Как стало известно 13 июня, удостоверяющий центр сертификации подлинности сайтов и иных онлайн-сервисов GlobalSign из-за антироссийских санкций прекратил обслуживание клиентов из России и стал отзывать у них сертификаты безопасности (SSL-сертификаты).
На сайте GlobalSign сообщений об этом нет, страница на русском языке не ликвидирована. Клиентов предупредили письмом.
Событие имеет важное самостоятельное значение, но не только – оно демонстрирует укрепление тенденции на внешнюю изоляцию Рунета.
Техническая сторона дела
SSL-сертификаты (аббревиатура от «Secure Sockets Layer») – средство обеспечения информационной безопасности в киберпространстве. Представляет собой протокол зашифрованной передачи данных с использованием асимметричных ключей. Приватный ключ владельца веб-сайта (будем говорить только о сайтах, хотя SSL-сертификат может использоваться для удостоверения подлинности практически любых данных) и публичный ключ, который хранится в удостоверяющем центре, позволяют, во-первых, при соединении с сайтом удостовериться, что он действительно принадлежит определённому владельцу. Во-вторых, это даёт возможность шифровать трафик в канале – данные шифруются на передающем сервере и расшифровываются на принимающем. Для веб-сайтов характерным признаком использования SSL-сертификатов является «https», а не «http» в начале адреса (URL).
Выдачу сертификатов и подтверждение подлинности публичного ключа онлайн-ресурса осуществляет посредник – удостоверяющий центр, одним из которых является GlobalSign.
Код для работы с SSL-сертификатами встроен в браузер (если речь о SSL-сертификации сайтов). Популярные браузеры поддерживают глобальные SSL-сертификаты – cобственно, система SSL-сертификации по определению глобальна, поскольку глобален Интернет. Без подтверждения подлинности сертификата браузер или блокирует доступ, или предупреждает о небезопасности посещаемого сайта.
Сайтами дело не ограничивается. SSL-сертификаты применяются далеко не только для сайтов.
«Выпиливание» адресного пространства Рунета из этой системы означает внешнюю изоляцию, искусственное поражение в правах отечественного сегмента Интернета. Вредительство, если называть вещи своими именами.
Лишение SSL-сертификата создаёт проблемы главным образом для онлайн-платежей – сайты и приложения магазинов, банков, авиакомпаний и пр. без сертификата безопасности работать не могут. Удостоверяющий центр должен подтвердить подлинность получателя платежа.
Прецедент отключения отечественных банков от системы глобальной сертификации, напомним, уже имел место в 2022 году. Сейчас ситуация повторяется, но в значительно более серьёзном масштабе.
К чему следует готовиться
Изоляция Рунета извне стала очевидной тенденцией, которая отчётливо проявляется на протяжении по меньшей мере года. Множество ресурсов в Сети стали недоступны при обращении с российского IP, и причина этого всякий раз неизвестна – то ли причуда запрограммированного на русофобию хозяина сайта (или, хуже того, сисадмина), то ли аналогичное поведение владельца CDN, то ли неудачное срабатывание нашей системы фильтрации трафика, то ли ещё что-то. Искать причины не имеет смысла, проще обойти ограничения, если необходимо, благо возможностей пока достаточно.
Ликвидация угроз «неблагоприятного внешнего воздействия» на Рунет, напомним, началась 12+ лет назад. Что это за угрозы, тогда же мы писали достаточно подробно.
См. также:
- Игорь Щёголев: «Учения подтвердили недостаточную устойчивость Рунета при недружественных «целенаправленных действиях»
- Рунет и санкции: что будет, если нас отключат от Сети
Лишение SSL-сертификатов в число первоочередных угроз Рунету тогда не входило, важнее было застраховаться от разделегирования национальных доменов и лишения России положенного ей пространства IP-адресов.
Система SSL-сертификации с отечественной криптозащитой тоже была тем не менее разработана, её поддерживают наши браузеры. Больше тут ничего сделать было нельзя.
Что ждать теперь? С тем, что делает GlobalSign, справиться, хочется верить, как-то можно, это не единственный удостоверяющий центр на планете.
С отчётливым намерением Запада отделить Рунет от Интернета справиться сложнее. IT-решениями тут не обойдёшься. Так, функции IANA, позволяющие управлять корневыми доменами, находятся в юрисдикции США, что позволяет сделать ресурсы Рунеты невидимыми нигде за пределами России, разделегировав .ru, .рф и .su.
Такое до сих пор кажется маловероятным. Однако недавно это казалось совершенно немыслимым, и будет нехорошо, если станет неожиданным.
