Минцифры решило заменить иностранные сертификаты шифрования российскими. Что это значит для пользователей рунета

Инициатива Минцифры должна решить проблему отзыва сертификатов западными компаниями, но угрожает безопасности зашифрованных интернет-соединений.

На фоне ухода западных удостоверяющих центров (УЦ) с российского рынка Минцифры будет бесплатно выдавать российские сертификаты шифрования для создания безопасного соединения между сайтом и пользователем. Выпускать TLS-сертификаты (transport layer security — протокол защиты транспортного уровня) будет Национальный удостоверяющий центр (НУЦ), а выдавать их будут через «Госуслуги».

Сейчас на большинстве современных сайтов используется защищенное соединение HTTPS — это позволяет скрывать от промежуточных узлов (роутеров, провайдеров) содержимое проходящего через них трафика. Лишение этого сертификата создаёт проблемы прежде всего для сайтов, на которых осуществляется приём платежей. Непреодолимыми эти проблемы не являются, однако они серьёзны.

Для внутреннего использования обеспечить SSL-сертификацию своими силами несложно, поскольку удостоверяющие центры уже есть. Власти обсуждали идею установки национальных сертификатов на российские сайты на случай конфликта с иностранными партнерами ещё пять лет назад. В 2017 году проводили их пилотные испытания на «Госуслугах» и сайтах проектов национальной поисковой системы «Спутник».

Однако с тех пор в стране не появилось УЦ, чьи корневые сертификаты входили бы в состав популярных браузеров и операционных систем. Впрочем, далеко не весь трафик нуждается в криптозащите: например сайты Кремля и сайт ФСБ работают без неё.

В качестве альтернативы ведомство предлагает выдавать российским юрлицам TLS-сертификаты. Мера Минцифры также поможет компаниям выполнять «закон Яровой», согласно которому у операторов должен храниться зашифрованный трафик пользователей.

Для поддержки защищенных соединений ОС и браузеры используют заранее установленные корневые сертификаты удостоверяющих центров (УЦ), преимущественно зарубежные: южноафриканского Thawte (принадлежит американской Symantec), бельгийского GlobalSign, американского Let`s Encrypt и других. Однако те уже начали уходить с российского рынка — в частности, Thawte 1 марта отозвал сертификаты для сайтов ЦБ и Промсвязьбанка, подпавших под ограничения. Они перешли на сертификаты GlobalSign, как указано в публикации «Коммерсанта».

Зарубежные разработчики браузеров — Microsoft, Apple, Google и Mozilla — ранее уже отзывали доверие различных сертификатов из-за нарушения норм безопасности. В 2017 году так было с китайскими WoSign и StartCom, а в 2019 и 2020 годах они заблокировали корневой «сертификат безопасности» из Казахстана.

Часть российских компаний уже заявили о поддержке российских сертификатов. «Яндекс» добавит их поддержку в свой браузер, а VK — в разрабатываемый им Atom.

#интернет #шифрование #браузеры