Минцифры перешифровывает браузеры

В Минцифры готовятся отказаться от иностранных сертификатов безопасности TSL и разрабатывают их отечественные аналоги. Компании могут подать заявку на переход через «Госуслуги» уже сейчас. Но на проверку и одобрение российских сертификатов Google, Mozilla Foundation, Opera Software и другими разработчиками популярных браузеров могут уйти месяцы. Первое время поддерживать сертификаты будут только российские VK Atom и «Яндекс.Браузер».

83,9%

россиян используют зарубежные браузеры

по данным Statcounter

5,7 млн

сайтов зарегистрировано в зонах .ru и .рф

по данным Координационного центра доменов .RU/.РФ

303 сайта

уже получили российские сертификаты

по данным Минцифры РФ

На этой неделе Минцифры порекомендовало пользователям установить «Яндекс.Браузер» или VK Atom, «чтобы иметь доступ ко всем сайтам и нужным онлайн-сервисам, в том числе к „Госуслугам“». Сайты, которые перешли на отечественные TLS-сертификаты, могут перестать открываться в других программах — как в десктопных, так и в мобильных версиях.

TLS (Transport Layer Security, протокол защиты транспортного уровня) — это криптографический протокол, который используется для защищенной передачи данных между узлами интернета. Все данные, которые передаются между клиентом и сервером, шифруются. Почти во всех браузерах сайты, не имеющие сертификата безопасности, маркируются как «небезопасные» или не открываются. Предшественником TLS является протокол защиты данных SSL.

Что означает отзыв сертификатов TLS для бизнеса

В начале месяца крупные удостоверяющие центры Digicert, Thawte, RapidSSL, GeoTrust и другие приостановили выдачу сертификатов для подсанкционных российских компаний. Еще один центр Sectigo ограничил возможность оформления сертификатов SSL и TLS для всех ресурсов, зарегистрированных в доменных зонах .ru, .рф и .by.

Первыми последствия ощутили на себе банки. 1 марта Digicert отозвал TLS-сертификат у сайта ЦБ. Под массовый отзыв сертификатов попали подсанкционные ВТБ, «Промсвязьбанк» и Совкомбанк. На следующий день Центробанк выписал новый сертификат в бельгийском центре GlobalSign, однако позже подключил российский аналог.

Лишение сертификата означает проблемы для всех сайтов, которые принимают платежи: сервисов бронирования билетов, приложений онлайн-банкинга, интернет-магазинов. Как только срок действия ранее выданных сертификатов истечет, эти сайты перестанут корректно работать.

Новые сертификаты будут работать не везде

Переход — только половина проблемы. В отличие от простых блокировок на уровне домена, VPN здесь не поможет. Чтобы браузер мог распознать сертификаты от того или иного удостоверяющего центра, соответствующая информация должна быть внесена в код программы. Это означает, что российские сайты на какое-то время могут пропасть из Chrome, Mozilla Firefox, Edge и других браузеров.

Опытные пользователи смогут обойти ограничения, добавив российский корневой сертификат вручную. Но если разработчики добавят его в список отзыва сертификатов (CRL), обойти ограничения не получится. Такой сценарий отрежет рунет от аудитории из других стран.

Опыт Китая и Казахстана

Даже если российские TLS-сертификаты будут одобрены разработчиками браузеров, их смогут в любой момент отозвать. Именно так произошло в 2017 году с сертификатами китайского центра WoSign и его дочерней компании StartCom. Microsoft удалила сертификаты из своих продуктов, поскольку они «не смогли поддерживать стандарты» безопасности: номера одних дублировались, другие вовсе исчезали без какой-либо причины. Следом за Microsoft поддержку прекратили Apple, Mozilla и другие компании.

В конце 2020 года браузеры вновь объединились, чтобы заблокировать работу корневого сертификата безопасности в Казахстане. Его жители не могли открыть популярные сервисы, в том числе Google, Instagram, Twitter и Netflix, без установки дополнительного сертификата. По словам разработчиков браузеров, сертификат использовался правительством для отслеживания трафика пользователей.

Вопросы конфиденциальности остаются открытыми

Эксперты не исключают вероятность того, что российские сертификаты могут разделить участь казахстанских. По «закону Яровой» российские операторы и провайдеры обязаны хранить весь трафик, в том числе зашифрованный. Но если раньше расшифровка информации была довольно трудоемким процессом, то теперь все может измениться, пишет издание о технологиях iGuides. Новые TLS-сертификаты созданы по ГОСТу и одобрены ФСБ. Следовательно, у службы безопасности могут быть собственные ключи для расшифровки.

Авторы:

Алиса Рейн

#Интернет #Браузеры #TLS