Forwarded from НеКасперский
Сертификаты всем
В удостоверяющем центре
Исследователь показал, как можно получить сертификат для домена через простую манипуляцию с DNS-записями. В основе лежит баг в системе проверки домена при подтверждении через DNS TXT. Во время валидации метод ошибочно маркировал домен из email-адреса как проверенный, даже если запрашивался совсем другой домен.
Это открывало возможность получать сертификаты для популярных email-сервисов, например
Ещё раз, вы могли получить ЛЮБОЙ корневой сертификат просто потому что ваш email с верифицированным доменом и не важно каким. Хоть
НеКасперский
В удостоверяющем центре
SSL.com найдена уязвимость, позволявшая получить сертификаты для чужих доменов через обычный доступ к email.Исследователь показал, как можно получить сертификат для домена через простую манипуляцию с DNS-записями. В основе лежит баг в системе проверки домена при подтверждении через DNS TXT. Во время валидации метод ошибочно маркировал домен из email-адреса как проверенный, даже если запрашивался совсем другой домен.
Это открывало возможность получать сертификаты для популярных email-сервисов, например
gmail.com, или целенаправленно атаковать корпоративные домены через компрометацию почты сотрудников.Ещё раз, вы могли получить ЛЮБОЙ корневой сертификат просто потому что ваш email с верифицированным доменом и не важно каким. Хоть
@mail.ru, хоть @gmail.com, сертификат ваш.SSL.com отключил проблемный метод проверки и отозвал 11 выданных сертификатов. Полный отчет о расследовании обещают выкатить до 2 мая.НеКасперский
Криптоплагины и расширения браузеров: что важно знать 🔐
Чтобы работать с электронной подписью в веб-интерфейсе, нужны:
🔹 Криптопровайдер
🔹 Криптоплагин
🔹 Расширение браузера
🔹 Драйвер токена (опционально - для токенов с криптографией на борту)
Первые три пункта обязательны — без любого из них система не пройдёт проверку.
В чём проблема с новыми версиями?
В последние дни многие сталкиваются с ошибками в ЛК ФНС и ГИС при использовании cadesplugin 2.0.15400.0.
Но проблема не в самом плагине! Дело в расширении браузера.
📌 КриптоПро CSP 5.0.13455 ставит плагин 2.0.15400 с расширением под manifest v3, который пока не поддерживается многими системами (страница проверки manifest 3 поддерживает, поэтому тест проходит).
Как исправить?
✅ Установите расширение для manifest v2 вручную и включите его в настройках браузера.
⚠ Важно: Не ставьте свежие, но несертифицированные сборки КриптоПро CSP без необходимости — это может привести к невозможности работы с вашими сервисами.
Если у вас были похожие проблемы — пишите в комментариях! 👇
📱 Об ЭП и УЦ
Чтобы работать с электронной подписью в веб-интерфейсе, нужны:
🔹 Криптопровайдер
🔹 Криптоплагин
🔹 Расширение браузера
🔹 Драйвер токена (опционально - для токенов с криптографией на борту)
Первые три пункта обязательны — без любого из них система не пройдёт проверку.
В чём проблема с новыми версиями?
В последние дни многие сталкиваются с ошибками в ЛК ФНС и ГИС при использовании cadesplugin 2.0.15400.0.
Но проблема не в самом плагине! Дело в расширении браузера.
📌 КриптоПро CSP 5.0.13455 ставит плагин 2.0.15400 с расширением под manifest v3, который пока не поддерживается многими системами (страница проверки manifest 3 поддерживает, поэтому тест проходит).
Как исправить?
✅ Установите расширение для manifest v2 вручную и включите его в настройках браузера.
⚠ Важно: Не ставьте свежие, но несертифицированные сборки КриптоПро CSP без необходимости — это может привести к невозможности работы с вашими сервисами.
Если у вас были похожие проблемы — пишите в комментариях! 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
УЦ ФНС России сообщает о возможности получения квалифицированных сертификатов юридических лиц и индивидуальных предпринимателей с использованием мобильного приложения «Госключ».
ВАЖНО! Получение указанных квалифицированных сертификатов производится при личном присутствии в месте выдачи УЦ ФНС России, а также при условии использования версии мобильного приложения «Госключ» не ниже 2.3.5.
Please open Telegram to view this post
VIEW IN TELEGRAM
Закон_63_ФЗ_цветная_редакция_от_21_04_2025.pdf
843.8 KB
Полтора года не было актуализации "цветной редакции" - с 457-ФЗ, между ними ещё был 521-ФЗ в конце прошлого года, но он внес лишь редакторские правки.
Сейчас изменений тоже не так много - норма про сертификаты для госорганов вне ЕГРЮЛ, а также устранение прошлых ошибок, которые были допущены 5 и 10 лет назад.
Изменения, внесенные 94-ФЗ, вступают в силу 1 сентября 2025 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
1
Об ЭП и УЦ
🛡Закон о противодействии кибермошенничеству в действии - Госуслуги ограничивают доступ к Госключу на 72 часа при подозрении на действия мошенников При этом вход через ЕСИА на иные сайты работает. Вернуть доступ можно через МФЦ, только до них важно донести…
А может это ложная тревога и многие блокировки являются необоснованными? Никакой аналитики на этот счёт найти не удалось. Поддержка пишет:
Но какие конкретно действия фрод-мониторинга считаются подозрительными?
При подозрительных действиях в вашем личном кабинете на Госуслугах портал ограничивает вход на другие сайты. Доступ будет разблокирован в течение 72 часов.
Но какие конкретно действия фрод-мониторинга считаются подозрительными?
🔐 ВС РФ защитил клиентов банков: кредиты, оформленные мошенниками, признаны ничтожными
Верховный Суд РФ в своём первом обзоре судебной практики 2025 года постановил: кредитные договоры, заключённые без ведома клиента через мобильное приложение банка, не имеют юридической силы .
Суть дела
- Клиентка банка не заключала кредитный договор — от её имени действовали мошенники.
- Деньги были мгновенно переведены на счёт неустановленного лица.
- Нижестоящие суды изначально встали на сторону банка, но Верховный Суд отменил их решения, указав на нарушения. Причём решение Верховного Суда датировано июлем 2023 года, а в обзор судебной практикой оно включено только в апреле 2025 года.
Ключевые выводы ВС РФ
✔️ Кредит требует волеизъявления — если клиент не участвовал в сделке, договор ничтожен .
✔️ Банк обязан доказать, что клиент добровольно согласился на кредит. Если этого нет — сделка незаконна.
✔️ Мошеннические действия (взлом аккаунта, переадресация SMS) аннулируют договор .
Далее уже по классике - тот же суд первой инстанции, тот же судья, но решение уже противоположное.
Верховный Суд РФ в своём первом обзоре судебной практики 2025 года постановил: кредитные договоры, заключённые без ведома клиента через мобильное приложение банка, не имеют юридической силы .
Суть дела
- Клиентка банка не заключала кредитный договор — от её имени действовали мошенники.
Кредитный договор подписан простой электронной подписью заемщика по коду №
- Деньги были мгновенно переведены на счёт неустановленного лица.
- Нижестоящие суды изначально встали на сторону банка, но Верховный Суд отменил их решения, указав на нарушения. Причём решение Верховного Суда датировано июлем 2023 года, а в обзор судебной практикой оно включено только в апреле 2025 года.
Ключевые выводы ВС РФ
✔️ Кредит требует волеизъявления — если клиент не участвовал в сделке, договор ничтожен .
✔️ Банк обязан доказать, что клиент добровольно согласился на кредит. Если этого нет — сделка незаконна.
✔️ Мошеннические действия (взлом аккаунта, переадресация SMS) аннулируют договор .
Далее уже по классике - тот же суд первой инстанции, тот же судья, но решение уже противоположное.
Соглашение о порядке признания электронной подписи при взаимодействии России и Беларуси
21 марта 2025 г. в ходе визита в Российскую Федерацию нового Министра связи и информатизации Кирилла Залесского состоялась рабочая встреча с Министром цифрового развития, связи и массовых коммуникаций Российской Федерации Максутом Шадаевым.
Как сообщает сайт Минцифры:
Сам план не приводится, им любезно делится канал "ЭДО для бизнеса"👍, представляем упрощенную вариацию данного плана, которая полностью написана нейросетью.
Изменения следующие:
🔹Объединены схожие пункты (например, согласование порядков взаимодействия).
🔹Удалены дублирующие подпункты (7.3, 9.1–9.2).
🔹Сроки и ответственные сохранены.
🔹Упрощены формулировки при сохранении сути.
Соглашение между Правительством Российской Федерации и Правительством Республики Беларусь о порядке признания электронной подписи, подписанное более года назад - 15.04.2024, заработает не скоро...
21 марта 2025 г. в ходе визита в Российскую Федерацию нового Министра связи и информатизации Кирилла Залесского состоялась рабочая встреча с Министром цифрового развития, связи и массовых коммуникаций Российской Федерации Максутом Шадаевым.
Как сообщает сайт Минцифры:
Стороны отметили положительные изменения в реализации задач, связанных со взаимным признанием электронной цифровой подписи (ЭЦП). Они утвердили План мероприятий, который позволит белорусским поставщикам участвовать в закупках и торгах на территории России с использованием ЭЦП.
Сам план не приводится, им любезно делится канал "ЭДО для бизнеса"👍, представляем упрощенную вариацию данного плана, которая полностью написана нейросетью.
Изменения следующие:
🔹Объединены схожие пункты (например, согласование порядков взаимодействия).
🔹Удалены дублирующие подпункты (7.3, 9.1–9.2).
🔹Сроки и ответственные сохранены.
🔹Упрощены формулировки при сохранении сути.
Соглашение между Правительством Российской Федерации и Правительством Республики Беларусь о порядке признания электронной подписи, подписанное более года назад - 15.04.2024, заработает не скоро...
Об ЭП и УЦ
О результатах работы Национального технологического центра цифровой криптографии в 2023 году сообщает Минцифры Наиболее значимые результаты работы НТЦ ЦК за 2023 год: 🔹разработан экспериментальный образец Платформы цифрового доверия для подтверждения персональных…
Информация о результатах работы НТЦ ЦК в 2023 году и планах на 2024 год была размещена 29.12.2023
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Применимость вирусного ПО к продуктам ViPNet - комментарий от ИнфоТеКС https://infotecs.ru/press-center/publications/primenimost-virusnogo-po-k-produktam-vipnet/
Продление сертификата ФСБ России на ViPNet PKI Client
Компания «ИнфоТеКС» сообщила о продлении сертификата ФСБ России на ViPNet PKI Client версии 1.6 для исполнений 1, 2 и 3.
Сертификат действителен до 31 марта 2027 года.
Компания «ИнфоТеКС» сообщила о продлении сертификата ФСБ России на ViPNet PKI Client версии 1.6 для исполнений 1, 2 и 3.
Сертификат действителен до 31 марта 2027 года.
21 век... пользователи цифровых сервисов РЖД не могут получить скан накладной
Подробнее
Закон о железнодорожном транспорте и Устав железных дорог не содержат понятия цифровизации. Внедрение электронного документооборота идет стихийно, без учета требований ГК РФ или Закона об электронной подписи. Кроме того, в судах не принимают электронные версии документов.
Подробнее
logirus.ru
Эксперт: пользователи цифровых сервисов РЖД не могут получить скан накладной
Это ставит под удар судебные иски: без оригинала накладной, подтверждающей факт просрочки, требования отклоняют
Роспотребнадзор и электронная подпись
Ещё один госорган думает, что электронная подпись это нарисованная картинка на документе. Такого же мнения безграмотные журналисты КП:
На самом деле нет, электронная подпись в опубликованных письмах не обнаружена.
Ещё один госорган думает, что электронная подпись это нарисованная картинка на документе. Такого же мнения безграмотные журналисты КП:
Кроме того, следует иметь в виду, что все письма, опубликованные на сайте Роспотребнадзора, подписаны ЭЦП (электронной цифровой подписью). Последнее письмо на сайте опубликовано 12 марта.
На самом деле нет, электронная подпись в опубликованных письмах не обнаружена.