Российские сайты могут пересадить на отечественные сертификаты безопасности

1 марта американская компания NortonLifeLock (более известная под своим прежним названием Symantec Corporation) – крупнейший в мире центр сертификации Thawte, отозвала публичные сертификаты для сайтов ЦБ, ВТБ и Промсвязьбанк. Причина – введение против них санкций. Поскольку отзыв сертификата ведет к тому, что трафик этих сайтов становится незащищенным и возникает возможность его перехвата, кредитным организациям пришлось срочно переходить на другие сертификаты. Теперь они работают на сертификатах частной бельгийской компании GlobalSign.

В сложившейся ситуации в Минцифры решили срочно ускорить подготовку к организации бесплатной выдачи сертификатов российских удостоверяющих центров.

Задача установки государственных сертификатов на российские сайты обсуждалась еще пять лет назад. Однако за это время так и не появилось ни одного Национального удостоверяющего центра (НУЦ), чьи корневые сертификаты вошли бы в список поддержки популярных в мире браузеров.

В настоящее время подавляющее большинство российских граждан пользуются браузерами иностранных компаний (Microsoft Edge, Google Chrome, Mozilla Firefox и другие Функция выбора SSL-сертификата выполняется браузером автоматически. Выбор осуществляется из числа доверенных сертификатов, среди которых нет российских.

На текущий момент поддержка российских сертификатов выглядит бесполезной. Но в Минцифры хотят качественно изменить ситуацию.

Удостоверяющие центры в России и мире

Подавляющее большинство современных сайтов используют защищенное соединение (HTTPS) взамен незащищенного (HTTP), которое было стандартным на заре Интернета. Распознать подключение браузера по защищенному каналу можно по значку закрытого замка в адресной строке.

Еще недавно выбор защищенного соединения был продиктован только желанием разработчика сайта обезопасить его контент. Такое желание возникало, например, при передаче чувствительных персональных данных.

После 8 февраля 2018 года, когда Google ввел обязательным использование SSL-сертификации для Интернет-сайтов, был запущен маховик, и большинство сайтов стали быстро переходить на защищенные соединения. Google повышало тем самым безопасность Интернета, освобождая его от волюнтаризма со стороны разработчиков сайтов. Для ускорения процесса Google стала понижать релевантность сайтов в своей поисковой выдаче, если их подключение не было защищено. При попытках обмена данными с незащищенным сайтом пользователи стали получать уведомление о небезопасности соединений; это также способствовало росту популярности SSL-сертификатов.

Для поддержки защищенных соединений обычно применяются корневые сертификаты УЦ зарубежных компаний: Thawte (Symantec, США), IdenTrust (США), DigiCert (США) GlobalSign (Бельгия), Let`s Encrypt (США) и других.

По данным на сентябрь 2021 года, в России действовало 322 удостоверяющих центра (УЦ). В то же время, в соответствии с новыми требованиями Закона об электронной подписи (№ 63-ФЗ), только 7% из них (24 УЦ) имели соответствующую аккредитацию. «Кроме них, есть также удостоверяющие центры Банка России, Казначейства и ФНС, которые обладают правом выдачи новых квалифицированных сертификатов электронных подписей», - отметил директор правового департамента Минцифры России Роман Кузнецов.

Как сообщает “Ъ”, Минцифры намерена «обязать разработчиков всех браузеров, которые работают в РФ, поддерживать национальные сертификаты». В то же время их поддерживают сейчас только российские браузеры «Яндекс.Браузер» и «Спутник». О готовности поддержать госсертификаты заявили и в VK, разрабатывающем браузер Atom.

Перспективы добавления поддержки российских сертификатов в остальные браузеры выглядит весьма туманной.

TLS-сертификаты

4 марта Минцифры выступила с заявлением, в котором сообщила, что в ближайшее время будут приняты специальные шаги. Они помогут пользователям сохранить безопасный доступ к сайтам.

Министерство планирует выпустить нормативно-правовые акты, которые будут регулировать работу Национального удостоверяющего центра (НУЦ) по бесплатной выдаче российским юридическим лицам TLS-сертификатов.

Протокол TLS основан на протоколе SSL. В то же время SSL-протокол реализован на Application-уровне и работает поверх протоколов TCP. Это позволяет более высокоуровневым протоколам (HTTP, E-mail) работать без внесения каких-либо дополнительных изменений для защиты трафика.

Происхождение протоколов TLS связано напрямую с SSL. После того, как протокол SSL был стандартизирован сообществом IETF, его переименовали в TLS и отнесли к Session-уровню. Теперь на него возлагают функции предоставления трёх услуг: шифрование, аутентификацию и контроль целостности. Хотя SSL и TLS взаимозаменяемы, они всё-таки отличаются между собой.

Хотя протоколы SSL и TLS взаимозаменяемы, они всё-таки отличаются между собой. Источник: Habr

Получить TLS-сертификат можно будет на портале Госуслуг в дистанционном режиме. Все браузеры и операционные системы должны будут поддержать работу TLS-сертификатов на сайтах, которые их получат.

В Минцифры отметили, как сообщает “Ъ”, что обязанность использования такой формы защиты сайтов будет прописана законодательно, но «меры воздействия за несоблюдение требования пока не рассматриваются». В то же время в министерстве заявили, что все браузеры и операционные системы (ОС) «должны будут поддержать работу» государственных российских сертификатов.