28 февраля и 1 марта, как сообщил ряд изданий, российские пользователи ряда кредитных организаций заметили нарушения в работе их онлайн-представительств. Как показали проведенные исследования, у некоторых российских банков были отозваны SSL-сертификаты.
Сообщалось, что сайты ЦБ РФ и Промсвязьбанк (ПСБ) не открывались по протоколу HTTPS. Аналогичная проблема наблюдалась у сайта ВТБ. Издания сообщали, что у сайтов этих организаций были отозваны сертификаты безопасности, выданные американскими удостоверяющими центрами. Напрашивалась связь произошедшего с тем, что названные организации попали под западные санкции после начала вооруженного конфликта между Россией и Украиной, который перешел в горячую фазу 24 февраля. Издание сделало вывод, что нарушена безопасность доступа к сайтам некоторых российских банков.
Вместе с этой информацией упоминалось, что компания Namecheap, бюджетный регистратор доменных имен из Аризоны (США), оповестил 28 февраля, что прекращает обслуживание пользователей из России. Поскольку Namecheap предоставляет также услуги хостинга, то всем российским владельцам доменов верхнего уровня было дано указание перейти до 6 марта к другим провайдерам.
Как оказалось, эта трактовка происходящего была ошибочной.
Описание SSL-сертификата для Центробанка РФ
В ответ на такие публикации портал Digital Russia сообщил уже как о подтвержденном факте, что для ряда банков произошло просто прекращение действия SSL-сертификатов, необходимых для подтверждения подлинности их веб-сайтов. Издание провело исследование угроз в случае отзыва SSL-сертификатов, опросив эксперта по информационной безопасности Дмитрия Склярова, сотрудника компании Positive Technologies.
Как выяснилось, лишение банка SSL-сертификата создает для него проблемы прежде всего в отношении поддержки приема платежей. Автоматически оказываются затронутыми банки, интернет-магазины, онлайновые службы, например, для бронирования билетов на транспорт и пр., если операции совершаются через небезопасный сайт банка. Эксперт отметил, что возникающие проблемы преодолимы, но они носят серьезный характер.
Первая трудность для поддержки SSL
Первая трудность в организации поддержки SSL выражается в том, что признанные в мире удостоверяющие центры, которые выдают SSL-сертификаты, немногочисленны и находятся за пределами России. В качестве альтернативного решения эксперт назвал возможность создания российского глобального удостоверяющего центра, но назвал это решение теоретическим, потому что операция стоит около 0,5 млн долларов, занимает около полугода на согласование. Но главное – эта операция может быть проведена по строго регламентированной процедуре.
Детали процедуры не были рассмотрены экспертов, хотя там можно ожидать присутствие положений, которые могут противоречить требованиям российских регуляторов. Приход к единой позиции может затянуться на годы, если вообще возможен - речь идет о национальной безопасности..
Эксперт также отметил, что нет и смысла в создании подобного рода национального центра сертификации, потому что понизить безопасность сайта можно просто отказом в приеме SSL-сертификата российского происхождения.
Вторая трудность для поддержки SSL
Но есть и вторая часть проблемы. Она заключается в том, что функция проверки SSL-сертификатов для адресуемых сайтов возлагается на браузер или на внутренний инструментарий Android/iOS. Возникает коллизия: все популярные браузеры (Google Chrome, Microsoft Edge и другие браузеры западного производства) не поддерживают российские криптоалгоритмы и отечественные SSL-сертификаты. Зато, как сообщает эксперт, их поддержка имеется в «Яндекс.Браузере» и «Спутнике». Но эти российские программы не пользуются особой популярностью у граждан.
Хотя в России уже есть национальные удостоверяющие центры, обеспечивающие SSL-сертификацию для внутреннего употребления, на практике они не используются только для поддержки очень ограниченного числа сайтов.
По мнению эксперта Positive Technologies, отзыв западных SSL-сертификатов у российских компаний с онлайн-представительством выглядит скорей как неприятность, чем проблема. Организовать криптозащиту (в первую очередь для банковских транзакций) не представляет большого труда.
Показательным является пример работы Единого портала государственных и муниципальных услуг (Госуслуги), безопасную работу которого поддерживает национальный удостоверяющий центр. В то же время эксперт не упоминает, что разработка госпортала ведется с 2009 года, т.е. уже более 10 лет. На его разработку потрачены миллиарды рублей.
Вопрос, насколько быстро российские банки смогут перейти на национальные сертификаты, остается открытым. Непонятно также, как можно будет пользоваться их услугами за пределами РФ.
Второй аргумент вызывает еще больше вопросов. Как пишет издание Digital Russia, Интернет-трафик далеко не всегда нуждается в криптозащите. В качестве примера называются официальные сайты Кремля (http://kremlin.ru/) и ФСБ (http://www.fsb.ru/), которые работают без SSL-сертификата. С точки зрения современной концепции Интернета, эти сайты не являются безопасными.
Необходимо отметить, что еще 8 февраля 2018 года Google ввел обязательным использование SSL-сертификации для любых интернет-ресурсов. Это было сделано для повышения безопасности Интернета в целом. Работа сайтов без поддержки SSL не была запрещена, но при любом их посещении пользователи получают уведомление, что их соединение небезопасно.
Описание SSL-сертификата для банка ВТБ
На самом деле, с российскими банками ничего не произошло 1 марта. У названных банков закончился годичный срок действия их SSL-сертификатов. Они установили новые SSL-сертификаты, не уступающие по надежности тем, которые используют другие банки, в том числе американские.
Есть, правда, особенность: SSL-сертификаты корпоративного уровня бывают трех типов, отличающиеся уровнем контроля их безопасного применения. Выбор сертификата лежит на самом банке.
В частности, новый сертификат ЦБ РФ относится к третьей, высшей категории проверки защищенности – ExtendedSSL (EV). При посещении его сайта посетители сразу могут сделать вывод, что эта компания работает на профессиональном уровне. Такой же сертификат использует, например, американский банк Citi.
Описание SSL-сертификата для банка Citi