20.11.2022
Вкратце: устанавливая себе российский корневой сертификат, вы даёте государству полный контроль над вашим информационным трафиком. Либо не устанавливайте сертификат совсем, либо делайте это безопасно: на виртуальную машину или на отдельный компьютер.
Сертификаты криптографических протоколов (TLS/SSL) позволяют нескольким участникам идентифицировать/аутентифицировать друг друга и обмениваться данными в зашифрованном виде так, что даже провайдер (государство в его лице) не имеет доступа к зашифрованным данным (но пока что* может определить какие сайты вы посещаете).
*пока разработчики браузеров не внедрят Encrypted Client Echo (en).
В результате вторжения РФ в Украину многие страны ввели санкции против России. Ограничения затронули и ИТ-отрасль. В частности, ограничения коснулись пользователей и компаний, связанных с государством РФ, за некоторыми исключениями. Так, имеется исключение для гражданских дочерних предприятий (и конечных пользователей?), принадлежащих компаниям из США и стран-партнёров:
ENC (Encryption Commodities, Software, and Technology), for encryption items, limited for use by civil end users that are subsidiaries of, or joint ventures with, companies headquartered in the United States or specified partner countries;
Источник: “Implementation of Sanctions Against Russia Under the Export Administration Regulations (EAR)”.
Т.е. какой-нибудь Let's Encrypt может выдавать сертификаты гражданам РФ, но не может вадать сертификат связанному
с государством банку, например, Сбербанку. Имеющийся на сайте Сбербанка сертификат истекает в конце Января, после
чего компания просит ползьователей установить корневой сертификат, произведённый в РФ. Сбербанк поставил валидный сертификат, выданный в греческой (GR) конторе. Но планов накрытия РФ отечественным сертификатом это не отменяет, вопрос лишь: как скоро?
Если вы всё же поставили российский корневой сертификат, то:
- Государство может расшифровать и подменить трафик к любому сайту (даже к Gmail, например).
- Государство может отвечать от имени любого сайта.
- Государство может более детально, чем по DNS, следить за вашей Интернет-активностью (собирать пароли, например).
Источник: Что плохого в установке российских корневых сертификатов на личные ПК? (ru.stackoverflow).
Также по теме:
ВНИМАНИЕ: информация ниже на практике не проверялась.
Chrome/Chromium использует реестр сертификатов операционной системы (например, Windows). При появлении сообщения об истёкшем или невалидном сертификате можно проигнорировать предупреждение безопасности и использовать сайт без шифрования.
FireFox использует собственную базу сертификатов, отдельную для каждого пользователя. Можно создать нового пользователя, добавить в него российский сертификат, но пользоваться этим профилем только на сайтах, по-другому не работающих.
«Яндекс.Браузер» и браузер «Атом» поставляются сразу с российским сертификатом. Устанавливать эти браузеры не рекомендуется, т.к. их исходные коды закрыты и какие трюки они могут проделать с вашим компьютеом неизвестно. Тоже самое можно сказать и о Хроме, но учитывайте также заинтересованность компаний-разработчиков (американский Google против прокремлёвских Yandex и VK) в том, чтобы, например, выступить в роли троянского коня и зугрузить вам backdoor (чёрный ход) на всякий случай: вдруг вы, там, власть критиковать вздумаете.
Как стало известно "Ъ", в России может быть создан государственный удостоверяющий центр (УЦ) для выдачи SSL-сертификатов, которые используют интернет-магазины, платежные системы и такие государственные порталы, как сайт Федеральной налоговой службы (ФНС) и gosuslugi.ru. Чтобы сделать использование SSL-сертификатов этого УЦ массовым, основных производителей операционных систем и браузеров — Microsoft, Google, "Яндекс" и других — могут обязать предустановить в свои продукты специальный корневой сертификат.
Источник: Коммерсантъ: «Рунет прикроют сертификатом», 15.02.2016.
Т.е. они хотят получить полный контроль над информационным трафиком каждого пользователя, как это пытались сделать власти Казахстана (wikinews, Хабр). Сегодня -- добровольно и для нескольких сайтов, завтра -- добровольно-принудительно и для всех разрешённых.
А есть какой-то способ проверить систему на установленные "плохие" сертификаты ?