Недоверенные корневые сертификаты от налоговой (ФНС России) в вашей системе
Содержание

Чтобы отправить декларацию от доходах 3-НДФЛ в ФНС, можно получить ключ неквалифицированной электронной подписи и его сертификат, сформированные онлайн и отправить декларацию через личные кабинет налогоплательщика.

Если решите хранить ключ у себя на компьютере, то ФНС предложит установить «средства электронной подписи, которые установят в систему свои корневые сертификаты с неограниченными правами использования. А это означает, что ваша машина будет доверять любыми сертификатам, выпущенными удостоверяющим центром (УЦ), указанном в корневом сертификате.

Проверить установленные недоверенные сертификаты можно с помощью утилиты RCC (https://www.trustprobe.com/fs1/apps.html). Утилита запускается в юзер-спейсе без запроса админских прав и только читает сертификаты.

До установки средств электронной подписи

После установки средств электронной подписи появляется аж четыре корневых УЦ

А самое классное - то, что если удалить установленный сам Registration Agent и VipNet`овский софт, то 2 сертификата УЦ ФНС никуда не денутся, а на всякий случай останутся в системе:

После удаления

Поэтому их придётся удалить вручную через оснастку certmgr.msc

Итог

В теории это означает, что УЦ может выпустить сертификат на любое доменное имя, а ваш комьютер в случае MITM будет доверять этому сертификату, а весь ваше трафик будет слушаться.

На практике это скорее реально, если ФСБ начнёт устанавливать свои сертификаты, а провайдеры перенаправлять трафик, но в случае с ФСН не лишним будет иметь в виду о таких изменениях у себя в системе.