Страшилки про сертификаты

Скинули мне тут пост с громким разоблачением: мол, Яндекс Браузер втихую пихает корневой сертификат Минцифры (Russian Trusted Root CA) прямо в системное хранилище Windows. И вывод там такой, что теперь любой провайдер расшифрует ваш HTTPS, перехватит пароли и куки, а вы даже предупреждения не увидите. Сначала я просто подорвался в комментариях нашего чатика, а потом уже решил расписать все это дело в посте.

Если в двух словах, то оно так не работает. Ключевая ошибка автора – он смешал в одну кучу две разные вещи: системный trust store винды и изолированное хранилище доверия внутри браузера. Это не одно и то же, и вся «сенсация» рассыпается ровно на этом месте.

А теперь на архитекторском и не в двух словах:

1. Браузер не лезет в системное хранилище ОС. Яндекс Браузер не вносит изменения в системный список доверенных корневых сертификатов Windows и не трогает PKI-модель операционки. Национальные сертификаты живут как отдельный, изолированный trust domain внутри самого браузера. На другие приложения, на системные криптоконтексты, на ваш условный Chrome или почтовый клиент это не влияет вообще никак. Та самая инструкция из поста с certmgr.msc проверяет именно системное хранилище – где браузер ничего не прописывает.

2. Контуры доверия разделены. Системный (ОС) и браузерный (нацсертификаты) – это два отдельных домена. Транзитивного расширения доверия нет: поддержка нацсертификатов в браузере не переопределяет и не расширяет общесистемную криптополитику. Никакого «теперь винда доверяет всему подряд» не происходит.

3. Сверху еще Certificate Transparency. Сертификат считается валидным, только если он лежит в публичном CT-логе и соответствует домену. То есть выпуск – это не «закрытый контур, где CA молча штампует что хочет», а наблюдаемая система событий: факт выпуска и область применения можно проверить публично. Тихо сгенерить поддельный серт «на любой внешний ресурс» и остаться незамеченным – так не работает.

4. Поэтому MitM, который рисует автор, технически исключен. Нет возможности незаметно встроиться в цепочку доверия TLS. Данные шифруются стандартным TLS и остаются зашифрованными на всём пути между браузером и сервером – расшифровать или подменить их вне конечных точек нельзя.

Что по итогу. Сама поддержка национальных сертификатов – это реальная функция. Но вот вывод «значит, вас прослушивают через системное хранилище» – это либо непонимание архитектуры, либо сознательная манипуляция на громком слове «Минцифры».

Цели кого-то защитить в этой истории у меня нет, если что. Более того, эта тема с отзывом сертификатов GlobalSign и Let's Encrypt у меня и самого сейчас болит, она у всего рынка болит, так как до сих пор нет идеального плана по переезду с них, кроме как закупиться всеми сертами нашей планеты и выпустить параллельно серты через Госуслуги.

А вообще, лучше гляньте, как нагло ведет себя Хром, на котором сидят все.

И да, всегда проверяйте то, что вам пишут в интернетах. В том числе на матчасть. Всем мир.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT


В этом посте были ссылки, но мы их удалили по правилам Сетки