Страшилка от сбербанка
Хотел залогиниться в Сбербанк онлайн и увидел вот это:
Что происходит? Большинство современных Веб сервиров перешли на так называемый безопасностей протокол HTTPS, который передает информацию в зашифрованном виде. Перед началом обмена информацией сервер и веб-браузер проводят так называемое рукопожатие (handshaking). Во время этого рукопожатия выбираются криптографические протоколы и шифры. Заключительным этапом рукопожатия является проверка сертификатов сервер отправляет браузеру свой сертификат, а браузер сверяет его с сертификатами установленными на его компьютере. Упрощенно примерно вот так.
Я уже слышал, что Сбербанк переходит на новый сертификат от Минцифры Посмотреть его можно с помощью команды openssl:
# openssl s_client -showcerts -connect sberbank.ru:443
depth=1 C = RU, O = The Ministry of Digital Development and Communications, CN = Russian Trusted Sub CA
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = RU, ST = Moscow, L = Moscow, O = Sberbank of Russia PJSC, OU = 00CA, CN = sberbank.ru
verify return:1
CONNECTED(00000003)
---
Certificate chain
0 s:C = RU, ST = Moscow, L = Moscow, O = Sberbank of Russia PJSC, OU = 00CA, CN = sberbank.ru
i:C = RU, O = The Ministry of Digital Development and Communications, CN = Russian Trusted Sub CA
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Sep 26 19:12:21 2022 GMT; NotAfter: Sep 26 19:12:21 2023 GMT
-----BEGIN CERTIFICATE-----
MIIIDjCCBfagAwIBAgIOAYN7NvGDxPe0eynb9cgwDQYJKoZIhvcNAQELBQAwbzEL
MAkGA1UEBhMCUlUxPzA9BgNVBAoMNlRoZSBNaW5pc3RyeSBvZiBEaWdpdGFsIERl
...
Короче если добавить корневой сертификат на свой компьютер проблема должна быть решена и браузер откроет страницу сбербанка.
Вот этот корневой (root) сертификат:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Но добавлять его мне как-то не хотелось. Сертификат от Минцифры РФ выглядит как-то кисло, OCSP линк отсутствует и авторитетная SSL Labs не считает, что он не выдан авторизованный организацией.
К счастью я вскоре обнаружил что этот сертификат пока не требуется для онлайн банкинга. Дело в том что сервер sberbank.ru (IP адрес 194.54.14.168) после клика на СберБанк Онлайн переправит вас на совсем другой сервер online.sberbank.ru, выглядит похоже, но это совсем другой сервер и его IP 194.54.14.131.
Оказывается, что сервер online.sberbank.ru не использует сертификат от Минифры РФ, а использует сертификат от недружественной по современным понятиям страны:
# openssl s_client -showcerts -connect online.sberbank.ru:443
depth=3 C = GR, L = Athens, O = Hellenic Academic and Research Institutions Cert. Authority, CN = Hellenic Academic and Research Institutions RootCA 2015
verify return:1
depth=2 C = GR, O = Hellenic Academic and Research Institutions CA, CN = HARICA TLS RSA Root CA 2021
verify return:1
depth=1 C = GR, O = Hellenic Academic and Research Institutions CA, CN = HARICA DV TLS RSA
verify return:1
depth=0 CN = *.online.sberbank.ru
verify return:1
CONNECTED(00000003)
---
Certificate chain
0 s:CN = *.online.sberbank.ru
i:C = GR, O = Hellenic Academic and Research Institutions CA, CN = HARICA DV TLS RSA
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Nov 23 11:14:29 2022 GMT; NotAfter: Nov 23 11:14:29 2023 GMT
-----BEGIN CERTIFICATE-----
MIIHUDCCBTigAwIBAgIQWB4l7bYfv+KjTuPMYgLi3TANBgkqhkiG9w0BAQsFADBi
MQswCQYDVQQGEwJHUjE3MDUGA1UECgwuSGVsbGVuaWMgQWNhZGVtaWMgYW5kIFJl
DONE
Так что набирайте в браузере online.sberbank.ru вместо sberbank.ru и будет вам счастье в оплате счетов или переводе денег родным и близким. Греческий сертификат действует до 23 ноября 2023 года и возможно будет продлен. Xотя в наше время трудно предугадать, что будет через 6 месяцев.
Что происходит? Большинство современных Веб сервиров перешли на так называемый безопасностей протокол HTTPS, который передает информацию в зашифрованном виде. Перед началом обмена информацией сервер и веб-браузер проводят так называемое рукопожатие (handshaking). Во время этого рукопожатия выбираются криптографические протоколы и шифры. Заключительным этапом рукопожатия является проверка сертификатов сервер отправляет браузеру свой сертификат, а браузер сверяет его с сертификатами установленными на его компьютере. Упрощенно примерно вот так.
Я уже слышал, что Сбербанк переходит на новый сертификат от Минцифры Посмотреть его можно с помощью команды openssl:
# openssl s_client -showcerts -connect sberbank.ru:443
depth=1 C = RU, O = The Ministry of Digital Development and Communications, CN = Russian Trusted Sub CA
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = RU, ST = Moscow, L = Moscow, O = Sberbank of Russia PJSC, OU = 00CA, CN = sberbank.ru
verify return:1
CONNECTED(00000003)
---
Certificate chain
0 s:C = RU, ST = Moscow, L = Moscow, O = Sberbank of Russia PJSC, OU = 00CA, CN = sberbank.ru
i:C = RU, O = The Ministry of Digital Development and Communications, CN = Russian Trusted Sub CA
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Sep 26 19:12:21 2022 GMT; NotAfter: Sep 26 19:12:21 2023 GMT
-----BEGIN CERTIFICATE-----
MIIIDjCCBfagAwIBAgIOAYN7NvGDxPe0eynb9cgwDQYJKoZIhvcNAQELBQAwbzEL
MAkGA1UEBhMCUlUxPzA9BgNVBAoMNlRoZSBNaW5pc3RyeSBvZiBEaWdpdGFsIERl
...
Короче если добавить корневой сертификат на свой компьютер проблема должна быть решена и браузер откроет страницу сбербанка.
Вот этот корневой (root) сертификат:
-----BEGIN CERTIFICATE-----
MIIHQjCCBSqgAwIBAgICEAIwDQYJKoZIhvcNAQELBQAwcDELMAkGA1UEBhMCUlUx
PzA9BgNVBAoMNlRoZSBNaW5pc3RyeSBvZiBEaWdpdGFsIERldmVsb3BtZW50IGFu
ZCBDb21tdW5pY2F0aW9uczEgMB4GA1UEAwwXUnVzc2lhbiBUcnVzdGVkIFJvb3Qg
Q0EwHhcNMjIwMzAyMTEyNTE5WhcNMjcwMzA2MTEyNTE5WjBvMQswCQYDVQQGEwJS
VTE/MD0GA1UECgw2VGhlIE1pbmlzdHJ5IG9mIERpZ2l0YWwgRGV2ZWxvcG1lbnQg
YW5kIENvbW11bmljYXRpb25zMR8wHQYDVQQDDBZSdXNzaWFuIFRydXN0ZWQgU3Vi
IENBMIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA9YPqBKOk19NFymrE
wehzrhBEgT2atLezpduB24mQ7CiOa/HVpFCDRZzdxqlh8drku408/tTmWzlNH/br
HuQhZ/miWKOf35lpKzjyBd6TPM23uAfJvEOQ2/dnKGGJbsUo1/udKSvxQwVHpVv3
S80OlluKfhWPDEXQpgyFqIzPoxIQTLZ0deirZwMVHarZ5u8HqHetRuAtmO2ZDGQn
vVOJYAjls+Hiueq7Lj7Oce7CQsTwVZeP+XQx28PAaEZ3y6sQEt6rL06ddpSdoTMp
BnCqTbxW+eWMyjkIn6t9GBtUV45yB1EkHNnj2Ex4GwCiN9T84QQjKSr+8f0psGrZ
vPbCbQAwNFJjisLixnjlGPLKa5vOmNwIh/LAyUW5DjpkCx004LPDuqPpFsKXNKpa
L2Dm6uc0x4Jo5m+gUTVORB6hOSzWnWDj2GWfomLzzyjG81DRGFBpco/O93zecsIN
3SL2Ysjpq1zdoS01CMYxie//9zWvYwzI25/OZigtnpCIrcd2j1Y6dMUFQAzAtHE+
qsXflSL8HIS+IJEFIQobLlYhHkoE3avgNx5jlu+OLYe0dF0Ykx1PGNjbwqvTX37R
Cn32NMjlotW2QcGEZhDKj+3urZizp5xdTPZitA+aEjZM/Ni71VOdiOP0igbw6asZ
2fxdozZ1TnSSYNYvNATwthNmZysCAwEAAaOCAeUwggHhMBIGA1UdEwEB/wQIMAYB
Af8CAQAwDgYDVR0PAQH/BAQDAgGGMB0GA1UdDgQWBBTR4XENCy2BTm6KSo9MI7NM
XqtpCzAfBgNVHSMEGDAWgBTh0YHlzlpfBKrS6badZrHF+qwshzCBxwYIKwYBBQUH
AQEEgbowgbcwOwYIKwYBBQUHMAKGL2h0dHA6Ly9yb3N0ZWxlY29tLnJ1L2NkcC9y
b290Y2Ffc3NsX3JzYTIwMjIuY3J0MDsGCCsGAQUFBzAChi9odHRwOi8vY29tcGFu
eS5ydC5ydS9jZHAvcm9vdGNhX3NzbF9yc2EyMDIyLmNydDA7BggrBgEFBQcwAoYv
aHR0cDovL3JlZXN0ci1wa2kucnUvY2RwL3Jvb3RjYV9zc2xfcnNhMjAyMi5jcnQw
gbAGA1UdHwSBqDCBpTA1oDOgMYYvaHR0cDovL3Jvc3RlbGVjb20ucnUvY2RwL3Jv
b3RjYV9zc2xfcnNhMjAyMi5jcmwwNaAzoDGGL2h0dHA6Ly9jb21wYW55LnJ0LnJ1
L2NkcC9yb290Y2Ffc3NsX3JzYTIwMjIuY3JsMDWgM6Axhi9odHRwOi8vcmVlc3Ry
LXBraS5ydS9jZHAvcm9vdGNhX3NzbF9yc2EyMDIyLmNybDANBgkqhkiG9w0BAQsF
AAOCAgEARBVzZls79AdiSCpar15dA5Hr/rrT4WbrOfzlpI+xrLeRPrUG6eUWIW4v
Sui1yx3iqGLCjPcKb+HOTwoRMbI6ytP/ndp3TlYua2advYBEhSvjs+4vDZNwXr/D
anbwIWdurZmViQRBDFebpkvnIvru/RpWud/5r624Wp8voZMRtj/cm6aI9LtvBfT9
cfzhOaexI/99c14dyiuk1+6QhdwKaCRTc1mdfNQmnfWNRbfWhWBlK3h4GGE9JK33
Gk8ZS8DMrkdAh0xby4xAQ/mSWAfWrBmfzlOqGyoB1U47WTOeqNbWkkoAP2ys94+s
Jg4NTkiDVtXRF6nr6fYi0bSOvOFg0IQrMXO2Y8gyg9ARdPJwKtvWX8VPADCYMiWH
h4n8bZokIrImVKLDQKHY4jCsND2HHdJfnrdL2YJw1qFskNO4cSNmZydw0Wkgjv9k
F+KxqrDKlB8MZu2Hclph6v/CZ0fQ9YuE8/lsHZ0Qc2HyiSMnvjgK5fDc3TD4fa8F
E8gMNurM+kV8PT8LNIM+4Zs+LKEV8nqRWBaxkIVJGekkVKO8xDBOG/aN62AZKHOe
GcyIdu7yNMMRihGVZCYr8rYiJoKiOzDqOkPkLOPdhtVlgnhowzHDxMHND/E2WA5p
ZHuNM/m0TXt2wTTPL7JH2YC0gPz/BvvSzjksgzU5rLbRyUKQkgU=
-----END CERTIFICATE-----
Но добавлять его мне как-то не хотелось. Сертификат от Минцифры РФ выглядит как-то кисло, OCSP линк отсутствует и авторитетная SSL Labs не считает, что он не выдан авторизованный организацией.
К счастью я вскоре обнаружил что этот сертификат пока не требуется для онлайн банкинга. Дело в том что сервер sberbank.ru (IP адрес 194.54.14.168) после клика на СберБанк Онлайн переправит вас на совсем другой сервер online.sberbank.ru, выглядит похоже, но это совсем другой сервер и его IP 194.54.14.131.
Оказывается, что сервер online.sberbank.ru не использует сертификат от Минифры РФ, а использует сертификат от недружественной по современным понятиям страны:
# openssl s_client -showcerts -connect online.sberbank.ru:443
depth=3 C = GR, L = Athens, O = Hellenic Academic and Research Institutions Cert. Authority, CN = Hellenic Academic and Research Institutions RootCA 2015
verify return:1
depth=2 C = GR, O = Hellenic Academic and Research Institutions CA, CN = HARICA TLS RSA Root CA 2021
verify return:1
depth=1 C = GR, O = Hellenic Academic and Research Institutions CA, CN = HARICA DV TLS RSA
verify return:1
depth=0 CN = *.online.sberbank.ru
verify return:1
CONNECTED(00000003)
---
Certificate chain
0 s:CN = *.online.sberbank.ru
i:C = GR, O = Hellenic Academic and Research Institutions CA, CN = HARICA DV TLS RSA
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Nov 23 11:14:29 2022 GMT; NotAfter: Nov 23 11:14:29 2023 GMT
-----BEGIN CERTIFICATE-----
MIIHUDCCBTigAwIBAgIQWB4l7bYfv+KjTuPMYgLi3TANBgkqhkiG9w0BAQsFADBi
MQswCQYDVQQGEwJHUjE3MDUGA1UECgwuSGVsbGVuaWMgQWNhZGVtaWMgYW5kIFJl
DONE
Так что набирайте в браузере online.sberbank.ru вместо sberbank.ru и будет вам счастье в оплате счетов или переводе денег родным и близким. Греческий сертификат действует до 23 ноября 2023 года и возможно будет продлен. Xотя в наше время трудно предугадать, что будет через 6 месяцев.