Diese Seite enthält Links zu allen wichtigen Stammzertifikaten der Russischen Föderation und enthält Anweisungen zu deren Installation.

Was sind „Russische Stammzertifikate“ TLS?

TLS ist ein Protokoll zum Schutz vor dem Lesen und Ändern von Daten bei der Verbindung zu Websites, die das HTTPS-Protokoll verwenden. (Wenn https Port 443 verwendet, im Gegensatz zu http 80). Zum Schutz wird die Verbindung serverseitig mit einem Standortzertifikat signiert und verschlüsselt. Auf der Clientseite wird das Zertifikat überprüft und die Verbindung entschlüsselt. Wenn das Zertifikat nicht vertrauenswürdig ist, zeigt der Browser eine Fehlermeldung zur Überprüfung der Sicherheit der Verbindung an. Wenn es vertrauenswürdig ist, wird in der Adressleiste ein Symbol angezeigt, das darauf hinweist, dass die Verbindung sicher ist. Zertifikate russischer Websites sollten theoretisch mit russischen Zertifikaten verschlüsselt werden. Auf diese Weise wird die technologische Souveränität verwirklicht – russische Websites sollten nicht auf ausländische Zertifizierungsstellen angewiesen sein, die TLS-Zertifikate ausstellen.

Um ein von der westlichen Welt unabhängiges PKI-System für Website-Zertifikate zu schaffen, wurden zwei Root-Zertifikate erstellt:
*Russische vertrauenswürdige Stammzertifizierungsstelle*
Russische vertrauenswürdige Sub-CA**

Sie können auf der Seite heruntergeladen werden https://gosuslugi.ru/crt.

Wie installiere ich russische Zertifikate unter Linux?

1. Die Dienstprogramme Wget, Curl und Apt müssen im Betriebssystem installiert werden.
2. Um Websites anzuzeigen, müssen Sie diese in den Browsern Mozilla Firefox und Chrome / Chromium installieren

Wo befindet sich bei der Installation von Zertifikaten im Betriebssystem die CA-Konfigurationsdatei?

Zertifikatskonfigurationsdateien für das Betriebssystem (für die Dienstprogramme „curl“ und „wget“):

/usr/lib/ssl/openssl.cnf
/etc/ca-certificates.conf

Wie installiere ich Stammzertifikate (CA) im Betriebssystem?

Um Zertifikate unter Linux zu installieren, benötigen Sie:
0) Laden Sie CA-Stammzertifikatdateien mit der CRT-Erweiterung herunter.
1) Stammzertifikatdateien kopieren *.crt in einen untergeordneten Ordner
/usr/share/ca-certificates, например, /usr/share/ca-certificates/russian_trusted и добавить строки в файл конфигурации /etc/ca-certificates.conf.
2) Führen Sie den Befehl aus sudo dpkg-reconfigure ca-certificates und bestätigen Sie das Hinzufügen neuer Zertifikate.
3) Überprüfung.

0) Herunterladen von Zertifikaten von der Seite „Staatsdienste“.https://gosuslugi.ru/crt[/mark] – Dateien im Abschnitt „Alternative Methode – Installation eines Stammzertifikats“ – Zertifikate für Linux.

Zum Vergrößern anklicken:

1) Zertifikate kopieren

sudo mkdir /usr/share/ca-certificates/russian_trusted

sudo cp ~/Загрузки/russian_trusted*.crt /usr/share/ca-certificates/russian_trusted

cd /usr/share/ca-certificates/russian_trusted

ls -l

Es sollten 2 Dateien vorhanden sein. Wenn 4, lösche ich zusätzliche Kopien:
sudo rm "russian_trusted_root_ca_pem(1).crt"
sudo rm "russian_trusted_sub_ca_pem(1).crt"

2) Root-Zertifikate unter Linux installieren:

2.1) Bearbeiten Sie die Datei /etc/ca-certificates.conf- Fügen Sie unsere 2 Zertifikate hinzu

Der Pfad zu Zertifikaten ist relativ. Zuvor haben wir einen Ordner erstellt /usr/share/ca-certificates/russian_trusted, dann lautet der Pfad in der Konfigurationsdatei russian_trusted/Zertifikatsname

sudo nano /etc/ca-certificates.conf

Fügen Sie die Zeilen hinzu:

russian_trusted/russian_trusted_root_ca_pem.crt
russian_trusted/russian_trusted_sub_ca_pem.crt

Speichern und beenden: Strg+O und Strg+X.

2.2) Ausführen

sudo dpkg-reconfigure ca-certificates

Klicken Sie auf „OK“.

„Neuen Zertifikaten von Zertifizierungsstellen vertrauen?“

Ja

„Dieses Paket installiert Zertifikate der Zertifizierungsstelle (CA) …“
Klicken Sie auf „OK“.

Im Fenster mit der Liste der Zertifikate habe ich ganz nach unten gescrollt und unsere beiden Zertifikate gefunden – sie sind mit Sternchen markiert.
Klicken Sie auf „OK“.
Das Programm hat die Hinzufügung russischer Zertifikate zum System abgeschlossen.

3) Überprüfen Sie:
Lassen Sie uns das Öffnen der Rosreestr-Website mithilfe des https-Protokolls über die Befehlszeile überprüfen.

cd ~
wget https://rosreestr.ru

So installieren Sie Stammzertifikate (CA) in Webbrowsern

1) Installieren eines CA-Zertifikats in Mozilla Firefox

Firefox → gehe zu „Einstellungen“ → in die Suche eingeben „Zertifikat“ → auswählen „Zertifikate anzeigen…“

Den Knopf gedrückt „Importieren…“.
Eine Datei unter „Downloads“ ausgewählt russian_trusted_root_ca_pem.crt und klickte im Explorer auf die Schaltfläche „Öffnen“.

Vertrauen Sie bei der Identifizierung von Websites.

Wiederholte den Import für die zweite Datei russian_trusted_sub_ca_pem.crt(Ich habe auch auf die Schaltfläche „Öffnen“ geklickt)
*Importieren...*
Offen**

Das Formular wurde mit „OK“ geschlossen.

1) CA-Zertifikat in Chromium installieren

In Chromium erfolgt die Installation auf die gleiche Weise:Einstellungen- Stichwortsuche „Zertifikat“

Scrollen Sie im Abschnitt „Sicherheit“ nach unten zum Abschnitt „Zertifikate konfigurieren“

Im Fenster ein Lesezeichen ausgewählt „Zertifizierungsstellen“.

Angeklickt Importieren
Ich habe das Kästchen gegen überprüft
„Vertrauen Sie diesem Zertifikat, um Websites zu identifizieren.

Wenn das Zertifikat noch nicht installiert wurde, wird es dem Browser hinzugefügt.

Überprüfen Sie - gehen Sie zur Website https://rosreestr.ru oder https://rosreestr.gov.ru/.

Nützliche Informationen

Wo sonst können Root-Zertifikate unter Linux liegen?

FireFox fügt seine Zertifikate während der Installation dem Ordner hinzu:
[markieren]/usr/share/ca-certificates/mozilla[/mark]

Bei der Installation des Firefox-Pakets wird die Datei /etc/ca-certificates.conf geändert.
In welchem#= Symbol zum Kommentieren, ! - Deaktivieren Sie die Leitung.

Wie kann ich den Inhalt eines Zertifikats unter Linux anzeigen?

1)Grafische Benutzeroberfläche: durch Doppelklicken auf die Datei im Explorer oder durch Ausführen des Dienstprogramms gcr-viewer.

gcr-viewer /usr/local/share/ca-certificates/russian_trusted/russian_trusted_sub_ca_pem.crt

3)Befehlszeile:(in dem Ordner, in dem sich das Zertifikat befindet, z. B.

• mit dem Befehl openssl x509:

  Ein einzelnes Zertifikat aus der Datei „certificate.pem“ lesen mit dem Befehl OpenSSL x509, mit dem CN-Feldfilter – Zertifikatsname:

  sudo openssl x509 -in Zertifikat.pem -noout -subject | grep -iF "CN="

  Quelle

  Lesen Sie ein Zertifikat verwenden des Dienstprogramms Schlüsseltool

  keytool -printcert -file certificate.pem

Unter Green Linux gibt der Befehl beispielsweise Zertifikatsinformationen an die Konsole aus:

keytool -printcert -file /usr/local/share/ca-certificates/russian_trusted/russian_trusted_root_ca_pem.crt | less

Schleifenlesung aller Zertifikate aus der Zertifikatspaketdatei ca-certificates.crt

while openssl x509 -noout -text; do :; done < /etc/ssl/certs/ca-certificates.crt

CN-Zertifikatnamen (vom Common Name) in einer Schleife lesen:

while openssl x509 -noout -text; do :; done < /etc/ssl/certs/ca-certificates.crt | grep "CN =" 

Zum Beispiel:
Betreff: C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA

Lesen der Empfängernamen (OU) von Zertifikaten aus einer Datei mit mehreren Zertifikaten namens GlobalSign

while openssl x509 -noout -text; do :; done < /etc/ssl/certs/ca-certificates.crt | grep "CN =" | grep -iF globalsign

Hilfe:

man openssl-x509

Erstellen einer Sicherungskopie der Root-CA-Zertifikatssatzdatei (dies ist nicht erforderlich, da die Datei jedes Mal erstellt wird, wenn dpkg-reconfigure ca-certificates ausgeführt wird):

sudo cp /etc/ssl/certs/ca-certificates.crt /etc/ssl/certs/ca-certificates.crt.bak

So entfernen Sie das Stammzertifikat von Linux

Die Datei muss repariert werden /etc/ca-certificates.conf

sudo cp /etc/ca-certificates.conf /etc/ca-certificates.conf.bak
sudo nano /etc/ca-certificates.conf

Wenn wir beispielsweise alle Zertifikate deaktivieren möchten, setzen wir am Anfang aller Zeilen Ausrufezeichen (!).

Um Stammzertifikate massenhaft zu deaktivieren, können Sie das Befehlszeilendienstprogramm sed verwenden:

sudo sed -i 's/^mozilla/!mozilla/g' /etc/ca-certificates.conf

So aktivieren Sie Mozilla-Stammzertifikate in großen Mengen:

sudo sed -i 's/^!mozilla/mozilla/g' /etc/ca-certificates.conf

Dann tun Sie:

sudo dpkg-reconfigure ca-certificates

So entfernen Sie das Stammzertifikat unter Linux aus dem Mozilla Firefox- oder Chromium-Browser

Einstellungen – Suche nach Wort „Zertifikat“- dann „Root-Zertifikate“ – auswählen und löschen.

Wie installiere ich das Masern-Zertifikatpaket des Linux-Betriebssystems mit den Standardeinstellungen neu?

sudo apt install --reinstall ca-certificates

Dieser Befehl entfernt den Ordner /etc/ssl/certs/ fremdzertifikate und stellen Sie symbolische Links und die Standardzertifikatsdatenbank wieder her.

Wie erstelle ich ein neues Profil für Experimente in Mozilla Firefox?

filefox -P

In jedem Firefox-Profil können Sie Ihren eigenen Satz von Site-Zertifikaten konfigurieren. Wenn beispielsweise im Profil mit dem Namen „temp“ kein russisches Zertifikat vorhanden ist, wird ein Fehler angezeigt

Aber in einer anderen Instanz von FireFox mit einem anderen Profil, in dem Zertifikate installiert sind, gibt es keinen Fehler.

Das offizielle Portal für TLS-Zertifikate für russische Websites

Alle Installations- und Konfigurationsinformationen:

https://www.gosuslugi.ru/crt[/mark]

Welche russischen Websites haben auf russische Root-Zertifikate (CA) umgestellt?

Bank „Sber“ (ex. „Sberbank“) warnt Kunden vor der Umstellung auf russische Zertifikate:
*https://www.sberbank.com/ru/certificates

VTB-Bank lädt Kunden ein, auf russische Zertifikate umzusteigen:
*https://www.vtb.ru/product/otvety/certificates/

Die Rosreestr-Website zeigt beim Öffnen der Homepage eine Warnung an.

Die größten RuNet-Websites, die auf russische Kryptographie umgestiegen sind:

1. Sberbank www.sberbank.ru – Russisches Trusted Sub CA-Zertifikat
2. Finanzministerium der Russischen Föderation www.roskazna.ru – Russisches Trusted Sub CA-Zertifikat
3. Rosreestr rosreestr.gov.ru/ – Russisches Trusted Sub CA-Zertifikat

Regierungsdienste www.gosuslugi.ru verwenden Anfang 2024 das Globalsign-Zertifikat.

Welches sind die wichtigsten Zertifikate, die von Websites der Russischen Föderation verwendet werden?

Von der State Services-Website (gosuslugi.ru/crt) zur Installation empfohlene Stammzertifikate

| Nein. | Zertifikatsname | CER-Datei | Gültig bis |

|---|---|---|
| 1| 1. |russian_trusted_root_ca.cer| 27.02.2032 |
| 2| 2. |russian_trusted_sub_ca.cer| 03.06.2027 |

Für die Installation empfohlene Stammzertifikate Website bundesschatzkammer (Anweisungen)

| Nein. | Zertifikatsname | CER-Datei | Gültig bis |

|---|---|---|
| 3| 3. |Zertifikat des Ministeriums für Telekommunikation und Massenkommunikation Russlands (Leiter des Zertifizierungszentrums) schlüssel-ID: 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d |E-Trust| 17.07.2027 |
| 4, |Zertifikat des Ministeriums für Telekommunikation und Massenkommunikation Russlands (Leiter des Zertifizierungszentrums) GOST R 34.10-2012 guts_2012.cer| 01.07.2036 |

| 5, |Zertifikat des Ministeriums für Telekommunikation und Massenkommunikation Russlands (Leiter des Zertifizierungszentrums) 2022 Kornevoy-certifikat-GUTS-2022.CER| 01.08.2040 |

Beschreibung:
1) Russian Trusted Root CA – das Hauptzertifikat der Russischen Föderation, aus dem die Russian Trusted Sub CA generiert wurde. Wird in der Vertrauenskette der meisten Websites verwendet.
2) Russian Trusted Sub CA – Ausstellung eines Zertifikats, mit dem die Websites „signiert“ sind: Sberbank, Roskazna und Rosreestr. Am häufigsten auf Websites im russischen Internet. Das offizielle Portal listet keine anderen Zertifikate als diese beiden auf. Anscheinend reichen sie aus, um mit den Websites staatlicher Dienste und Banken zu arbeiten.
3) Zertifikat des Ministeriums für Telekommunikation und Massenkommunikation Russlands (Hauptzertifizierungsstelle) mit der ID 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d – Vertrauenswürdige Stammzertifizierungsstelle. Das Hauptstammzertifikat für alle Zertifizierungsstellen (Zertifizierungsstellen – CA), Zertifikate anderer CAs sind Zwischenzertifikate.
4) _Guts2012 – Zertifikat des Hauptzertifizierungszentrums des Ministeriums für Telekommunikation und Massenkommunikation Russlands. Wird von Roskazna-Websites und der SUFD-WEB-Anwendung (Haushaltsfinanzierung) verwendet.
5) _Guts2022 – Zertifikat des Hauptzertifizierungszentrums des Ministeriums für Telekommunikation und Massenkommunikation Russlands. Wird von der Roskazna-Website WEB-Anwendung SUFD (Haushaltsfinanzierung) verwendet. Informationen zu Guts-Zertifikaten finden Sie auf der Website von Roskazna in PDF,

Wie installiere ich Stammzertifikate (CA) unter Windows?

Unter Windows- „Klicken“ Sie mit der Maus auf die heruntergeladenen Zertifikate, wie im Artikel auf der Website beschrieben www.gosuslugi.ru/crt.

Oder verwenden Sie eine CMD-Datei, die alle Zertifikate aus dem aktuellen Verzeichnis installiert:

@echo off
for /d %%G in (\*.cer) DO call :s_subroutine %%G
goto :EOF
:s_subroutine
CertMgr.exe /c /add %1 /s root
echo:
goto :EOF

Siehe Beschreibung der CertMgr-Startschlüssel auf der Microsoft-Website.

Die Datei certmgr.exe ist Teil des Windows SDK, das auf der Microsoft-Website verfügbar ist. Es werden Links zum Universal Windows Installer SDK für Windows 7, 8.1, 10, 11 bereitgestellt im nächsten Artikel.

Wie lade ich alle Website-Zertifikate über HTTPS herunter?

Hochladen von Zertifikaten von der Website rosreestr.ru in eine Datei:

echo -n | openssl s_client -showcerts -connect rosreestr.ru:443 2>/dev/null  | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > rosreestr_bundle.crt

Zertifikatsheader aus einer Datei anzeigen:

while openssl x509 -noout -text; do :; done < ~/rosreestr_bundle.crt | grep "CN =" 

Das Gleiche gilt für die Website der State Services:

echo -n | openssl s_client -showcerts -connect gosuslugi.ru:443 2>/dev/null  | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > gu_bundle.crt

while openssl x509 -noout -text; Tun:; erledigt < ~/gu_bundle.crt | grep "CN="

Garantiert ein Vorhängeschloss in der Verbindungszeichenfolge die Authentizität der Site?

Es ist zu beachten, dass Zertifikate lediglich die SSL/TLS-Verbindung schützen. Das Vorhandensein des „Schloss“-Symbols garantiert nicht die Authentizität der Website (es wird von DNS- und Namensregistratoren bestimmt – zum Beispiel nic.ru oder reg.ru, andere Registrare). Ich empfehle Ihnen, sich immer das Zertifikat anzusehen, das sich unter dem „Schloss“ befindet, und den Domänennamen im Zertifikat sorgfältig zu prüfen und ihn mit der Domäne zu vergleichen, die in der Adressleiste sichtbar ist. Um Man-in-the-Middle-Angriffe (MitM) zu vermeiden. Wenn Kaspersky Anti-Virus in Windows jedoch aktiviert ist, ersetzt es das Site-Zertifikat auf Port 443, da es den Datenverkehr entschlüsselt, überprüft und dann mit seinem Zertifikat verschlüsselt. Dieses Verhalten von Kaspersky Antivirus ist normal.

Ergänzung vom 17.01.2024: Installation des Yandex-Browsers für die Arbeit mit russischen Websites

Anstatt Stammzertifikate in den Firefox- und Mozilla-Browsern zu installieren, können Sie den Yandex-Webbrowser installieren, der über alle erforderlichen Zertifikate verfügt.

1) Erstellen Sie eine Datei für das Yandex-Browser-Repository im Ordner /etc/apt/sources.list.d:

cd /etc/apt/sources.list.d
sudo nano yandex-browser.list

Zur Repository-Listendatei yandex-browser.list: folgende Zeile hinzugefügt:

deb [arch=amd64] https://repo.yandex.ru/yandex-browser/deb stable main

Gespeichert mit Strg+O, Strg+X.

2) Importieren Sie die Signatur des Yandex-Browser-Repositorys

curl -fsSL https://repo.yandex.ru/yandex-browser/YANDEX-BROWSER-KEY.GPG | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/yandex-browser.gpg > /dev/null

Überprüfen Sie:

file /etc/apt/trusted.gpg.d/yandex-browser.gpg

Antwort: /etc/apt/trusted.gpg.d/yandex-browser.gpg: OpenPGP Public Key Version 4, erstellt am Dienstag, 16. Mai 16:15:58 2023, RSA (Verschlüsselung oder Signierung, 4096 Bits); Benutzer-ID; Unterschrift; OpenPGP-Zertifikat
3) Überprüfen des freien Speicherplatzes:

df -h

Es ist etwa 1 GB freier Speicherplatz erforderlich (300 MB für den Cache, 200 MB für den Download und 300 MB für die Softwareinstallation und 200 MB für das Profil).

Apt-Cache aktualisieren und Paket installieren yandex-browser-stable:

sudo apt-get update
sudo apt install yandex-browser-stable

Yandex Browser erscheint im Startmenü – Internet – Yandex Browser.

Quelle für die Installation des Yandex-Browsers:https://browser.yandex.ru/help/about/install.html#Browser-Installation.

Verwandte Veröffentlichungen

Arbeiten mit Flatpak oder APT über einen Proxyserver

Linux Mint-Boot-Problem mit integrierter Intel-Grafikkarte beheben

TimeShift stoppen und deaktivieren, um Speicherplatz zu sparen

Fehlerbehebung bei L2TP/IPsec-Verbindungsfehlern „Could not add ipsec connection“ und „no acceptable traffic selectors found“

Festplattenpartitionierung zur Installation von Linux Mint auf einem alten PC mit BIOS im GPT-Modus