Власти обяжут браузеры перейти на национальные сертификаты шифрования
Фото: Игорь Иванко, Коммерсантъ
Защищенное соединение (HTTPS) используется вместо незащищенного на большинстве современных сайтов, в браузерах его можно узнать по иконке закрытого замка в адресной строке. Поисковики в своей выдаче опускают ниже сайты, подключение к которым не защищено. Для поддержки защищенных соединений ОС и браузеры используют заранее установленные корневые сертификаты удостоверяющих центров (УЦ), преимущественно зарубежные: южноафриканского Thawte (принадлежит американской Symantec), бельгийского GlobalSign, американского Let`s Encrypt и других.
Власти обсуждали идею установки государственных сертификатов на российские сайты на случай конфликта с иностранными партнерами еще пять лет назад. С тех пор в стране не появилось УЦ, чьи корневые сертификаты входили бы в состав популярного в мире интернет-ПО. На государственных сайтах сейчас также установлены иностранные сертификаты. Thawte 1 марта отозвал сертификаты для сайтов ЦБ и Промсвязьбанка, подпавших под ограничения. Они перешли на сертификаты GlobalSign.
Отзыв сертификата приводит к тому, что любой узел в соединении, от роутера до провайдера, может увидеть проходящий через него трафик.
«Если это сайт-визитка — нет большой беды. Но современные сайты почти всегда обмениваются техническими данными, телеметрией — все это тоже должно быть конфиденциально»,— объясняет руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев.
Закрытый ключ УЦ может использоваться, чтобы расшифровывать трафик между пользователями и сайтами, установившими сертификат от этого сервиса, предупреждает эксперт по безопасности Алексей Лукацкий. Зашифрованный трафик уже хранится у операторов по требованию «закона Яровой». «Нельзя гарантировать, что через какое-то время не появится нормативно-правовой акт, который потребует использования в домене .ru сайтов только с гостовым сертификатом»,— считает господин Лукацкий.
Зарубежные разработчики браузеров — Microsoft, Apple, Google и Mozilla — уже отзывали доверие различных сертификатов из-за нарушения норм безопасности. В 2017 году они объявили сертификаты китайских WoSign и StartCom недоверенными из-за их выпуска задним числом и с идентичными серийными номерами. В 2019 и 2020 годах они заблокировали корневой «сертификат безопасности» из Казахстана: власти страны пытались убедить браузеры установить его под угрозой проблем с доступом к интернету. Microsoft отказалась от комментариев, представители остальных упомянутых компаний не ответили на запросы «Ъ».
«Яндекс» добавит поддержку сертификатов безопасности от НУЦ в свой браузер. «Мы надеемся, что в будущем все игроки индустрии поддержат создание альянса для аттестации процесса выдачи сертификатов местными удостоверяющими центрами»,— сообщили «Ъ» в пресс-службе компании. О готовности поддержать госсертификаты заявили и в VK, разрабатывающем браузер Atom. «Ъ» направил запрос ООО «СпутникЛаб» (браузер «Спутник»).
Одно из преимуществ создания отечественных браузеров — возможность добавить туда корневой сертификат УЦ на свое усмотрение и начать выпускать пользовательские сертификаты, работа которых не будет зависеть от иностранных компаний. «Но защита будет работать только при использовании этого браузера. Если попробовать зайти на сайт с сертификатом такого центра из другого браузера, он выдаст сообщение о небезопасном соединении»,— сказал «Ъ» источник в телекоммуникационной отрасли.
Юрий Литвиненко, Никита Королев
Комментарии
да, это важная инфа
Только важный нюанс: информация о доверенных сертификатах должна распространяться не на уровне браузера (Mozilla исторически традиционно использует свой оригинальный формат хранилища), но на системном уровне.
Например в пакете app-misc/ca-certificates (добавить пакет app-misc/ca-certificates-ru — и всё).
Кстати, тут возникает известная дилемма. Как доверенно передать пользователю корневой сертификат в недоверенной среде? Откуда пользователи будут знать, что сертификат нашего УК настоящий, а не поддельный. Например, скачанный с сайта с подделанным сертификатом американского УЦ.
А кто гарантирует, что это именно тот сертификат, который выдал наш корневой УЦ?
Передать очень просто: из инсталлированной из правильного дистрибутива сборки ОС + браузер все получается автоматически, из-под них же можно качать файлики для отыквившихся систем.
И кто помешает в этот дистрибутив засунуть поддельный RootCA?
Тот, кто его выложит в российском депозитарии. Адрес скачивания можно передать хоть голубиной почтой - просто снижаете "конфиденциальность" в используемой вражеской ОС и в браузере до нуля, а потом качаете.
Если поломан будет весь интернет, но захочется поднять российский сегмент, голубиной почтой можно передать диск с дистрибутивом, верификация по фото голубя и подписи товарища майора на конверте.
Ну вот про то и разговор - кроме подписи товарища майора на конверте верить нельзя никому.
В секунду решается )
не должно быть недоверенных сред :-) Ну а проверить можно через двухфакторную аутентификацию например. через код на мобильный.
Не меня надо проверять, а наоборот, мне проверить того, кто подсовывает мне сертификат корневого УЦ. Это таки правоверный т-щ майор или шифрующийся иностранный оккупант?
Ну сколько можно повторять: «код на мобильный» — это *профанация* (!) ДА?!?
ЗЫ: С флешкой заглянуть к участковому уполномоченному милиции (на забыть выделить фонд для достаточной компенсации условно профильной деятельности, тогда и недовольных не будет).
del
Не вполне понял, как удалять из браузера русский сертефикат
Эти сертификаты будут устанавливаться (из текста статьи) только в браузеры Яндекс и VK.
Это не так. Если сертификат отозван, а пользователь нажимает "открыть всё равно", то браузер не переходит на незащищенный порт http, а продолжает работать в защищенном соединении с использованием отозванного сертификата. Потому что отозвана только удостоверяющая подпись, а сами ключи на сайте остаются - и используются при связи сервера с браузером.
С точки зрения модели — всё верно.
С точки зрения алгоритма, зашитого в актуальные версии ПО (я помню ещё времена, когда об отзыве сертификатов сайтов, да с регулярной проверкой СОСов, речи не шло) — совершенно не факт.
Если отзыв и перевыпуск сертификата на cbr.ru 01.03 никому ничего не сказал - тот ССЗБ.
Жаль только, что решение о национальном УЦ не было принято ранее. Риски от "товарища майора" на данный момент ниже рисков отзыва любого сертификата со стороны западных УЦ, имхо.
Было принято давно. Корневой сертификат у минкомсвязи. Ключи ЭП сейчас юрикам и ИП выдаёт налоговая. В клиент-банках тоже давно отечественная крипта с отечественным УЦ.
Речь о массовом интернете. На одной тематической конференции на сцене сидели от яндекса, сбера и регулятора. Яндекс и сбер разговаривали через губу, мы мол большие, работаем как нам удобнее, а удобнее через импортные продукты. Судя по всему, мощнейший пинок получен. Как говорится, сисадмин птица гордая, пока не пнёшь, не полетит. Полетели.
Яндекс официально российскую криптографию кажись в прошлом году в линукс-браузера запихнул. До этого работало, но официальной галочки о поддержке не было.
Уже получили письма из Ру-Центра: вчера активно Ддосили весь рунет, ночью все восстановили.
ДДоС и сертификаты сайтов - совсем разные вещи
.
Тут каждый браузер работает по разному. Хром/Эдже - читают хранилище сертификатов ОС на которой установлены. Мозилла - свой собственный. Добавить серт руками - 2 минуты делов.
давно пора...
Ну что в итоге получится? Для просмотра российских сайтов нужны будут российские сертификаты, для просмотра западных - западные?
Каждый сертификат - это цепочка доверия к корневому УЦ (root CA), установленному в систему или в браузер. Вы приходите на сайт и он дает вам свой сертификат с цепочкой доверия. Если корневой сертификат из этой цепочки у вас установлен, то сайт считается безопасным, если нет - то нет.
По умолчанию в системах/браузерах стоят только чужие корневые сертификаты, и новые российские сертификаты там будут считаться не валидными. Но если установить корневой сертификат российского УК (в систему для Chrome или в браузер для Firefox), то все станет хорошо и с нашими сертификатами. А если не удалять чужие корневые сертификаты, то и с чужими сайтами тоже все будет хорошо.
Это не совсем так. Трафик идёт по прежнему зашифрованный и так просто его не увидишь. Другое дело, что облегчается атака "men in the middle" - когда какой-нибудь узел притворяется для каждого из концов обмена противоположной стороной, передавая им свои ключи вместо реальных, что позволяет ему расшифровывать трафик с одной стороны и перешифровывать его уже своим ключом для другой стороны. Другая сторона будет видеть, что данные подписаны неверным сертификатом, но может не обратить на это внимания, считая, что у той стороны просто протух сертификат.
Сертификаты ладно. Меня вчерашняя статья о Cisco конкретно напрягла... "Славик, чот я очкую".
несцать ! я в той теме вчера отвечал...
на текущий момент SmartLicence не блокирован!
но прекратили обновляться базы для
EmailSecurity
FirePower
PS! для CUCM 14.1 (должна появится в этом месяце) включат режим PLR,
FirePower уже есть, евойные базы обновляются не так часто, но они есть в инете...
ISE 3.1 с крайним патчем поддерживает PLR
для IOS XE и NX-OS , используется уже более продвинутый механизм федерал.. но и тут уже ест арбидол
Через несколько месяцев вернутся, имхо, а до той поры всё спокойно будет работать. Сейчас самое неприятное - это торможение обновления парка и разворачивания новых проектов.
если не смотреть на цену
А вот тут было бы правильно не пущать.
Как минимум — с депонированием в качестве страховки от такого рода взбрыков пары тысчонок тонн рыжья в хранилища ЦБ.
Да пятилетним курсом еженедельных стимуляций извилины причастного директората в профилактории Туруханского края.
Каждый тык ( перелистывание)на АШ долго грузится.Проверяют што ле? 🤔
Вот. Главное добавить в браузер поддержку наших сертификатов... потому что наши сайты для гугла будут помечаться как недостоверные, по-любому.
Так каждый пользователь может это сделать сам - скачиваешь корневой сертификат российского удостоверяющего центра и добавляешь его в список доверенных - и вуаля, браузер доверяет всем сертификатам, выданным этим центром. Просто для каждого браузера это немного по разному делается, но можно составить инструкцию для каждого из них. Другое дело, что стоковая поставка браузера уже содержит некий набор доверенных корневых сертификатов, и тот же гугл вряд ли включит в дистрибутив хрома русский корневой сертификат. А в яндекс браузере просто выйдет очередное обновление, где это уже будет сделано, и его пользователи даже ничего и не заметят.
Тут пока все не очень. ЕМНИП Спутник (браузер сделанный у нас) такую поддержку имеет, все остальные обязать будет непросто. Тут требуется не только обновление корневых сертификатов, но и поддержка алгоритма шифрования, а это уже другой уровень разработки. Так что возможно переход на гостовские сертификаты это будет скорее всего переход на российские браузеры.
Эти сертификаты будут устанавливаться (из текста статьи) только в браузеры Яндекс и VK.
Ну под виндой ничего сложного вроде бы. Добавляется новый криптопровайдер и всё. У бизнеса сейчас например для работы с ЭЦП везде требуется ГОСТовское шифрование, покупают и ставят КриптоПро, бессрочная лицензия на рабочее место 2700. Ну сделают бесплатную урезанную версию для всех - скачал и установил.
В клиент-банк или в в личный кабинет налоговой по ключу ЭП заходили?
Наоборот, через Спутник проблем возникло больше всего - ВТБ-шный плагин заявил, что "ваша версия браузера больше не поддерживается". Несколько месяцев назад ещё получалось. Еще есть Хромиум Гост. А у меня вообще получилось воспользоваться отечественными сертификатами для онлайн-банка при помощи плагина к FireFox.
Ну не путайте криптоподписалку и сертификаты сайта. Речь именно о том что сайты будут шифровать свои страницы гостом, а вам нужно будет браузером их дешифровать. Это немного разное. Выше товарищ написал что криптопровайдеры есть под виндой для браузеров. Я пока не сталкивался в работе с таким софтом. Если есть, то это уже неплохо, хотя поддержка госта пока очень и очень плохая (не потому что программисты плохие, а потому что востребованность была на порядок ниже, потому и поддержки там нет качественной).
В ведомствах вроде проводили эксперименты по установке серверных гостовых сертификатов, но насколько это успешно было не слышал. В любом случае это будет очень болезненный переход.
А Вы не путайте дешифрование с расшифрованием.
На самом деле, мы говорим об одном и том же. Если у Спутника проблемы с подписалками, то в сколько проблем всплывет для всех сайтов и всех пользователей. Поэтому никто особо и не торопился.
Что за чушь, кто отправляет закрытые ключи? Подписывается открытый ключ с привязкой к имени.
Чушь, ничто не мешает установлению защищённого соединения, если продолжить доверять отозванному сертификату точечно.
ПС: "Коммерсант" говно.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Уже 5 лет назад предполагали что надо бы сделать, но не судьба было.
Гром не грянет, мужик не перекрестится
Однако проблема *совсем* не в «мужике», а в организации контекста, способного хотя бы нейтрализовать вражьих агентов влияния.
«Аз есм гром и молний»
– даже не знаю, откуда это 
Я помню сам темнейший высказался за такой переход несколько лет назад. Тогда меня это удивило.
Учитывая как у нас сливаются всевозможные базы пользователей, думаю если Темнейший не будет хранить всю базу CA у себя под подушкой, толку будет не много