Россия внедряет отечественный корневой TLS-сертификат

Пользователи портала государственных услуг Российской Федерации (gosuslugi.ru) получили уведомление о создании государственного удостоверяющего центра со своим корневым TLS-сертификатом, не включённым в хранилища корневых сертификатов операционных систем и основных браузеров. Данное сообщение было подготовлено Минцифры России.

«Cертификаты выдаются на добровольной основе юридическим лицам и нацелены на использование в ситуации отзыва или прекращения продления TLS-сертификатов в результате санкций. Например, удостоверяющие центры, находящиеся в юрисдикции США, такие как DigiCert, прекратили предоставление сертификатов для сайтов организаций, входящих в санкционный список», – напоминает OpenNET.

В настоящее время государственный корневой сертификат интегрирован только в продукты Яндекс.Браузер и Атом. Для обеспечения доверия к сайтам, использующим сертификаты от государственного удостоверяющего центра, в других браузерах, требуется ручное добавление корневого сертификата в системное или браузерное хранилище сертификатов.

Среди сайтов, которые уже получили государственные TLS-сертификаты, различные банки (Сбер, ВТБ, ЦБ) и аффилированные с госструктурами организации и проекты. При этом на момент написания новости на основных сайтах Сбер и ВТБ продолжают использоваться традиционные TLS-сертификаты, поддерживаемые во всех браузерах, но отдельные поддомены (например, online-alpha.vtb.ru) уже переведены на новый сертификат.

В случае начала навязывания нового удостоверяющегося центра или выявления фактов злоупотреблений, таких как совершение MITM-атак, вероятно, что производители браузеров Firefox, Chrome, Edge и Safari предпримут действия по добавлению проблемного корневого сертификата в списки отозванных сертификатов, как это уже было сделано с сертификатом, внедрённым для перехвата HTTPS-трафика в Казахстане.

По словам генерального директор АНО «Инфокультура» и руководителя Ассоциации участников рынка данных Ивана Бегтина, возможность применения санкций в отношении российских органов власти к сертификатам выданных доменов *gov.ru обсуждается уже не первый день, но отдельный вопрос здесь — почему в России за все эти годы не появилось удостоверяющего центра, включенного в доверенные, на уровне операционных систем MacOSX, Windows, Android, IOS и др.:

«В первую очередь такой сертификат позволял бы спецслужбам перехватывать трафик, осуществляя атаку man-in-the-middle на HTTPS соединения. Если массовые отзывы сертификатов у госдоменов начнутся, то в России могут попытаться распространить такой корневой сертификат с рекомендацией пользователям по его установке.

Но пользователи, знающие о том, что его можно использовать для перехвата трафика, могут категорически не хотеть его устанавливать. Лично я бы точно постарался бы от этого воздержаться».

«Вся инфраструктура сертификатов строится на доверии, – объясняет исполнительный директор ОЗИ Михаил Климарёв. – Мы должны доверять эмитенту сертификата в том, что он не подделает ничего, что со стороны УЦ [удостоверяющего центра] не будет никаких утечек, что никто не сможет сделать дубль ключа сервера и читать все сообщения. И давайте теперь сядем спокойно и подумаем: а доверяем ли мы вот этому самому УЦ Госуслуг?»

Эксперт напомнил, что именно с сайта госуслуг в своё время украдены базы с персональными данными участников проекта Free Navalny, а также совершались сомнительные действия с QR-кодами, поэтому лично он не стал бы доверять такому УЦ:

«И заодно — тем браузерам, которые этот УЦ поддержат. Им просто плевать на безопасность пользователей. Ну а нам тогда плевать на эти браузеры. И по международному сообществу уже расходятся предложения дать сертификату уровень „опасный“».

«Напомню, что реакция сообщества на подобную хрень от Казахстана привела к тому, что операцию «казах-по-середине» пришлось свернуть», – подытожил Климарёв.