Популярные браузеры, такие как Edge от Microsoft, Safari от Apple и Chrome от Google, могут перестать открывать сайты, подписанные российскими сертификатами безопасности. О наличии у их разработчиков возможности отозвать этот сертификат «Известиям» рассказал источник в одной из IT-компаний.
Сертификат сайта — это его цифровая подпись, которая подтверждает подлинность ресурса. С помощью сертификата шифруются данные, перед тем как установить защищенное соединение, браузер запрашивает у сайта этот документ. Если сертификата нет или он некорректен, браузер просто не откроет страницу, объяснил источник «Известий».
Проблема с сертификатами началась на фоне санкционной кампании. До этого российские сайты использовали сертификаты, выданные иностранными удостоверяющими центрами. Но в начале марта эти центры отозвали «цифровые подписи» у банков и многих других ресурсов, как подсанкционных, так и нет.
В конце сентября у многих пользователей перестал загружаться сайт Сбербанка, так как у него не был продлен международный сертификат безопасности, выданный до санкций, напомнил собеседник «Известий». Кредитная организация рекомендовала клиентам установить сертификаты самостоятельно или воспользоваться «Яндекс.Браузером».
Ответом России на санкции стала выдача собственных сертификатов — с марта этим занимается Национальный удостоверяющий центр. В то же время есть и опасения, что, когда сайтов и пользователей отечественных сертификатов станет больше, западные разработчики могут перестать им «доверять» и заблокировать такие сертификаты на уровне собственных браузеров, сказал источник «Известий» в IT-компании. Предлогом для этого может стать то, что такие подписи не обеспечивают безопасность соединения и могут перехватывать трафик пользователей, утверждает он.
Такие примеры за пределами России уже были, указал собеседник «Известий». В Казахстане в 2019 году жителей обязали установить национальные сертификаты безопасности на устройства, напомнил он. После этого Google, Mozilla и Apple внесли национальный сертификат в список отозванных — и через два месяца его внедрение в Казахстане прекратилось.
— Такая техническая возможность имеется, как мы уже видели на примере Казахстана, однако тут следует учитывать, что сейчас существует множество браузеров. И помимо всем нам известных Chrome, Safari, Edge и Firefox, есть еще и «Яндекс.Браузер», Brave, Vivaldi, Opera и другие. Поэтому в случае блокировки в одних браузерах всегда есть альтернатива, — отметил начальник отдела аудита информационной безопасности компании T.Hunter Владимир Макаров.
Сертификаты безопасности выданы на более чем 7 тыс. доменных адресов, сообщили «Известиям» в пресс-службе Минцифры. Для сохранения работоспособности российских сайтов в ведомстве рекомендуют использовать браузеры, которые поддерживают работу российских сертификатов, «Яндекс.Браузер» или «Атом», — это наиболее простой и доступный способ обеспечить доступ ко всем важным ресурсам, онлайн-сервисам и интернет-банкингу, отметили в ведомстве.
«Известия» направили запросы в Google, Apple и Microsoft, а также в Национальный удостоверяющий центр.
Отзыв разработчиками любых сертификатов, в том числе национальных, вполне возможен, согласен руководитель проекта Content-Review Сергей Половников. Поскольку западные IT-компании действуют по указке американской администрации, такой шаг — вопрос времени, считает он. Специалист согласен с позицией чиновников, что избежать рисков, связанных с сертификатами, позволит использование российских браузеров. В них отечественные сертификаты безопасности встроены по умолчанию.
— Может быть, кому-то некомфортно и непривычно ими пользоваться, но в сложившейся ситуации ими не стоит пренебрегать, по крайней мере, для совершения чувствительных операций: захода на сайты банков, покупок, получения госуслуг. Сложно представить себе ситуацию, в которой они бы отказались открывать критически важные страницы или начали бы передавать данные пользователей в недружественные страны, — рассуждает Сергей Половников.
Зарубежные браузеры не доверяют отечественным сертификатам, если они вручную не установлены пользователем на операционную систему и также вручную не прописано доверие им, отметил вице-президент и директор по информационной безопасности VK Алексей Волков. По его словам, отозвать доверие таким сертификатам возможно на уровне кода браузера — он перестанет доверять установленному вручную сертификату, хотя и будет видеть его в списке доверенных. Разработчик операционной системы может отозвать доверие и на уровне самой системы, предупредил он.
— Технически такая возможность есть. Мы видели похожую ситуацию, когда у российских компаний в феврале отзывали сертификаты, — подтвердил эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев.
Если продолжить работать в браузере, который предупреждает, что сертификат недоверенный, то соединение будет незащищенным и вероятен перехват данных, например, в общественных Wi-Fi-сетях, предупредил специалист.
Впрочем, как уточнил директор центра противодействия кибератакам «РТК-Солар» Владимир Дроков, полностью заблокировать сайт на базе сертификата в популярных браузерах пока невозможно.
— В самом неприятном для пользователя случае сайт будет показан как вредоносный и нежелательный, но будет возможность добавить его в исключения и продолжить работу с ним. Проведение переработки браузеров специально для России маловероятно, — полагает он.
В «Яндексе» отметили, что для компании важно, чтобы у пользователей сохранялся защищенный доступ к онлайн-сервисам, интернет-банкингу и другим сайтам, поэтому в марте «Яндекс.Браузер» поддержал работу национальных сертификатов.
— Мы уверены в безопасности этого решения, так как браузер проверяет все сайты и выпущенные на них сертификаты безопасности по международному стандарту Certificate Transparency, — сказали в компании.
Информация о любом сертификате должна быть записана как минимум в двух публичных хранилищах, и браузер проверяет это при загрузке сайта — если записей нет, сайт не откроется, объяснили в компании принцип работы системы безопасности.
Санкции предполагают усложнение жизни россиян, но для зарубежных разработчиков браузеров и иного софта это, по сути, выстрел в ногу, считает Сергей Половников. Ведь западные IT-гиганты могут потерять в РФ аудиторию примерно в 150 млн пользователей, а это много, отметил он. При этом подавляющее большинство людей, которые были вынуждены переходить на отечественные продукты, вряд ли вернутся к импортным решениям, когда геополитическая и экономическая ситуация стабилизируется, — как показывает опыт, пользователи крайне неохотно отказываются от софта, к которому привыкли, заключил эксперт.
Валерий Кодачигов