пробовал порты 80,81,443,444 и разные ip адреса рф и других стран
дамп sber.pcapng (5,1 КБ)

reproduce:

curl -v http://sberbank.ru --connect-to ::1.1.1.1
curl -v https://sberbank.ru --connect-to ::1.1.1.1

curl зависает после отправки запроса

на реальный ip адрес sberbank.ru блока нет

На ТСПУ сети банка в белом списке, там любые SNI-блокировки не действуют.
Но это могут быть операторские блокировки.

блока нет но чебурнет SSL это круто ?

C:\GitHub>curl -v https://sberbank.ru

• Host sberbank.ru:443 was resolved.
• IPv6: (none)
• IPv4: 194.54.14.168
• Trying 194.54.14.168:443…
• Connected to sberbank.ru (194.54.14.168) port 443
• ALPN: curl offers h2,http/1.1
• TLSv1.3 (OUT), TLS handshake, Client hello (1):
• CAfile: C:\ProgramData\chocolatey\lib\curl\tools\curl-8.7.1_1-win64-mingw\bin\curl-ca-bundle.crt
• CApath: none
• TLSv1.3 (IN), TLS handshake, Server hello (2):
• TLSv1.2 (IN), TLS handshake, Certificate (11):
• TLSv1.2 (OUT), TLS alert, unknown CA (560):
• SSL certificate problem: self signed certificate in certificate chain
• Closing connection
• TLSv1.2 (IN), TLS handshake, Certificate (11):
• TLSv1.2 (OUT), TLS alert, unknown CA (560):
  curl: (60) SSL certificate problem: self signed certificate in certificate chain
  More details here: curl - SSL CA Certificates

Через мои каналы не подтверждается.

Российские банки из-за санкций работают через сертификаты, выданные Russian Trusted Sub CA. Их можно скачать с сайта Госуслуг. Или поставить Яндекс-Браузер, в него они вшиты.

Да, это дыра в безопасности, ибо никто точно не знает, кто отвечает за выдачу этих сертификатов и что ими в следующий раз подпишут и не будут ли их использовать для MITM. Разумно будет подключать эти сертификаты не на глобальном уровне, а к «песочнице», из которой ходить только на сайты банков («Сбербанк», «ВТБ» и т. п.) и больше никуда.

еще 2 симки с разными тарифами проверил - блок есть. Без денег на балансе http запрос проходит и возвращает 302 со ссылкой на пополнение баланса, врядли это что-то значит конечно

тоже самое и с альфа банком. походу у блока никакой связи с цензурой, а просто для доступа к банку при нулевом балансе

DNS от мегафна используйте, это избитая тема, госуслуги на публичных dns зачастую вообще не работают на нем. DoH/DoT выключите вообще. Прикол самого опсоса конкретно этого

вы смысла поста не поняли вообще, никакой связи с днс тут нет

Может тестят “защиту критической инфраструктуры” ?
Разрешено только к родным AS обращение с такими SNI.
А то вдруг шпейоны возьмут вражеский CA, устроят подставной сбербанк, а DNS поправят на дефолтных DoH из броузеров.
Мы все ругаемся на сертификаты минцифры (справедливо), но задумываемся ли мы, какую угрозу несут сервисы корпораций и CA по всему миру и в чьих они руках ?

Больше похоже на защиту мегафона от “фринета”, когда при нулевом балансе пользуешься интернетом бесплатно за счет липовых sni.

Это серебряная пуля которую можно использовать только один раз. Доверие СА будет потеряно навсегда. Вряд ли такое потратят на ср-й сбербанк

Если аккуратно и таргетированно, то могут и не заметить. Или не сразу заметить.
А если и заметят, то выступят с пресс релизом. Мы в состоянии войны, под угрозой существование нашей цивилизации и ваши сытые животы. Не сумеем забороть врагов так - пойдете на мясо на фронт.
Градус маразма в мире растет, и что вчера было немыслимым, становится явью.

больше напоминает какую то третьесортную теорию заговора, чем реально возможные действия)

Причем об этом явно знает и сам Сбербанк, поэтому покрывает “отечественным” сертификатом только свой сайт-визитку https://www.sberbank.ru/
Сайт для непосредственного управления финансовыми активами своих пользователей, т.е. СбербанкОнлайн https://online.sberbank.ru/ , продолжает невозбранно юзать сертификат “недружественный”. Более того, как минимум дважды с момента начала суровой борьбы с капиталистической экспансией он его продлял в связи с истечением срока годности, вместо того, чтобы начать использовать тёплый и ламповый от МинЦифры

Подозреваю, что дело совсем не в доверии или недоверии сертификатам.
А в непробиваемости некоторых юзеров.
Я сам знаю людей, для которых любые телодвижения в области компов и IT подобно кошмару и вызывает лютое сопротивление. И это все клиенты, покой которых лучше не трогать без крайней нужды, иначе будет визг.
Сюда же можем добавить различные закрытые платформы типа ios, в которых в один прекрасный день может быть заблокирован яндекс броузер. И делайте джейлбрейк, дорогие бабушки и дедушки. Или добавляйте сертификат ручками (если и это не прикроют через всякие CRL)

Знаете, ради чего придумали CRL? Были реальные случаи, когда CA липовым фирмам выдавали сертификаты на имя Microsoft (для подписи приложений и драйверов). Причём CA VeriSign после этого неприятного инцидента не ликвидировали, он по-прежнему в списке доверенных.

Писали, что Сбер заблокировал Firefox как небезопасный, по причине неконтролируемого хранилища. Системное хранилище сертификатов большинства пользователей, вероятно, уже содержит корневой от Минцифры. Предустановка и инвазивные продукты от яндекса и мылру сделали свое дело. На десктопе, как минимум.

Пользуюсь сбер онлайном с фокса без минцифры. Работает

Вы говорите про инцидент 2020 года? Там совсем другое. Спор был о том считать ли ПО подписанным после того как корневой сертификат истек или отозван, но был действителен на момент подписи.

Проблема в том, что у людей нет никакого доверия ко всему государственному. Нет такой низости, которую бы они не решились если могут. Когда-то и блокировки вводили исключительно для защиты детей. Я еще искренне удивлялся: зачем на моем смартфоне что-то блокировать ведь я не же ребенок? Сейчас мы наблюдаем блокировки всего что шевелится. В том числе скрытые. Когда принимали закон о ВПН обещали “высокоточными ударами” ликвидировать сервисы не подключенные к реестру. Закончилось уже ковровыми блокировками по протоколам. Принимая закон об иноагентах разъясняли, что никакого поражения в правах не будет, просто ставьте информационную плашечку. Теперь запрет на профессии, активное избирательное право, даже счет в банке открыть проблема.

Нет никаких сомнений, что внедрение государственного СА неминуемо через 3-5 лет приведет к массовому MITM “для вашей безопасности”. Скорее всего, эта затея только ради этого, потому что как мы видим на примере СБ особых проблем с перевыпуском сертификатов сейчас нет и не предвидится.

Согласен. Но сертификаты для юзеров имеют не большее значение, чем слово “гравицапа”. Они не понимают что это, зачем это, а если и понимают, то только то, что им в самых расплытых формулировках обьяснит государство. Они уловят только фразу “это нужно для (вашей) безопасности”. Но как это работает и чем грозит они могут услышать разве что от умного соседа Васи или программиста Феди или еще где-то прочитать в инете. И то могут списать на теорию заговора, которая будет когда-то потом. Ведь скрывать нормальным людям нечего, да ? А сейчас не работает сбер, и надо надавить вот на ту штучку, чтобы он стал работать.
Да, давить неприятно, вызывает лютый головняк. сложннннааааааааааааааааа
но что же не сделаешь ради сбера. на крайняк поможет умный Вася, который нехотя за него надавит на штучку. Ведь без сбера никак

Недавно на хабре была статья Мы шутили над «опытными пользователями ПК», а ведь они вымирают / Хабр

Я вообще вспомнил инцидент 2001-го года. Т. е. более двадцати лет назад стало ясно, что CA могут ошибаться.

Ну это уже археология. Ущерба нет, злого умысла не выявлено. Verisign ошибочно выдал сертификаты лицу, которое обманным путем заявило, что является сотрудником Microsoft. Технология еще отрабатывалась много смешного случалось. Помню то ли IE5.5 то ли IE6 распространял действие сертификата на сам сайт и все его поддомены игнорируя спецификацию. Даже в 2015 году при обсуждении особенностей работы по HTTPS читался скрытый вопрос: зачем вам это нужно?