Установите сертификат mitmproxy на мобильный телефон Xiaomi
[Эта статья взята из сада блогов Тяньвайгуйюнь]
описание проблемы
После подключения к прокси-серверу mitmproxy мобильный телефон Xiaomi не может успешно установить сертификат после доступа к mitm.it через браузер для загрузки сертификата Android.
Оборудование: Redmi Note 2 (мобильный телефон Redmi)
Решение
Нажмите «Настройки» — «WLAN» — «Дополнительные настройки» — «Установить сертификат» (как показано на рисунке, «Загрузить» — это каталог, в котором находится загруженный сертификат, нажмите, чтобы изменить каталог):
Нажмите на сертификат, назовите сертификат (любое имя, здесь mitm) и нажмите OK, чтобы установить:
Источник: russianblogs.com
Сбербанк потерял защиту сайта: объясняем, стоит ли ставить сертификат безопасности
📄 Как установить российские сертификаты Минцифры на любое устройство
С недавнего времени при заходе на сайт Сбербанка большинство пользователей стали видеть предупреждение о его небезопасности. Сам Сбер в качестве решения этой проблемы предлагает установку сертификатов Минцифры. Что это все значит и насколько безопасно пользоваться сайтом Сбербанка с такими сертификатами?
Что случилось с сайтом Сбера
«Подключение не защищено. Не сообщайте этому сайту конфиденциальную информацию. Например, пароли и номера банковских карт. К ней могут получить доступ злоумышленники». Такой формулировкой описывает теперь сайт sberbank.ru самый популярный в интернете браузер Chrome. Но ведь именно чтобы ввести пароль и данные карт, мы на сайта Сбербанка и заходим!
Поэтому предупреждение звучит крайне угрожающе. Так в чем же дело?
Немного краткой теории. Соединения с сайтами бывают двух основных видов: защищенное (начинается на https, см. в адресной строке) и незащищенное (начинается на http). Разница между ними простая: в первом случае данные шифруются, во втором — нет. Чем это грозит на практике?
Допустим, вы в кафе подключились к открытому Wi-Fi. Рядом сидит злоумышленник, который ловит ваш трафик — все то, чем вы обмениваетесь с интернетом (в случае с открытым Wi-Fi с этим справится и школьник). Что он увидит, если соединение зашифровано? Ничего. Максимум — IP-адреса сайтов. Но что вы там передаете и что смотрите, останется для него загадкой.
Причем заглянуть в ваш трафик не сможет даже ваш провайдер. Куда трафик идет — видно, а что там внутри — нет.
Если же соединение не зашифровано, то злоумышленник будет видеть весь ваш трафик с этим сайтом как на ладони. И провайдер тоже.
Конечно, если точка доступа Wi-Fi закрытая (а значит, соединение само по себе закрыто от злоумышленника за соседним столиком) или вы вообще подключены по проводу, вероятность того, что провайдер будет лезть в ваш трафик и искать там пароли, крайне мала. Но гарантии безопасности уже нет. О чем браузер и предупреждает.
КАК ЗАЙТИ НА САЙТ СБЕРА? | Устанавливаем сертификаты Минцифры на Android и Windows
Вот тут и появилась проблема для попавшего под санкции госбанка. Доверенные удостоверяющие центры сплошь иностранные, да еще и из стран, которые российские власти называют недружественными. Отечественный сертификат Минцифры планировали включить в список доверенных, да не успели.
«Иностранные центры отказываются выдавать новые/продлевать старые SSL-сертификаты. Из „неприятности“ это превращается в реальную проблему. Срок действия многих ранее выданных сертификатов начинает истекать, и соединение перестает быть безопасным», — объясняет заместитель директора компании «Цифроматика» Артур Батуллин.
Сертификат Минцифры: спасение или новая опасность
Хотя… Выход, говорят госбанкиры, есть! Достаточно вручную указать устройству, что сертификату Минцифры можно доверять — и защищенное соединение снова заработает. Это называется «установка корневого сертификата», и именно это предлагает Сбер.
Однако если начать устанавливать корневой сертификат по инструкции, можно увидеть еще одно предупреждение безопасности. Это еще что?
Дело в том, что установка корневого сертификата в систему — это очень ответственный шаг, почти как вступление в брак. Вы даете разрешение сертификату подтверждать вообще всё. И это создает теоретическую возможность для расшифровки вашего трафика даже на сайтах, которые используют любые другие сертификаты.
Дмитрий Кузеванов, технический директор компании «Азбука Вкуса»:
— Важно понимать, что владелец корневого сертификата, которому вы доверяете, способен выпустить любой сертификат на имя любого сайта, и ваше устройство будет ему доверять и не выдавать никаких предупреждений.
И вот в этом моменте возможно злоупотребление — выпуск сертификата-двойника без ведома владельца ресурса и дальнейшее его использование в атаке «man-in-the-middle». Атакующий получает доступ для просмотра расшифрованного трафика между пользователем и сайтом, который может содержать: логины или пароли, тексты комментариев, любую другую конфиденциальную информацию.
Атака довольно сложная и, естественно, незаконная: для нее требуется, чтобы сам удостоверяющий центр Минцифры вдруг выдал поддельный сертификат для нужного сайта. Иначе не получится.
Дмитрий Гачко, основатель ГК ITglobal.com:
— Понятно, что можно злоупотребить, выдав сертификат, например, для YouTube, и ваш браузер не будет об этом сигнализировать, но злоупотребить может и любой другой из существующих владельцев корневых сертификатов. Пойдет ли кто-то на такой шаг и по какой причине — вот в чем вопрос.
Трафик с сайтов, которые используют сертификаты от Минцифры, расшифровать проще — надо только получить в этом поддержку самого Минцифры.
Владимир Пузанов, директор бренда BQ:
— Глобально устанавливать любые корневые сертификаты небезопасно, независимо от страны происхождения. При этом национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации). Если пользователь пользуется российскими браузерами, то дополнительно ничего устанавливать нет необходимости.
При этом разработчики «Яндекс.Браузера» уверяют, что допускают использование сертификата Минцифры только на сайтах из специального списка. То есть если «Яндекс.Браузер» увидит, что сертификатом Минцифры подписан, например, Google, то он все равно такой подписи доверять не станет. Можно просто использовать «Яндекс.Браузер» или «Атом» только на сайтах, которые подписаны Минцифрой, если сомневаетесь в этих российских разработках.
А вот перед владельцами iPhone дилеммы вообще не стоит: из-за ограничений системы у них браузеры могут доверять только корневым сертификатам из самой iOS. Так что вариант с российским браузером тут не поможет. Либо устанавливать корневой сертификат для Сбера в систему и учитывать все риски, либо пользоваться небезопасным соединением с онлайн-банком (и тоже учитывать все риски).
Источник: fintolk.pro
Как установить российские сертификаты Минцифры на любое устройство
Сегодня Сбер перевел сайт sberbank.ru на сертификаты Минцифры, а в ближайшее время на них перейдут веб-версии Сбербанк Онлайн и СберБизнес.
Чтобы сайты Сбера продолжали работать без проблем и открываться в браузере, необходимо вручную установить сертификаты Минцифры.
Для этого необходимо перейти на сайт Госуслуг, на котором можно скачать сертификаты для iOS, macOS, Windows и Android. Сейчас расскажем, как установить сертификаты на iOS и macOS.
Как установить сертификаты Минцифры на iOS
1. Перейдите на сайт Госуслуг и в разделе iOS скачайте профиль для установки на iOS, а затем нажмите кнопку Разрешить
2. Откройте Настройки → Профиль загружен → Установить
3. Введите пароль от айфона и еще раз нажмите Установить
4. Перейдите в Настройки → Основные → Об этом устройстве → Доверие сертификатам
5. Активируйте тумблер возле Russian Trusted Root CA
Как установить сертификаты Минцифры на macOS
1. Перейдите на сайт Госуслуг и в разделе macOS скачайте сертификаты для установки на macOS
2. Перейдите в Загрузки и откройте скачанный файл russiantrustedca.pem
3. Откроется Связка ключей и в разделе Сертификаты будет два сертификата: Russian Trusted Root CA и Russian Trusted Sub CA
4. Дважды нажмите на Russian Trusted Root CA → раскройте в появившемся окне раздел Доверие
5. В пункте Параметры использования сертификата выберите Всегда доверять
6. Закройте окно → введите пароль от учетной записи Mac и нажмите кнопку Обновить настройки
7. Повторите пункты 4, 5, 6 для Russian Trusted Sub CA
(43 голосов, общий рейтинг: 4.44 из 5)
Хочешь больше? Подпишись на наш Telegram.
Все очень просто.
Илья Сидоров
Редактор новостей и автор статей на iPhones.ru.
Сбер перевёл официальный сайт банка на российский сертификат от Минцифры
Приложение ВКонтакте стало недоступно в App Store
Илон Маск и генеральный директор Spotify раскритиковали правила App Store
10 минималистичных обоев для iPhone
watchOS 10 получит новый дизайн с акцентом на виджетах
Он существует! В городах появился электрокар Hyundai, который ходит крабиком и делает танковый разворот
Появились рендеры редизайна приложений Wallet и Здоровье из iOS 17
Как спрятать конфиденциальные фото и видео на iPhone. Без сторонних приложений и быстрых команд
Как защититься от нового способа кражи Apple ID. Решение простое, но эффективное
В 2022 году в России утекло 667 млн записей с персональными данными. Это в 2,7 раза больше, чем годом ранее
Комментарии 21
Beletand 26 сентября 2022
Поправка для iOS
4. Перейдите в Настройки → Основные → (Об этом устройстве) → Доверие сертификатам
Духаст Вячеславович 26 сентября 2022
blackhk 26 сентября 2022
Ползунок “не доверяю” – есть?
id271093362 26 сентября 2022
Dmitry 26 сентября 2022
И делаем это на том телефоне, который не используем. Или на виртуальной машине.
yxc7rq75cx 26 сентября 2022
шикарный способ читать потом весь трафик в рунете, даже HTTPS:
ставите промежуточный прокси, который выписывает сертификат на любой нужный вам домен и подписанный Russian root CA. Поскольку пользователи добавили себе Russian Root CA в trusted список, они не заметят даже чем там подписан сайт, все будет выглядеть “кошерно”. А вы спокойно себе решифруеете весь трафик и читаете его на proxy.
Обычная man-in-the-middle атака.
Ivan Kraft 26 сентября 2022
Евгений 26 сентября 2022
Евгений 26 сентября 2022
Ребята, без шуток. В Яндекс.Браузере (который прямо рекомендуют Госуслуги) зайдите на sberbank.ru Спойлер:
Невозможно установить безопасное соединение «Злоумышленники могут пытаться похитить ваши данные с сайта sberbank.ru (например, пароли, сообщения или номера банковских карт)»
Visio 26 сентября 2022
vladislavikii 26 сентября 2022
Как только установите этот сертификат, ваши данные и вся история трафика уже не будет считаться зашифрованной….
Visio 26 сентября 2022
Смысл сертификата в том чтобы обеспечивать защищённый канал связи между пользователем и сервером. Корневой сертификат необходим для того чтобы браузеры и другое ПО не выдавало ошибки при попытках связи с серверами использующими сертификаты выпущенные удостоверяющими центрами (УЦ). УЦ, в свою очередь проходят определенную сертификацию для того чтобы обеспечить это доверие. Число таких корневых сертификатов в ОС Windows, MacOS, IOS, Android ограничено и то что там за все эти годы не появилось российского корневого УЦ должно только настораживать.
Visio 26 сентября 2022
Добавив корневой сертификат в доверенные, сделает доверенными не только сертификат Сбербанка, но и может быть выпущен сертификат с помощью которого можно перехватывать трафик к HTTPS сайтам, например, органами правоохраны. Власти Казахстана пытались навязать госсертификат в декабре 2020 года (легко гуглится), но всё это провалилось в итоге. А здесь даже принуждения нет, вернее оно через принуждение сервисом: хочешь Сбербанк – ставь сертификат. Поэтому, если всё таки, жизнь так распорядилась что доступ к сайту Сбербанка необходим или на другие сайты его распространят я рекомендую:
– либо устанавливать сертификат на отдельное, редко используемое устройство;
– либо устанавливать его на виртуальную операционную систему; используемую редко и не устанавливать его на основное устройство(-а)
– либо перестать использовать Сбербанк и любой иной сервис который такие сертификаты будет навязывать
Yurius 27 сентября 2022
Источник: www.iphones.ru