Борьба с перехватом HTTPS-трафика. Опыт Яндекс.Браузера

[DimonCJ]

Вот это вы молодцы, и это тем временем когда в Хроме кнопку просмотра сертификата запрятали аж в инструменты разработчика (когда раньше она была в начале адресной строки и было очень удобно)

[Amet13]

Вернуть ее никак нельзя через какие-нибудь там флажки? Уж очень полезная функция для меня.

[TimsTims]

Нельзя. По мнению разработчиков, кому надо — тому не влом нажать f12, зайти в раздел security и запросить сертификат...

[linux_art]

Спасибо за подсказку! Как раз сегодня обратил внимание, что исчезла возможность посмотреть сертификат и не мог понять где ее искать.

[TimsTims]

Пожалуйста) великий хабр — он как stackoverflow

[honor8]

в адресной строке отображается обычный закрытый замочек

Молодцы. При открытии сайта мой браузер уже показывает chrome://browser/skin/cert-error.svg

[Revertis]

А нельзя как-то в браузерах принудительно установить, чтобы конкретный сертификат мог использоваться только на конкретном домене? Может есть какое-то расширение для этого?

[Chupakabra303]

Так сертификат сам по себе должен удостоверять ограниченный список доменов. Не тот ключ, не тот домен или не тот серт. и все, в пролете. В чем смысл затеи?

[Revertis]

Извините, я наверное неверно выразился. Я имел ввиду сертификаты CA, которые предустановлены в систему. Чтобы этот серт ЦА мог удостоверять только определенный домен и всё.

[ivan386]

Вы имеете в виду удостоверять только поддомены определённого домена верхнего уровня (ru, com, info)?

[Revertis]

Нет, чтобы определенный серт СА мог удостоверять только один свой домен, например. Или группу доменов.

[ivan386]

Я вас не понимаю. Сертификат CA это Certification authority? Сертификат центра сертификации. Он нужен для проверки сертификатов сайтов выданных этим центром.

Какой смысл в центре сертификации который подтверждает только один домен не понятно.

[Revertis]

Да, насчет ЦА — именно это я и имел ввиду.

Смотрите: для того, чтобы работал (например в корпоративной среде) какой-то внутренний ресурс, на комп устанавливается самодельный ЦА сертификат. Им подписан серт на определённый (внутренний) домен.
Как обезопасить остальной трафик от того, что какой-то админ начнет подписывать тем же сертом ЦА сертификаты для других доменов?

Или, например, троян от Innova (на проекте 4game):
Для того, чтобы запускать игры из браузера они ставят службу на комп, плюс внедряют свой сертификат ЦА на комп, чтобы браузер доверял самоподписанным сертам, которыми (как я понимаю) подписывается служба. Как обезопаситься от Инновы, и разрешить им подписывать трафик только на их доменах?

П.С.: Я понимаю, что есть HSTS и тому подобные штуки, но всё же?

[ivan386]

Вот теперь понятно. Да нужна возможность регулирования зоны ответственности сертификата CA.

[funca]

Админ с правами админа на вашем компьютере может нарисовать любые замочки в любом браузере.

[Alghazanth]

Certificate Pinning. Но это настраивается на стороне сайта, т.е. от пользователя не зависит.

[ValdikSS]

Поддержка Name Constraints есть в Windows 7+, OpenSSL и браузерах. Какое-то время назад сертификат Let's Encrypt содержал Name Constraints с CRITICAL, в exclude был указан *.mil. Именно из-за этого сайты с сертификатом Let's Encrypt не открывались на Windows XP.

Сертификат для Intel с Name Constraints: https://crt.sh/?sha1=d50c68fdcb0c3315eb9951f2444fd9e48ba34829

[Bezk]

Есть т.н. wildcard сертификаты (как на хабре, между прочим) – поэтому нельзя.

[selivanov_pavel]

Можно при первом посещении прибивать гвоздями сертификаты для своего домена: HTTP_Public_Key_Pinning.

[grumbler66rus]

Есть. Называется OCSP.
Вот только если некто сумел установить сертификат в системное хранилище, он наверняка сумел изменить список серверов DNS, и подконтрольный ему сервер DNS выдаст нужную запись OCSP.

Решение проблемы есть, но оно требует полного изменения инфраструктуры DNS: переход на хранение записей NS в блокчейне.

[ivan386]

Можно использовать DNS Certification Authority Authorization на своём домене.

[somniator]

Корневые сертификаты можно проверить утилитой Sigcheck: sigcheck -tv "*", sigcheck -tuv "*". Полезно делать это регулярно, учитывая, что в хранилище сертификатов сертификат добавляется легко и незаметно.

[b1ora]

Что тогда делать в корпоративной среде? Когда пользователь пользуется яндекс браузером, через AD раздается свой корневой и внутренние ресурсы подписаны своим сертификатом.

[BarakAdama]

С точки зрения безопасности, не стоит подменять сертификат для важных внешних сайтов с личными данными пользователей. Поэтому наше предупреждение рассказывает им о риске, но не навязчиво – выбор сохраняется на N дней. Это про обычную версию. С корпоративной сборкой вопрос другой. Там мы еще думаем.

[b1ora]

Внутри компании есть справка и почта, которой пользуются только внутри. Из вне доступна только почта. Оба сервиса подписаны своим корневым сертификатом. Корневой раздан через AD, внешним сотрудникам прописан вручную.

Даже самое невзрачное предупреждение вызовет много вопросов в сторону IT отдела.

[kvaps]

Так, на сколько я понимаю, с внутренними сервисами проблем не возникнет, вот если вы попытаетесь со своим сертификатом проксировать тот же сбер — то это совсем другое дело

[BarakAdama]

Именно.

[vanxant]

Один вопрос, а что мешает сделать нормальные сертификаты для справки и почты, хотя бы и бесплатные? Я понимаю, зачем в принципе нужно тащить свой корневой сертификат, но зачем его использовать ещё и для интравеба?

[b1ora]

Нежелание нискового админа использовать бесплатный и нежелание руководства платить за платный. Тем более справка и почта доступна только внутри сети и по этому проблем с раздачей корневого сертификата нет.

[miksoft]

С корпоративной сборкой вопрос другой. Там мы еще думаем.

Когда придумаете — расскажите, пожалуйста, как не подарить админам работодателя все свои логины и пароли от сайтов (по крайней мере те, которые пришлось использовать на работе).

[kuPyxa]

Пока Яндекс.Браузер )

[dmitry_ch]

Пока Хром помечает страницы с полями для ввода как несекурные (а тем временем прячет инфу о сертификатах подальше), Я.Браузер прямо радует такими вот начинаниями.

Спасибо! Не ожидал, что проект так неплохо будет развиваться в полезных юзерам направлениях.

P.S. Одно никак не могу для себя понять: мне лично не хочется рекламным сетям сливать лишнюю информацию о себе, так вот через Я.Браузер такая метаинфа (грубо, список просмотренных сайтов и прочее, что позволит лучше таргетировать рекламу) сливается в Яндекс (при, скажем, активированном adblock-е), или нет?

[BarakAdama]

Спасибо. В этом плане ничего нового. Обычная анонимная статистика использования, которая управляется галочкой в настройках.

[BarakAdama]

История, привязанная к браузеру, используется для обучения Дзена. Отключается это тоже вместе с Дзеном.

[kuraga333]

Теперь Яндекс.Браузер не слепо доверяет корневому сертификату из системного хранилища, а проверяет его по списку известных авторитетных центров сертификации.

Проверяет локально или по сети?

Если локально, то чем это отличается от хранилища сертификатов (как у Firefox)?

Если по сети, то смысл в том, что сертификат Яндекса (точнее, узла, с которым связывается браузер для проверки сертификата), прибит наглухо, и его нельзя подменить? Иначе, почему невозможна такая же MITM-атака…

[BarakAdama]

Локально, но это не хранилище сертификатов, куда можно поместить свой, а зашитый набор отпечатков.

[funca]

Если сертификат на сайте поменяется, как будет реагировать браузер? Есть-ли отдельный механизм для обновления отпечатков, или только вместе с новой версией браузера?

[BarakAdama]

Сертификат на сайте? Так с ним и так все хорошо. А если сертификат злоумышленника, то какая разница. Если его нет в списке доверенных, то будет предупреждать.

[funca]

Выше вы пишите, что проверки сертификатов осуществляются локально по базе отпечактов. Станет-ли браузер выдавать предупреждения, если на сайте (легитимно, а не злоумышленники) поменяют сертификат, например из-за окончания срока предыдущего?

[BarakAdama]

Браузер хранит в отпечатках такой же состав авторитетных корневых сертификатов, как в ОС. Соответственно никаких проблем быть не должно.

[AndrewMed]

Хорошая попытка, яндекс, но нет

[BarakAdama]

А если так:

Защита от wap-click https://habrahabr.ru/company/yandex/blog/273385/
Поддержка DNScrypt https://habrahabr.ru/company/yandex/blog/280380/
Антифишинг https://habrahabr.ru/company/yandex/blog/309808/
Шифрование Wi-Fi https://habrahabr.ru/company/yandex/blog/267013/
Борьба за расширения https://habrahabr.ru/company/yandex/blog/266061/

[batollo]

Protect слишком уж навязывает себя ещё и с браузером по умолчанию и собственно поиском, потому…

Плюс, блин, что у вас за фигня с иконками? После каждой итерации версии нужно руками лезть в %version%\resources\sxs.ico.

[BarakAdama]

Так Protect же часть браузера. Но и отключается в настройках. Разные части этого комплекта имеют свои опции.

Про иконки не понял, но звучит как баг. Вы сообщали в поддержку?

[jehy]

В последний раз, когда я видел вайфай шифрование Яндекса, оно применялось только с точками со слабыми шифрованием. То есть, подцепился я случайно к левой точке с сильным шифрованием… И она совершенно спокойно снифферит мой трафик. Так что нет доверия маркетологам, которые пишут про плюсы Яндекс браузера.

[BarakAdama]

Погодите. Как вы случайно подцепитесь к левой точке с паролем, не вводя пароль? Шифрование Wi-Fi у нас решает такие проблемы:

– Защищает от поддельных точек, которые имитируют известные сети названием. Устройства к таким автоматически подключаются, потому что название точки совпадает, а пароль не требуется.
– Защищает от злоумышленников со снифферами за соседним столиком.

Ровно об этом я писал на Хабре, и мы везде рассказывали. Поэтому включается автоматически, если у точки нет пароля, или используется слабое wep-шифрование. Если нужно включить принудительно, то есть Турбо. Безопасный Wi-Fi на нем и работает (только без сжатия).

[NickKolok]

Не хватает ссылочки на гитхаб. Вот она была бы решающим аргументом.

[ivan386]

Мне интересно каким образом вы наблюдаете за реакцией пользователей? Браузер очитывается в центр?

[BarakAdama]

Стандартные способы:
– Выживаемость (удаляют ли браузер после появления новшества)
– Обращения в поддержку
– Жалобы в публичных каналах (блог, соцсети, ...)

[dom1n1k]

Во всех трех случаях новшество должно быть каким-то очень раздражающим или неприемлемым.
Если же оно, скажем так, умеренно-раздражает — в большинстве случаев человек просто будет чаще использовать альтернативу и вы ничего не узнаете (если только нет телеметрии).

[BarakAdama]

Нам в поддержку о любой мелочи сразу пишут (и мы всем отвечаем, кстати). Поэтому действительно раздражающие изменения пропустить невозможно при 20 млн ежедневной аудитории.

[BarakAdama]

Мы недавно сделали важный шаг. Теперь бета-версии для Linux собираются не на базе кода беты, а на базе уже релизного кода (и выходят одновременно с ними). Но метку «бета» пока снимать не хотим.

[vintage]

Ну и я спрошу… можно адресс проживания того человека, который придумал перетаскивать окно за адресную строку?

[PavelPV]

Не знал, что так можно.
Дайте и мне адрес автора, я его расцелую! Это реально удобно, раньше при огромном количестве открытых вкладок приходилось тянуться мышкой далеко вправо.

[vintage]

Отлично, будет целованный и без рук. Попробуйте выделить часть ссылки. В зависимости от того куда вы попадёте либо ничего не произойдёт, либо окно поедет в сторону.

[PavelPV]

Вообще нет проблем: сначала кликаю в ссылку, потом выделяю что мне нужно.

[vintage]

Ну да, подумаешь, все поля в ввода в системе работают одним образом, а тут иначе. Можно же и привыкнуть.

[maiketa]

Привет Cisco FirePower

[atomAltera]

А можно установить Я.Браузер так что бы он не установил Яндекс поиском по-умолчанию во всех других браузерах?

[BarakAdama]

Надеюсь, это шутка :) Он вообще ничего не меняет в других браузерах. И никогда не менял. И даже удаляется вместе со всем своим профилем через стандартный диспетчер, как и все остальные.

[atomAltera]

Не шутка :) Знаю я этот Яндекс. Ну ладно, раз так, то попробую

[upyx]

Предупреждения в Яндекс.Браузере нельзя назвать панацеей, потому что они никак не влияют на основной источник проблемы – программу, устанавливающую свой корневой сертификат.

Как Вы и написали. Я бы сказал, что задумка вообще бесполезная. Просто «для галочки», что браузер «безопаснее». Ничуть. Пока пользователи будут устанавливать приложения «не пойми откуда» (не важно какая используется ОС), никакие технические средства не помогут.

Пройдёт несколько дней и эти «программы, устанавливающие свой корневой сертификат» будут до кучи патчить или целиком подменять браузер.

Подобно вам, Google тоже делает дополнительную проверку корневых сертификатов. В частности нельзя зайти на google.com, если его сертификат будет подписан не CA от google… Ещё можно почитать https://www.chromium.org/Home/chromium-security/root-ca-policy

Нет, конечно ваше решение будет иметь кратковременное положительное действие. Конечно вы напишете об этом ещё одну статью. Конечно вы «забудете» в ней сказать, что уже есть (а уже есть) программы, которые обходят эту защиту. Возможно количество установок браузера повысится. Но интернет от этого не станет безопаснее.

Корень беды в том, что неподготовленные пользователи не знают чему можно доверять, а чему нет. Сегодня не существует Единого Центра Доверия :). И я сомневаюсь, что его создание вообще возможно. Решение о доверии чаще всего принимается интуитивно на основе вшенего вида.

Осторожность приходит с опытом. Но всевозможные рекламы «безопасного браузера», антивирусов и других «интернет защитников», усугубляет проблему тем, что пользователь об осторожности забывает.

Хотя сам браузер очень хороший :)

[BarakAdama]

Не согласен. Наше решение не решает проблему в корне, но:

– Привлекает внимание к проблеме. Пользователь, увидев предупреждение, часто идет спрашивать у более знающих людей (или в поддержку, как сейчас и происходит) о причинах. У них появляется знание о самой угрозе. Это уже многое значит.
– Упрощает диагностику. Вставить рекламу в страницу можно многими разными способами. Но если речь идет о предупреждении, то сразу ясно, куда копать.
– Помогает вовремя остановиться и не потерять данные тем, у кого минимальные знания уже есть.

Конечно вы «забудете» в ней сказать, что уже есть (а уже есть) программы, которые обходят эту защиту.

Приведите, пример, пожалуйста.

Все технологические компоненты Protect эффективны. Мы это видим по антифишингу, по защите от мобильных подписок, по многим другим вещам. 100% защиты не бывает, но вероятность попасться на удочку снижается.

[BarakAdama]

Хотя сам браузер очень хороший :)

Спасибо :)

[BarakAdama]

Установил. Никак не реагирует. Как включить?

[BarakAdama]

У расширения для Хрома нет таких настроек. Завтра попробую в Лисе.

P.S. https://yadi.sk/i/lMUh3-T23J6LXg Стыдно теперь? :)

[BarakAdama]

Да вот как-то никак не предупреждает. Не понимаю, что я делаю не так. Сертификат вручную добавил в хранилище Firefox. Установил HTTPS Everywhere. Включил в нем SSL Observatory. Все перезапустил. И ничего.

[YaakovTooth]

Ну изобрели и изобрели. Ключево, что это сейчас будет сразу из коробки, а не доставляться кастомно.

[TimsTims]

proof?

[TimsTims]

Срок сертификата истек. Хотя наверное фотка старая

[BarakAdama]

Спасибо, проверяю. P.S. На Android у нас нет никакого своего списка сертификатов. На yabrowser.com, например, тоже Lets Encrypt, но открывается успешно.

[SamVimes]

У вас скорее всего был не полный чейн сертификата. Судя по тому что серту 4 дня (а вы ещё 13 мая присылали скрин), серт вы обновили. И таки что-то мне подсказывает, что дело было в вашем сертификате, а не в браузере =)

[BarakAdama]

Ничего подобного. Прекрасно посещаю сайты с Lets Encrypt и сам же использую их сертификаты. Давайте посмотрим конкретный пример. Вдруг баг (а я ничего не исключаю никогда).

[ntkj666]

Верной дорогой движетесь, товарищи!

[PS2_forever]

Ок, с причиной разобрались, теперь не мешало бы разобраться со следствием. Допустим обычный юзер во время серфинга нахватал дыр и даже об этом не подозревает. Как уберечь себя от нежданчика? Приведу в пример Неуловимого Джо, который вроде бы никому и не сдался, но всякие бяки все равно могут мирно обитать в его пространстве, до поры до времени. У меня после похода к пиратам, док бывает с десяток троянов отлавливает. Но с ними все понятно, я просто оцениваю информацию в моменте и на объективных данных принимаю решение. Когда копался в игровых конструкторах, совершенно случайно узнал о снифферах. Меня весьма удивила инфа о том, что админ интернет-провайдера может заглянуть в окошко и даже зайти в гости без стука. Ну с ним ладно, ни один здравомыслящий человек, а другие на таких местах скорее не водятся, не захочет рисковать жопой ради мимолетного приключения. Поставил Microsoft Network Monitor, глянул на всякие абраказябры, хотя понимания того, что с этим «барахлом» делать, все равно не прибавилось.

И вот теперь снова интересная заметка, отчасти раскрыта тайна красного замочка. У меня несколько дней такой висел в гугловском сортире и я как бы не особо воспринимал его. «Ну висит и висит, все равно сортир известный, со всего мира туда срать ходют там справляют нужду.

Но давайте теперь вернемся к нашему герою Джо. С момента оплодотворения яйцеклетки проникновения, вынашивания осваивания территории и летального исхода, могут пройти недели, месяцы и даже годы. Далеко не многие умеют оставаться в тени, лично мне по кайфу сумерки, поэтому хотелось бы понимать, где и когда за мной могут увязаться нежелательные хвосты.

В общем-то я уже около года, как перешел на Y и ни капельки не обламываюсь. Но судя по той информации, которую приходится обрабатывать, темную все равно могут устроить.

[Andrew_Fox]

Думаю в базах Яндекса есть сертификаты перехватчики которые он показывает как правильные.
И все знающие люди понимают почему.

[ZEEGIN]

Что касается этой новой функциональности, я считаю это движение в правильном направлении.

Но я считаю, что Яндекс браузер был хорош тогда, когда только появился и не навязывал свои сервисы, а предоставлял возможность ими пользоваться.

Было бы здорово иметь возможность единожды отказаться от постоянных предложений установки яндекс браузера что на десктопе, что на мобильном телефоне. Каждый раз когда я открываю yandex.ru и у меня на полэкрана баннер с предложением установить, который я уже отклонил вчера, а я его опять вижу — вот честно — пользоваться всеми другими сервисами яндекса пропадает желание. Неужели нельзя сохранять выбор и предлагать установить только когда появилось какое-то действительно серьезное обновление, которые может меня заинтересовать? Ну не надо делать из яндекса mail.ru…

[zeribaveg]

так все-таки, как конкретно вы

наблюдали за реакцией пользователей

по решению с открытым замочком?

а то недавно google заявил, что из хрома уберут функцию «закрыть другие вкладки», т.к по их данным, ей пользуются в 0,64% случаях использования контекстного меню.

откуда у вас у всех такая статистика?

[BarakAdama]

Любой крупный браузер (или сайт, продукт, приложение, операционная система, что угодно) собирает статистику использования фич. Chromium в том числе. Статистика анонимная, но этого достаточно, чтобы оценить реальное, а не предполагаемое использование браузера. Отключается обычно у всех одинаково – в настройках. Но я отключать не рекомендую.

[zeribaveg]

спасибо за ответ, но я по-прежнему буду сомневаться в том, что если в любом продукте отключить все галочки в настройках, никакая статистика и правда не будет передаваться.

опять же, в вашем браузере есть галочка — «отправлять статистику», которую можно отключить? вот скриншот из Chromium, не вижу, чтобы тут что-то подобное было


или вы все-таки принудительно собираете какую-то статистику, которую нельзя отключить?

[BarakAdama]

Так вот же все есть: https://habrastorage.org/web/696/ada/61c/696ada61ce57434cb0b5d39f0c1f82ed.png

[ivan386]

4й пункт

[enabokov]

5.7. Пользователь настоящим уведомлен и соглашается, что при использовании Программы Правообладателю в автоматическом режиме анонимно (без привязки к Пользователю) передается следующая информация: тип операционной системы устройства Пользователя, версия и идентификатор Программы, статистика использования функций Программы, а также иная техническая информация.

Про отключение ни слова.

[BarakAdama]

В соглашениях не пишут про управление, там про возможности. Отключение в настройках.

[enabokov]

5.6. Пользователь может в любой момент отказаться от передачи данных, указанных в п.п. 5.1 – 5.5, отключив соответствующие функции.

Как видно, пункт 5.7 не упомянут в возможности отказа от передачи данных.

[BarakAdama]

Спасибо, проверим. Возможно, тут про сигнал об установке, но надо уточнить.

[slavius]

А если эти сертификатом установлены администратором для использования систем DLP — я.браузер молча под них прогнется?
P.S. Официальной portable версии не предвидится?

[BarakAdama]

Браузер не видит, кто и зачем поставил сертификат. Поэтому должен показать предупреждение.

[l0rda]

Мне хочется, чтобы браузер не думал за меня и не лазил за меня по сайтам, но с каждым днем все хуже и хуже. Firefox постоянно лезет в мозиллу, я.браузер постоянно лезет в яндекс зачем-то, на кучу разных доменов. Сафари вот ещё не сильно стучит, зато сама макось постоянно лезет в эппл.