный бровзир с подментованными сертификатами, иначе школьников
> из твоей школы очень скоро начнут либо вызывать в отдел полиции,
> либо сажать.Такие бровзеры есть, тот же яндекс.
Вопрос был конкретно о системных сертификатах.
>[оверквотинг удален]
> После установки сертификатов в систему при попытке доступа к www.sberbank.ru клиент ошибку
> не выдал, ssl соединение было установлено, но сервер в рамках этого
> соединения выдал html страницу о том, что корневой сертификат минцифры не
> установлен.
> При пользовательской установке этих сертификатов в браузер все работает.
> Вопросов два.
> 1. Кроме сбербанка, какие есть сайты для тестирования?
> 2. Может, я неправильно установил сертификаты, хотя для других сертификатов, правда уже
> давно, подобная установка работала.
> Спасибо, если кто откликнется.Нужно 4 сертификата, мицифры, минкомсвзи, russian trust ca и russian trust sub
www.gosuslugi.ru/crthttps://www.sberbank.com/ru/certificates
- тест на сертификатыу wget опция где указывается папка с росс. сертификатами, см. man wget
Сертификат Russian Trusted Sub CA внутри Chromium-gost и Яндекс Браузер.