Российским сайтам меняют замок
Власти обяжут браузеры перейти на национальные сертификаты шифрования
Минцифры на фоне ухода западных удостоверяющих центров (УЦ) от российских клиентов готовится организовать бесплатную выдачу российских сертификатов для сайтов. Это позволит тому, в чьем распоряжении окажется закрытый ключ, расшифровывать часть трафика, хранящегося по «закону Яровой», предупреждают эксперты. Министерство хочет обязать всех разработчиков браузеров, которые работают в РФ, поддерживать национальные сертификаты. «Яндекс» и VK уже объявили о намерении добавить их в свои продукты.
Минцифры 4 марта сообщило, что готовит нормативно-правовые акты, позволяющие российским юридическим лицам получать TLS-сертификаты (transport layer security — протокол защиты транспортного уровня), использующиеся для создания зашифрованного соединения между сайтом и его пользователями. Выпускать сертификаты будет Национальный удостоверяющий центр (НУЦ), получать их можно бесплатно через «Госуслуги». Министерство отмечает, что все браузеры и операционные системы (ОС) «должны будут поддержать работу» госсертификатов. В Минцифры “Ъ” подтвердили, что планируют прописать такую обязанность законодательно: «Меры воздействия за несоблюдение требования пока не рассматриваются».
Защищенное соединение (HTTPS) используется вместо незащищенного на большинстве современных сайтов, в браузерах его можно узнать по иконке закрытого замка в адресной строке. Поисковики в своей выдаче опускают ниже сайты, подключение к которым не защищено. Для поддержки защищенных соединений ОС и браузеры используют заранее установленные корневые сертификаты удостоверяющих центров (УЦ), преимущественно зарубежные: южноафриканского Thawte (принадлежит американской Symantec), бельгийского GlobalSign, американского Let`s Encrypt и других.
Власти обсуждали идею установки государственных сертификатов на российские сайты на случай конфликта с иностранными партнерами еще пять лет назад. С тех пор в стране не появилось УЦ, чьи корневые сертификаты входили бы в состав популярного в мире интернет-ПО. На государственных сайтах сейчас также установлены иностранные сертификаты. Thawte 1 марта отозвал сертификаты для сайтов ЦБ и Промсвязьбанка, подпавших под ограничения. Они перешли на сертификаты GlobalSign.
Отзыв сертификата приводит к тому, что любой узел в соединении, от роутера до провайдера, может увидеть проходящий через него трафик.
«Если это сайт-визитка — нет большой беды. Но современные сайты почти всегда обмениваются техническими данными, телеметрией — все это тоже должно быть конфиденциально»,— объясняет руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев.
Закрытый ключ УЦ может использоваться, чтобы расшифровывать трафик между пользователями и сайтами, установившими сертификат от этого сервиса, предупреждает эксперт по безопасности Алексей Лукацкий. Зашифрованный трафик уже хранится у операторов по требованию «закона Яровой». «Нельзя гарантировать, что через какое-то время не появится нормативно-правовой акт, который потребует использования в домене .ru сайтов только с гостовым сертификатом»,— считает господин Лукацкий.
Зарубежные разработчики браузеров — Microsoft, Apple, Google и Mozilla — уже отзывали доверие различных сертификатов из-за нарушения норм безопасности. В 2017 году они объявили сертификаты китайских WoSign и StartCom недоверенными из-за их выпуска задним числом и с идентичными серийными номерами. В 2019 и 2020 годах они заблокировали корневой «сертификат безопасности» из Казахстана: власти страны пытались убедить браузеры установить его под угрозой проблем с доступом к интернету. Microsoft отказалась от комментариев, представители остальных упомянутых компаний не ответили на запросы “Ъ”.
«Яндекс» добавит поддержку сертификатов безопасности от НУЦ в свой браузер. «Мы надеемся, что в будущем все игроки индустрии поддержат создание альянса для аттестации процесса выдачи сертификатов местными удостоверяющими центрами»,— сообщили “Ъ” в пресс-службе компании. О готовности поддержать госсертификаты заявили и в VK, разрабатывающем браузер Atom. “Ъ” направил запрос ООО «СпутникЛаб» (браузер «Спутник»).
Одно из преимуществ создания отечественных браузеров — возможность добавить туда корневой сертификат УЦ на свое усмотрение и начать выпускать пользовательские сертификаты, работа которых не будет зависеть от иностранных компаний. «Но защита будет работать только при использовании этого браузера. Если попробовать зайти на сайт с сертификатом такого центра из другого браузера, он выдаст сообщение о небезопасном соединении»,— сказал “Ъ” источник в телекоммуникационной отрасли.