На продаваемую в РФ технику могут обязать ставить отечественные корневые сертификаты

Глава группы «Рунити» (объединяет RU-CENTER, «Рег.ру» и SpaceWeb) Андрей Кузьмичёв, выступая на днях на 17-й Международной конференции администраторов и регистраторов национальных доменов, сообщил, что с апреля текущего года в RU-CENTER доступна покупка SSL-сертификатов ГОСТ и ECDSA от Технического центра Интернет. По его словам, российские SSL-сертификаты составили менее 10% от общего объема продаж: клиенты пока не склонны выбирать отечественное решение:

«Мы в апреле 2024 года вместе с Техническим центром Интернет дали клиентам возможность покупать российские сертификаты. Но они никому не нужны, потому что корневой сертификат отсутствует на всех устройствах и браузерах. Министерство цифрового развития, связи и массовых коммуникаций РФ поняло, что надо вмешаться в эту историю. Мы находимся в активной стадии обсуждения законодательного регулирования вокруг российских сертификатов и национальной криптографии. Осенью мы ожидаем появления регулирования в этом деле. И мы как ведущий российский провайдер, конечно, будем прикладывать максимум усилий, чтобы страна, в случае чего, была хотя бы с сертификатом».

В российском законодательстве, добавил он, нет норм, которые регулировали бы шифрование интернет‑трафика с помощью сертификатов SSL или TLS.

«Минцифры с представителями отраслевого сообщества создали группу для разработки нормативного регулирования этой сферы. Это нормативное регулирование откроет возможность предустанавливать на технику, которая поставляется в Россию, корневые сертификаты. Это нужно, если наши зарубежные партнёры в момент отключат доступ российским компаниям и физическим лицам к международным удостоверяющим центрам», — объяснил Кузьмичёв.

По его словам, важно, чтобы не было монополии Национального удостоверяющего центра, который подведомственен Минцифры, и чтобы сохранился коммерческий рынок сертификатов, которые представляют компании на разных условиях с разными ценами.

С помощью SSL-сертификата происходит шифрование данных, передаваемых между устройством клиента и сервером. Этот сертификат должен быть подтверждён либо операционной системой, либо браузером. Существует глобальная организация CA/Browser Forum, которая контролирует рынок сертификатов. Она решает, каким удостоверяющим центрам можно доверять. Последние десять лет Россия безуспешно пыталась получить признание этой организации.

Как объяснил Кузьмичёв, попытки России тщетны, поскольку CA/Browser Forum финансируется компаниями, связанными с США, такими как Google и Amazon; поэтому российские сертификаты не встраиваются во все операционные системы Windows и ключевые браузеры. По его словам, у глобального сообщества нет доверия к российским сертификатам, поскольку они считают — если российские спецслужбы имеют доступ к корневому сертификату, то они могут читать весь трафик. «В то же время доступ американских спецслужб к корневым сертификатам американских удостоверяющих центров считается нормальным», — объяснил он.

Компании, выпускающие сертификаты, называются удостоверяющими центрами. В России сейчас их два: это Технический центр Интернет, с которым RU‑CENTER интегрирован для автоматического выпуска сертификатов, и Национальный удостоверяющий центр, подведомственный Минцифры.

Генеральный директор ООО «Домены.РФ» (Rf.ru) Андрей Савельев считает, что сертификаты, выданные в России, оказались невостребованными из‑за проблемы совместимости с браузерами, особенно с американским Google Chrome. По его мнению, возможны были недоработки со стороны российских разработчиков.

Савельев подчеркнул, что выпуск российского сертификата на рынок в таком виде был недопустимым — необходимо сначала протестировать и создать качественный продукт, который работал бы со всеми браузерами и приложениями. Он предположил, что регулирование может привести к положительным изменениям в использовании российского SSL.