Проблема устаревших корневых сертификатов. На очереди Let’s Encrypt и умные телевизоры / Хабр

— а вы «госуслуги» взломали или врач?

— Ну тут знаешь… Все всегда можно сделать. Должна понимать,уже взрослая, — туманно ответил собеседник.

Далее в душевной переписке продавец все-таки поделился секретом:

— Вы делаете оплату за сертификат и QR,я процент отдаю врачу,который заносит данные в Госуслуги. Нам он дает уже готовые сертификаты,только их нужно заполнить от руки. Все печати и подписи есть,все официально.

От неиспользуемой вакцины сообщник просто избавляется.

Есть у этого дилера и другие интересные услуги. К примеру,продавец предлагает пойти от обратного и подделать справку о том,что вы больны коронавирусом,чтобы уйти на карантин с нелюбимой работы,или использовать ее как уважительную причину для неявки в госструктуры.

Самый дорогой сертификат о вакцинации,который мне удалось найти,стоит 20 тыс. рублей. «Но придется ждать 25 дней. Полностью проходит по всем базам», — пишет продавец.

— оплата сразу или наложенным платежом?

— Можно по частям: до и после фотоотчета, — не оценил юмора собеседник.

В другом Telegram-канале(5,3 тыс. подписчиков) обещают сертификат за 5,8 тыс. рублей. Также обещается занесение в реестр «Госуслуг» и доставка в день заказа. О преимуществах магазинчика пишут скромно: лучшая цена на рынке и надежность.

Помимо сертификата предлагается приобрести отрицательный ПЦР-тест с внесением в базу клиники за 1,4 тыс. рублей,а также справку об отсутствии контактов с «заболеваемыми» всего за 800 рублей. Возможно,справка об отсутствии контактов с инфекционными больными стоит дороже.

Что интересно,тут продают буквально любые медицинские документы: от справки о реакции Манту для ребенка(за 500 рублей) до выписки из истории болезни(за 1,1 тыс. рублей).

Еще один продавец отдает сертификат за 3,8 тыс. рублей. Однако это «не для всех городов». Список поселений-счастливчиков почему-то не опубликован.

В другом канале продают даже свидетельства о браке и все-все,как утверждает запись,медицинские справки. Гарантия — продавцы делают фото или видео готовых документов под ультрафиолетовой лампой,где демонстрируют изящно подделанные водяные знаки.

У очередного продавца нестандартное предложение — он дает скидку оптовикам. В розницу сертификат у него стоит 6,2 тыс. рублей. Есть вариант подешевле — 4,2 тыс., но это без внесения в «Госуслуги». Помимо личных данных требуется номер телефона для связи со службой доставки. «Ставят» они «новейшие серии вакцины».

Самое бюджетное предложение,что мне встретилось, — сертификат за 2 тыс. рублей. Но поражает не цена,а другой товар — медицинская книжка за 1,5 тыс. рублей с «50-% вероятностью устроиться на работу».

В ресторан не желаете?

Мое внимание также привлекла продажа QR кодов,которые нужны для походов в кафе и рестораны в Москве — то есть,могут пригодиться любому барнаульцу в отпуске.

В одном чате предлагается QR без внесения в Госуслуги. Требуется ФИО,дата рождения с серией и номером паспорта и еще срочно перевести деньги продавцу — всего 2 тыс. рублей.

Варианты для богатеньких

Нашла сертификат за 11 тыс. рублей. Указала продавцу на дороговизну,на что он пообещал сделать скидку и отдать справку за 8,5 тыс. рублей,если я найду дешевле.

— Ну хотя бы вот, — скидываю ссылку. — Или мошенники?

— У кого подписчики — те фейки. Все накрутили, — учит меня собеседник. — У меня вот нет подписчиков,но большая клиентская база.

Скидку он мне все равно сделал в качестве исключения. Сертификат обещает подготовить на следующий же день. Делает по 50%-ной предоплате. Остальные деньги просит отдать курьеру при доставке. Выглядело бы безопасно,не стоила бы справка 11 тыс. рублей.

Мне стало интересно,как работает механизм «попадания» в реестр привитых:

Верификация домена

Перед получением сертификата нам нужно подтвердить право владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation

Вводим домен

Выбираем email, на который будет отослано письмо для подтверждения (postmaster, hostmaster, webmaster либо email из whois)

Получаем письмо и вводим код из него в поле. Все — домен подтвержден, можно приступать к генерации сертификата. В течении 30 дней мы можем генерировать сертификат. Далее нужно будет повторить процедуру верификации.

Генерация сертификата

Идем в раздел Certificates Wizard и там выбираем Web Server SSL/TSL Certificate

Далее у нас 2 варианта — либо нажать на Skip и ввести запрос на генерацию сертификата, либо генерировать все в мастере. Допустим, запроса сертификата у нас нет, поэтому будем генерировать все в данном мастере.

Вводим пароль для ключа (мин. 10 символов — макс. 32) и размер ключа (20484096).

Получаем и сохраняем ключ.

Выбираем домен, для которого будем генерировать сертификат (домен должен быть уже подтвержден).

Нам дают право на включение в сертификат один поддомен — пусть будет стандартный www

Получили немного информации о сертификате, жмем на Continue.

Теперь ждем подтверждения сотрудником StartSSL сертификата. Обещают в течении 3-х часов, однако на практике все происходит намного быстрее, мне пришлось ждать 10 минут. Ранее заказывал ночью — примерно за такое же время подтверждали запрос.

Кому выдадут сертификат на год

Люди, которые переболели коронавирусом после 1 января 2021 года, получили положительный результат ПЦР-теста, но не обращались к врачу, смогут оформить сертификат переболевшего сроком на один год. Для этого им придется предъявить старый положительный результат ПЦР-теста и сдать анализ на антитела.

Положительный результат ПЦР-теста будут сверять с официальной базой. А в результате анализа на антитела будут отмечать только их наличие.

Кому выдадут сертификат на полгода

Сертификат на полгода получат граждане, которые переболели коронавирусом, но не сдавали ПЦР-тест, не обращались к врачу или получили отрицательный результат анализа на COVID-19. А еще все, кто вакцинировался зарубежными препаратами, не одобренными в России.

Могут пострадать честные люди

В даркнете и Telegram-каналах появились личные данные полумиллиона москвичей, которые купили поддельные сертификаты о вакцинации и ПЦР. Об этом рассказал «Коммерсант». Информацию о СНИЛС, номере телефона, месте жительства и фальшивом документе о прививках каждой тысячи человек продавцы оценили в 120 долларов, то есть не многим больше 8600 рублей.

При этом все данные о себе люди предоставили добровольно при покупке фейковых справок. Теперь мошенники могут использовать страх ответственности за покупку подделки как рычаг для шантажа. Возможно, аферисты начнут звонить и честным россиянам, говоря, что на их имя купили поддельный QR-код и предлагая решить проблему.

При этом оперштаб по борьбе с пандемией сообщил о разработке законопроекта по введению QR-кодов для транспорта, общепита и магазинов. Директор Центра имени Н. Ф. Гамалеи Александр Гинцбург отметил, что это не только поможет подавить циркуляцию «дельта»-штамма коронавируса, но и позволит не допустить распространения новых.

Наказание за подделки

Российские суды уже рассматривали дела о поддельных сертификатах и ПЦР-тестах. Этим летом суд Москвы рассмотрел дело о продаже сертификатов о вакцинации против коронавируса и справок о временной нетрудоспособности. Обвиняемый распечатывал поддельные бланки, сам заполнял их и ставил штампы и печати.

В октябре подмосковная полиция арестовала восемь человек, которые вносили фиктивные сведения о вакцинации граждан в системы государственного учета. Обвиняемые также подозреваются в подделке прививочных сертификатов и получении взятки в крупном размере. Подделку купили не менее тысячи человек.

Ростовчанка может на полгода попасть в тюрьму из-за поддельного ПЦР-теста на ковид. Она предъявила ненастоящую справку при регистрации на рейс в ростовском аэропорту «Платов». Однако проверка показала, что сертификат отсутствует в базе.

Недавно в Госдуме выступили с инициативой не наказывать покупателей поддельных QR-кодов и сертификатов о вакцинации. При этом первый заместитель председателя комитета Госдумы по охране здоровья Федот Тумусов предложил оставить уголовную ответственность для продавцов липы.

Министр здравоохранения России Михаил Мурашко предложил также привлекать к уголовной ответственности врачей, которые отговаривают своих пациентов от вакцинации от коронавируса и являются ее противниками. Мурашко призвал всех коллег занимать более жесткую позицию по отношению к медикам-антипрививочникам.

Несколько фактов о startssl

• 25 мая 2021 StartSSL был подвергнут атаке сетевых взломщиков (в простонародии хакеров), однако получить фиктивные сертификаты им не удалось. Закрытый ключ, лежащий в основе всех операций, хранится на отдельном компьютере, не подключенном к интернету.
• StartSSL поставляет помимо SSL сертификатов для Web, сертификаты для шифрования почты (S/MIME), для шифрования серверов XMPP (Jabber), сертификаты для подписи ПО Object code signing certificates).
• StartSSL проверяет верность установки сертификатов. После установки сертификата (через некоторое время) я получил уведомление о отсутствии промежуточного сертификата, и ссылка на информацию по установки.
  После установки промежуточного сертификата пришло соответствующее письмо.
• StartSSL поддерживается множеством ПО: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, Mozilla Software, Netscape, Opera, Safari, SeaMonkey, Iphone, Windows
• Дружелюбная поддержка на русском языке
• Сравнительная таблица вариантов верификации
• За 59.90$ вы можете создать ∞ количество WildCard сертификатов сроком на 3 года (350 дней, в течении которых вы можете перевыпускать сертификат 2 года, на которые можно выдать сертификат).
• Отзыв сертификата платный — 24,90$. 2-й класс верификации позволяет пересоздать сертификат (насколько я понял, всего один раз). Extended Validation сертификаты освобождены от этого сбора.

Обновление сертификатов windows 7

Для обновления сертификатов мы подготовили программу, которая в автоматическом режиме установит новые ROOT сертификаты в Windows 7 и перезагрузит компьютер.

Программа распространяется бесплатно.

Ответственность перед законом

Адвокат правого центра «Человек и закон» Ильдар Фазлеев заявил, что в отношении граждан, которые используют поддельные сертификаты о вакцинации, может быть возбуждено уголовное дело по статье о подделке документов. В разговоре с «360» адвокат отметил, что покупателям грозит штраф до 80 тысяч рублей.

«Деятельность тех лиц, которые распространяет фальсифицированные сертификаты о вакцинации, также подпадает под статью 327 Уголовного кодекса РФ, в которой предусматривается наказание до двух лет лишения свободы», — сказал Фазлеев.

Даже если в списках, которыми торгуют в даркнете, есть личные данные реальных людей, это еще не значит, что они действительно покупали фальшивые сертификаты о вакцинации. Учитывая, что нет ни единого скриншота из «слитой» базы данных, там вполне могут оказаться имена и фамилии несуществующих людей — ведь продавцы-то мошенники.

Но базу можно использовать как отправную точку для проверки сертификатов. Периодически правоохранители занимаются этим. Например, в середине октября нашли производителей поддельных сертификатов в Электростали. Тогда Росздравнадзор заявил, что начал идентифицировать тех, кто купил у них документы — примерно тысячу человек.

Получение сертификата

Нам осталось только получить сертификат и установить его на сервере. Идем в Tool Box -> Retrieve Certificate, выбираем домен и копируем сертификат.

Про установку не буду писать, информация есть на хабре и на StartSSL.

Проблема устаревших корневых сертификатов. на очереди let’s encrypt и умные телевизоры

Чтобы браузер мог аутентифицировать веб-сайт, тот представляет себя действительной цепочкой сертификатов. Типичная цепочка показана сверху, в ней может быть больше одного промежуточного сертификата. Минимальное количество сертификатов в действительной цепочке равно трём.

Корневой сертификат — сердце центра сертификации. Он буквально встроен в вашу ОС или браузер, он физически присутствует на вашем устройстве. Его не поменяешь со стороны сервера. Нужно принудительное обновление ОС или встроенного ПО на устройстве.

Специалист по безопасности Скотт Хельме (Scott Helme) пишет, что основные проблемы возникнут у центра сертификации Let’s Encrypt, потому что сегодня это самый популярный ЦС в интернете, а его корневой сертификат скоро «протухнет». Смена корня Let’s Encrypt назначена на 8 июля 2020 года.

Конечные и промежуточные сертификаты удостоверяющего центра (CA) доставляются клиенту с сервера, а корневой сертификат у клиента уже есть, поэтому с помощью этой коллекции сертификатов можно построить цепочку и аутентифицировать веб-сайт.

Проблема заключается в том, что у каждого сертификата есть срок действия, после чего он нуждается в замене. Например, с 1 сентября 2020 года в браузере Safari планируют ввести ограничение на срок действия серверных TLS-сертификатов максимум 398 дней.

Про сертификаты:  Номер Делюкс

Это значит, что всем нам придётся заменять серверные сертификаты по крайней мере каждые 12 месяцев. Это ограничение распространяется только на сертификаты сервера, оно не распространяется на корневые сертификаты CA.

Сертификаты CA регулируются другим набором правил, поэтому имеют разные ограничения на срок действия. Очень часто встречаются промежуточные сертификаты со сроком действия 5 лет и корневые сертификаты со сроком службы даже 25 лет!

С промежуточными сертификатами обычно нет проблем, потому что они поставляются клиенту сервером, который сам гораздо чаще меняет свой собственный сертификат, так что просто в ходе этой процедуры заменяет и промежуточный. Его довольно легко заменить вместе с сертификатом сервера, в отличие от корневого сертификата CA.

Как мы уже говорили, корневой CA встроен непосредственно в само клиентское устройство, в ОС, в браузер или другое программное обеспечение. Изменение корневого CA веб-сайт не может контролировать. Здесь требуется обновление на клиенте, будь то обновление ОС или софта.

Некоторые корневые CA существуют уже очень давно, речь о 20-25 годах. Скоро некоторые из самых старых корневых CA приблизятся к концу своей естественной жизни, их время почти истекло. Для большинства из нас это вообще не будет проблемой, потому что CA создали новые корневые сертификаты, и они уже много лет распространяются по всему миру в обновлениях ОС и браузеров. Но если кто-то очень давно не обновлял ОС или браузер, это своего рода проблема.

Такая ситуация возникла 30 мая 2020 года в 10:48:38 GMT. Это точное время, когда протух корневой сертификат AddTrust от центра сертификации Comodo (Sectigo).

Он использовался для перекрёстной подписи, чтобы обеспечить совместимость с устаревшими устройствами, в хранилище которых нет нового корневого сертификата USERTrust.

К сожалению, проблемы возникли не только в устаревших браузерах, но и в небраузерных клиентах на базе OpenSSL 1.0.x, LibreSSL и GnuTLS. Например, в телевизионных приставках Roku, сервисе Heroku, в приложениях Fortinet, Chargify, на платформе .NET Core 2.0 под Linux и многих других.

Предполагалось, что проблема затронет только устаревшие системы (Android 2.3, Windows XP, Mac OS X 10.11, iOS 9 и т.п.), поскольку современные браузеры могут задействовать второй корневой сертификат USERTRust. Но по факту начались сбои в сотнях веб-сервисов, которые использовали свободные библиотеки OpenSSL 1.0.x и GnuTLS. Безопасное соединение перестало устанавливаться с выводом ошибки об устаревании сертификата.

Ещё один хороший пример предстоящей смены корневого CA — центр сертификации Let’s Encrypt. Ещё

в апреле 2021 года

они планировали перейти с цепочки Identrust на собственную цепочку ISRG Root, но этого

не произошло

.

«Из-за опасений по поводу недостаточного распространения корня ISRG на устройствах Android мы решили перенести дату перехода к собственному корню с 8 июля 2021 года на 8 июля 2020 года», — сказано в официальном сообщении Let’s Encrypt.

Дату пришлось перенести из-за проблемы, которую называют «распространением корня» (root propagation), а точнее, отсутствием распространения корня, когда корневой CA не слишком широко распространён на всех клиентах.

Сейчас Let’s Encrypt использует перекрёстно подписанный промежуточный сертификат с цепочкой до корня IdenTrust DST Root CA X3. Этот корневой сертификат был выдан ещё в сентябре 2000 года и истекает 30 сентября 2021 года. До этого времени Let’s Encrypt планирует перейти на собственный самоподписанный корень ISRG Root X1.

Корень ISRG выпущен 4 июня 2021 года. После этого начался процесс его утверждения в качестве центра сертификации, который завершился 6 августа 2021 года. С этого момента корневой CA был доступен всем клиентам через обновление операционной системы или программного обеспечения. Всё, что нужно было сделать, — это установить обновление.

Но в этом и проблема.

Если ваш мобильный телефон, телевизор или другое устройство не обновлялось два года — как оно узнает о новом корневом сертификате ISRG Root X1? А если его не установить в системе, то все серверные сертификаты Let’s Encrypt ваше устройство признает недействительными, как только Let’s Encrypt перейдёт на новый корень. А в экосистеме Android много устаревших устройств, которые давно не обновлялись.

Экосистема Android

Вот почему Let’s Encrypt отложил переход к собственному корню ISRG и всё ещё использует промежуточное звено, которое спускается к корню IdenTrust. Но переход в любом случае придётся сделать. И датой смены корня назначено 8 июля 2020 года.

Для проверки, что на вашем устройстве (телевизор, приставка или другой клиент) установлен корень ISRG X1, откройте тестовый сайт https://valid-isrgrootx1.letsencrypt.org/. Если не появляется предупреждение безопасности, то обычно всё в порядке.

Let’s Encrypt не единственный, кому предстоит решить проблему с переходом на новый корень. Криптографию в интернете начали использовать чуть более 20 лет назад, так что как раз сейчас наступает момент окончания действия многих корневых сертификатов.

С такой проблемой могут столкнуться владельцы умных телевизоров, которые много лет не обновляли программное обеспечение Smart TV. Например, новый корень GlobalSign R5 Root выпущен в 2021 году, и после некоторые старые Smart TV не могут построить цепочку к нему, потому что этот корневой CA у них просто отсутствует. В частности, эти клиенты не могли установить защищённое соединение с сайтом bbc.co.uk. Чтобы решить проблему, админам BBC пришлось пойти на хитрость: они построили для этих клиентов альтернативную цепочку через дополнительные промежуточные сертификаты, задействуя старые корни R3 Root и R1 Root, которые ещё не протухли.

www.bbc.co.uk (Leaf)
GlobalSign ECC OV SSL CA 2021 (Intermediate)
GlobalSign Root CA - R5 (Intermediate)
GlobalSign Root CA - R3 (Intermediate)

Это временное решение. Проблема никуда не уйдёт, если не обновить клиентское ПО. Умный телевизор — это по сути ограниченный в функциональности компьютер под Linux. И без обновлений его корневые сертификаты неизбежно протухнут.

Про сертификаты:  Какие страны признали «Спутник V» и принимают вакцинированных

Это касается всех устройств, не только телевизоров. Если у вас любое устройство, которое подключено к интернету и которое рекламировали как «умный» девайс, то проблема с протухшими сертификатами почти наверняка касается его. Если устройство не обновляется, то корневое хранилище CA со временем устареет, и в конечном итоге проблема всплывёт на поверхность. Как скоро возникнет проблема, зависит от времени последнего обновления корневого хранилища. Это может быть за несколько лет до даты реального выпуска устройства.

Кстати, в этом проблема, почему некоторые крупные медиаплатформы не могут использовать современные автоматизированные центры сертификации типа Let’s Encrypt, пишет Скотт Хельме. Для умных ТВ они не подходят, и количество корней слишком мало, чтобы гарантировать поддержку сертификата на устаревших устройствах. В противном случае ТВ просто не сможет запустить современные стриминговые сервисы.

Последний инцидент с AddTrust показал, что даже крупные IT-компании бывают не готовы к тому, что у корневого сертификата заканчивается срок действия.

Решение проблемы только одно — обновление. Разработчики умных устройств должны заранее обеспечить механизм обновления программного обеспечения и корневых сертификатов. С другой стороны, производителям невыгодно обеспечивать работу своих устройств по окончании срока гарантии.

---

Проходим проверку (2-й уровень верификации)

Для снятия ограничений бесплатного сертификата нужно пройти идентификацию. Для этого в Validations Wizard выбираем Personal Identity Validation, проходим несколько шагов и нам предлагают загрузить документы

Для загрузки документов нужно только выбрать их в поле. Загрузить нужно не менее 2-х документов, подтверждающих вашу личность (главный разворот паспорта, водительские права, удостоверение личности, карточку социального обеспечения, свидетельство о рождении и т.д., я загружал главный разворот паспорта и студенческого билета). Могут запросить дополнительные документы — у меня запросили счет за телефон, в котором указан мой адрес, номере телефона и имя, в качестве альтернативы можно получить аналоговой почтой письмо для верификации адреса.

Далее вам нужно будет ввести данные своей кредитной картыPayPal. Идем в Tool Box ->Add Credit Card | PayPal | Ticket

Все, на этом подготовка к верификации окончена. Вам должно будет прийти письмо от поддержки с дальнейшими инструкциями. По окончании верификации вы сможете выпускать WildCart сертификаты в течении 350 дней. Далее нужно будет проходить проверку заново.

Регистрация

Выбрав на сайте русский язык вы получаете прекрасный англо-русский интерфейс. Регистрация находится

Жмем Sing-up и переходим к регистрации, где заполняем небольшую форму. Все поля обязательны к заполнению, нужно вводить настоящие данные, могут проверить вашу личность и отозвать сертификат, заблокировать аккаунт. Адрес нужно указывать домашний, а не рабочий.

Нам предлагают ввести проверочный код, который был выслан на email. Вводим. Далее нам предлагают выбрать размер ключа для вашего сертификата (для авторизации на сайте) 2048 или 4096.

Сертификат сгенерирован, и мы должны подтвердить его установку в браузер.

На этом регистрация завершена. Рекомендую сохранить сертификат на физическом носителе (например, записать на болванку).

Справки о поставленной прививке и манту

В основном от покупателя продавцы требуют паспортные данные,номер СНИЛС и полиса,а также подтвержденный аккаунт на «Госуслугах». Нужен он,чтобы клиент получил вполне себе добытый незаконным способом,но все же вполне официальный сертификат.

Открываем первую же группу с говорящим названием в «ВКонтакте». Владелец обещает продать сертификат с доставкой по РФ,который пройдет любые проверки и требования.

Судя по информации в группе,некий врач заполняет сертификат,вносит клиентов в реестр Госуслуг и получает QR код,а неиспользуемые ампулы утилизирует. Доставка сертификата происходит прямо в день заказа. Стоит вся сделка — 4,2 тыс. рублей. Связаться с продавцом можно через Telegram.

У покупателей подделок будут вымогать деньги

Адвокат Мария Ярмуш в разговоре с «360» подтвердила, что данные, которые продают в Сети, — это компромат на каждого человека из списка. Ведь люди, которые купили поддельные сертификаты, нарушили закон. И мошенники могут использовать эту информацию для шантажа и манипуляциями человеком ради каких-то криминальных схем.

«Могу точно сказать, что это будет связано с отъемом денег. Разумеется, никто из нас не застрахован, что наши данные куда-то утекут. Но одно дело, если мошенники просто будут знать СНИЛС и паспортные данные человека. Другое дело, если есть информация, что этот человек купил поддельные документы о вакцинации», — сказала Ярмуш.

При этом адвокат уточнила, что сам по себе сертификат не может быть гарантией, что данные есть в центральной базе. Если бы человек пришел на настоящую вакцинацию и получил бумажный сертификат с печатью врача, информацию о нем внесли бы в специальную базу данных. Покупка подделки не может обещать, что вся эта цепочка регистрации пройдена.

Мария Ярмуш добавила, что у властей нет необходимости пользоваться базой данных, которую выложили в даркнете. У государства достаточно способов самостоятельно выявить всех людей, купивших поддельные сертификаты.

Чем грозит изготовление и продажа или использование поддельных сертификатов

Даже если вам вдруг пришлют сертификат — его поддельная природа может быстро открыться. Так сотрудники ДПС задержали водителя,чей документ был с QR кодом,от совершенно другого сертификата.

Это нарушение регулирует 5 часть 327 статьи УК РФ — «Использование заведомо подложного документа». За нарушение грозит штраф до 80 тыс. рублей или в размере заработной платы за период до 6 месяцев,либо обязательные работы до 480 часов. Также могут быть исправительные работы до 2 лет или арест до 6 месяцев.

Та же 327 статья говорит,что ждет продавцов и изготовителей поддельных документов: лишение свободы,либо принудительные работы — все сроком до двух лет.