Российским сайтам меняют сертификаты шифрования на национальные

Минцифры на фоне ухода западных удостоверяющих центров (УЦ) от российских клиентов готовится организовать бесплатную выдачу российских сертификатов для сайтов. Это позволит тому, в чьем распоряжении окажется закрытый ключ, расшифровывать часть трафика, хранящегося по «закону Яровой», предупреждают эксперты. Министерство хочет обязать всех разработчиков браузеров, которые работают в РФ, поддерживать национальные сертификаты. «Яндекс» и VK уже объявили о намерении добавить их в свои продукты.

Фото: Игорь Иванко, Коммерсантъ

Минцифры 4 марта сообщило, что готовит нормативно-правовые акты, позволяющие российским юридическим лицам получать TLS-сертификаты (transport layer security – протокол защиты транспортного уровня), использующиеся для создания зашифрованного соединения между сайтом и его пользователями. Выпускать сертификаты будет Национальный удостоверяющий центр (НУЦ), получать их можно бесплатно через «Госуслуги». Министерство отмечает, что все браузеры и операционные системы (ОС) «должны будут поддержать работу» госсертификатов. В Минцифры «Ъ» подтвердили, что планируют прописать такую обязанность законодательно: «Меры воздействия за несоблюдение требования пока не рассматриваются».

Защищенное соединение (HTTPS) используется вместо незащищенного на большинстве современных сайтов, в браузерах его можно узнать по иконке закрытого замка в адресной строке. Поисковики в своей выдаче опускают ниже сайты, подключение к которым не защищено. Для поддержки защищенных соединений ОС и браузеры используют заранее установленные корневые сертификаты удостоверяющих центров (УЦ), преимущественно зарубежные: южноафриканского Thawte (принадлежит американской Symantec), бельгийского GlobalSign, американского Let`s Encrypt и других.

Власти обсуждали идею установки государственных сертификатов на российские сайты на случай конфликта с иностранными партнерами еще пять лет назад. С тех пор в стране не появилось УЦ, чьи корневые сертификаты входили бы в состав популярного в мире интернет-ПО. На государственных сайтах сейчас также установлены иностранные сертификаты. Thawte 1 марта отозвал сертификаты для сайтов ЦБ и Промсвязьбанка, подпавших под ограничения. Они перешли на сертификаты GlobalSign.

Отзыв сертификата приводит к тому, что любой узел в соединении, от роутера до провайдера, может увидеть проходящий через него трафик.

«Если это сайт-визитка – нет большой беды. Но современные сайты почти всегда обмениваются техническими данными, телеметрией – все это тоже должно быть конфиденциально»,– объясняет руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев.

Закрытый ключ УЦ может использоваться, чтобы расшифровывать трафик между пользователями и сайтами, установившими сертификат от этого сервиса, предупреждает эксперт по безопасности Алексей Лукацкий. Зашифрованный трафик уже хранится у операторов по требованию «закона Яровой». «Нельзя гарантировать, что через какое-то время не появится нормативно-правовой акт, который потребует использования в домене .ru сайтов только с гостовым сертификатом»,– считает господин Лукацкий.

Зарубежные разработчики браузеров – Microsoft, Apple, Google и Mozilla – уже отзывали доверие различных сертификатов из-за нарушения норм безопасности. В 2017 году они объявили сертификаты китайских WoSign и StartCom недоверенными из-за их выпуска задним числом и с идентичными серийными номерами. В 2019 и 2020 годах они заблокировали корневой «сертификат безопасности» из Казахстана: власти страны пытались убедить браузеры установить его под угрозой проблем с доступом к интернету. Microsoft отказалась от комментариев, представители остальных упомянутых компаний не ответили на запросы «Ъ».

«Яндекс» добавит поддержку сертификатов безопасности от НУЦ в свой браузер. «Мы надеемся, что в будущем все игроки индустрии поддержат создание альянса для аттестации процесса выдачи сертификатов местными удостоверяющими центрами»,– сообщили «Ъ» в пресс-службе компании. О готовности поддержать госсертификаты заявили и в VK, разрабатывающем браузер Atom. «Ъ» направил запрос ООО «СпутникЛаб» (браузер «Спутник»).

Одно из преимуществ создания отечественных браузеров – возможность добавить туда корневой сертификат УЦ на свое усмотрение и начать выпускать пользовательские сертификаты, работа которых не будет зависеть от иностранных компаний. «Но защита будет работать только при использовании этого браузера. Если попробовать зайти на сайт с сертификатом такого центра из другого браузера, он выдаст сообщение о небезопасном соединении»,– сказал «Ъ» источник в телекоммуникационной отрасли.

Юрий Литвиненко, Никита Королев