Во вторник стало известно о прекращении действия сертификатов, которые необходимы, в частности, веб-сайтам для подтверждения их подлинности; западные удостоверяющие центры лишили таких сертификатов сайты банка ВТБ и Центробанка.
Поясним в самом общем виде, о чём идёт речь.
SSL-сертификаты (аббревиатура от «Secure Sockets Layer») – средство обеспечения информационной безопасности в киберпространстве. Представляет собой протокол зашифрованной передачи данных с использованием асимметричных ключей. Приватный ключ владельца веб-сайта (будем говорить только о сайтах, хотя SSL-сертификат может использоваться для удостоверения подлинности практически любых данных) и публичный ключ, который хранится в удостоверяющем центре, позволяют, во-первых, при соединении с сайтом удостовериться, что он действительно принадлежит определённому владельцу. Во-вторых, это даёт возможность шифровать трафик в канале передачи данных – они шифруются на передающем сервере и расшифровываются на принимающем.
Для веб-сайтов характерным признаком использования SSL-сертификатов является «https», а не «http» в начале адреса сайта (URL).
Лишение SSL-сертификата создаёт проблемы прежде всего для сайтов, на которых осуществляется приём платежей – банки, онлайн-магазины, сайты для бронирования билетов и пр. Непреодолимыми эти проблемы не являются, однако они серьёзны.
Удостоверяющие центры, выдающие SSL-сертификаты, крайне немногочисленны, и все находятся за пределами России. Создать в стране собственный глобальный удостоверяющий центр теоретически возможно, существует регламентированная процедура, которая сто́ит от полумиллиона долларов и занимает от полугода времени.
Однако это бессмысленно. Архитекторы санкций могут прекратить приём SSL-сертификатов российского удостоверяющего центра, это даже проще, чем лишать сертификата каждый неугодный сайт в отдельности. Прецеденты имеются.
Для внутреннего употребления, т.е. в России, обеспечить SSL-сертификацию своими силами несложно, удостоверяющие центры уже есть. В соответствии с законодательством РФ для криптозащиты трафика по SSL-сертификатам, выданным в России, применяются отечественные алгоритмы шифрования. Это ограничивает, а на практике исключает возможность использования таких сертификатов вместо прежних, выданных иностранными удостоверяющими центрами.
Причина в том, что проверку SSL-сертификатов сайтов осуществляет браузер – эта функция в него встроена. Отечественные криптоалгоритмы ни Google Chrome, ни Microsoft Edge, ни другие западные браузеры не поддерживают. Поддержка отечественных SSL-сертификатов есть в «Яндекс.Браузере» и в «Спутнике». Также их принимает Единый портал госуслуг (ЕПГУ).
Последствия отзыва западных SSL-сертификатов у российских сайтов принесут нам скорее неприятности, чем проблемы. Во-первых, на территории страны трафик, нуждающийся в криптозащите (банковские транзакции прежде всего), защитить шифрованием можно, как показывает пример ЕПГУ. Во-вторых, далеко не весь трафик нуждается в криптозащите. Многие сайты могут обойтись без неё: таков, например, сайт Кремля, расположенный на адресе http://kremlin.ru/. Без SSL-сертификата работает и сайт ФСБ http://www.fsb.ru/.
Редакция благодарит сотрудника Positive Technologies, эксперта по информационной безопасности Дмитрия Склярова за консультацию.
Статья неполная ,не указана основная отечественная разработка которая ведётся криптопро — хромиум гост
Это статья выглядит как нелепая отмазка тому почему в России за 6 лет не смогли создать собственный УЦ.
«Последствия отзыва западных SSL-сертификатов у российских сайтов принесут нам скорее неприятности, чем проблемы.»
Когда люди потеряют доступ к своему онлайн банку у них начнется паника… и это проблема, а не неприятность…
Выше сказано: «Для внутреннего употребления, т.е. в России, обеспечить SSL-сертификацию своими силами несложно, удостоверяющие центры уже есть»
P.S. Насчёт шести лет вы правы, конечно (
Относительно сайта без SSL (в особенности, обрабатывающих платежи), можно ожидать волну фишинга (то есть, простыми словами, перенаправление на хакерский сайт, с целью хищения данных карты), которая будет почти экспоненциально. Что то об этом г-н Скляров забыл упомянуть… Ну да, мелкая досада.
Не забыл, неупотребление слова «фишинг» на нашей совести. О подтверждении подлинности сайтов сказано, сочли это достаточным.
спутник хочет SELinux , далеко не каждый узверь его пользует.