Минцифры на фоне ухода западных удостоверяющих центров (УЦ) от российских клиентов готовится организовать бесплатную выдачу российских сертификатов для сайтов. Это позволит тому, в чьем распоряжении окажется закрытый ключ, расшифровывать часть трафика, хранящегося по «закону Яровой», предупреждают эксперты. Министерство хочет обязать всех разработчиков браузеров, которые работают в РФ, поддерживать национальные сертификаты. «Яндекс» и VK уже объявили о намерении добавить их в свои продукты.
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
Минцифры 4 марта сообщило, что готовит нормативно-правовые акты, позволяющие российским юридическим лицам получать TLS-сертификаты (transport layer security — протокол защиты транспортного уровня), использующиеся для создания зашифрованного соединения между сайтом и его пользователями. Выпускать сертификаты будет Национальный удостоверяющий центр (НУЦ), получать их можно бесплатно через «Госуслуги». Министерство отмечает, что все браузеры и операционные системы (ОС) «должны будут поддержать работу» госсертификатов. В Минцифры “Ъ” подтвердили, что планируют прописать такую обязанность законодательно: «Меры воздействия за несоблюдение требования пока не рассматриваются».
Защищенное соединение (HTTPS) используется вместо незащищенного на большинстве современных сайтов, в браузерах его можно узнать по иконке закрытого замка в адресной строке. Поисковики в своей выдаче опускают ниже сайты, подключение к которым не защищено. Для поддержки защищенных соединений ОС и браузеры используют заранее установленные корневые сертификаты удостоверяющих центров (УЦ), преимущественно зарубежные: южноафриканского Thawte (принадлежит американской Symantec), бельгийского GlobalSign, американского Let`s Encrypt и других.
Власти обсуждали идею установки государственных сертификатов на российские сайты на случай конфликта с иностранными партнерами еще пять лет назад. С тех пор в стране не появилось УЦ, чьи корневые сертификаты входили бы в состав популярного в мире интернет-ПО. На государственных сайтах сейчас также установлены иностранные сертификаты. Thawte 1 марта отозвал сертификаты для сайтов ЦБ и Промсвязьбанка, подпавших под ограничения. Они перешли на сертификаты GlobalSign.
Отзыв сертификата приводит к тому, что любой узел в соединении, от роутера до провайдера, может увидеть проходящий через него трафик.
«Если это сайт-визитка — нет большой беды. Но современные сайты почти всегда обмениваются техническими данными, телеметрией — все это тоже должно быть конфиденциально»,— объясняет руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев.
Закрытый ключ УЦ может использоваться, чтобы расшифровывать трафик между пользователями и сайтами, установившими сертификат от этого сервиса, предупреждает эксперт по безопасности Алексей Лукацкий. Зашифрованный трафик уже хранится у операторов по требованию «закона Яровой». «Нельзя гарантировать, что через какое-то время не появится нормативно-правовой акт, который потребует использования в домене .ru сайтов только с гостовым сертификатом»,— считает господин Лукацкий.
Зарубежные разработчики браузеров — Microsoft, Apple, Google и Mozilla — уже отзывали доверие различных сертификатов из-за нарушения норм безопасности. В 2017 году они объявили сертификаты китайских WoSign и StartCom недоверенными из-за их выпуска задним числом и с идентичными серийными номерами. В 2019 и 2020 годах они заблокировали корневой «сертификат безопасности» из Казахстана: власти страны пытались убедить браузеры установить его под угрозой проблем с доступом к интернету. Microsoft отказалась от комментариев, представители остальных упомянутых компаний не ответили на запросы “Ъ”.
«Яндекс» добавит поддержку сертификатов безопасности от НУЦ в свой браузер. «Мы надеемся, что в будущем все игроки индустрии поддержат создание альянса для аттестации процесса выдачи сертификатов местными удостоверяющими центрами»,— сообщили “Ъ” в пресс-службе компании. О готовности поддержать госсертификаты заявили и в VK, разрабатывающем браузер Atom. “Ъ” направил запрос ООО «СпутникЛаб» (браузер «Спутник»).
Одно из преимуществ создания отечественных браузеров — возможность добавить туда корневой сертификат УЦ на свое усмотрение и начать выпускать пользовательские сертификаты, работа которых не будет зависеть от иностранных компаний. «Но защита будет работать только при использовании этого браузера. Если попробовать зайти на сайт с сертификатом такого центра из другого браузера, он выдаст сообщение о небезопасном соединении»,— сказал “Ъ” источник в телекоммуникационной отрасли.