В России разработана информационная инфраструктура Национального удостоверяющего центра Минцифры России, которая предназначена для поддержания безотказной работы российских информационных ресурсов. Она обеспечивает выпуск TLS-сертификатов с применением как российских, так и иных криптографических алгоритмов. На сайте Госуслуг по адресу https://www.gosuslugi.ru/tls опубликован самоподписанный сертификат безопасности, принадлежащий Российской Федерации, который необходимо установить в хранилище доверенных сертификатов. НУЦ Минцифры России создан в рамках исполнения поручения Президента России по обеспечению устойчивого взаимодействия устройств в российском сегменте Интернета.
Зона недоверия
В свое время для борьбы с фишингом разработчики браузеров рекомендовали повсеместно внедрять на сайтах защищенные протоколы и сертификаты, которые подтверждают аутентичность сайтов. Через некоторое время браузеры просто перестали работать с недоверенными сайтами, то есть теми, кто не имеет сертификатов, выданных одним из доверенных удостоверяющих центров. Список таких доверенных корневых УЦ содержится в хранилище доверенных сертификатов любого браузера и операционной системы — он поставляется в самом дистрибутиве. Российские власти неоднократно требовали включить в этот список и российский корневой УЦ, до недавнего времени этого сделано не было.
Сейчас было решено пойти другим путем и выпустить собственный самоподписанный сертификат, который можно скачать с сайта Госуслуг по указанному выше адресу и установить в хранилище доверенных сертификатов браузера или операционной системы. Получение сертификатов НУЦ позволяет защитить российских пользователей от угроз в интернет-пространстве, обеспечить суверенитет и целостность передаваемых данных между государственными органами, организациями и гражданами. Разработку системы Национального удостоверяющего центра ведет подведомственный Минцифры России НИИ «Восход». Об этом рассказал на конференции «РусКрипто’2022» заместитель директора ФГАУ НИИ «Восход» Андрей Пьянченко.
НУЦ потребовался потому, что у сайтов компаний и государственных ведомств России, которые попали под санкции, были массово отозваны сертификаты и они стали для клиентов недоверенными, то есть браузеры отказались с ними работать в защищенном режиме. Российский корневой центр доверия выдает сертификаты для таких компаний, чтобы антифишинговые системы браузера не воспринимали их как что-то чужеродное. На текущий момент уже выдано более 1,5 тыс. подобных сертификатов, правда большая часть — это проекты ВТБ, «Сбербанка», «Газпромбанка» и других банковских структур, для которых доверенные зоны являются основной для обеспечения безопасности. Впрочем, под этот УЦ перешли и ресурсы российских регионов, государственных информационных систем и госкорпораций.
«По поручению Минцифры России на базе Национального удостоверяющего центра НИИ «Восход» обеспечивает возможность для российских владельцев сайтов получать сертификаты безопасности без обращения в иностранные удостоверяющие центры, что актуально в условиях санкционной политики, — пояснил необходимость подобных действий с новым УЦ Андрей Пьянченко. — Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS -сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно в онлайн-режиме через портал Госуслуг в течение 5 рабочих дней». Следует отметить, что получение сертификатов иностранных удостоверяющих центров стоит определенных денег, что усложняется с введением санкционных ограничений. Бесплатное получение доверенных сертификатов — это способ остаться в доверенной зоне и защититься от фишеров.
Обратная сторона сертификата
Однако у установки этого сертификата в свое хранилище есть и обратная сторона — возможность государственной прослушки иностранных недоверенных ресурсов. Например, если какая-нибудь служба зарегистрирует на свой ресурс сертификат facebook.com, включит IP-адреса своих серверов в структуру DNS как facebook.com и заблокирует основной ресурс Meta Platform, то все пользователи в России, которые наберут в своем браузере facebook.com подключаться к этому сервису-посреднику, а он уже напрямую будет взаимодействовать с реальным сайтом facebook.com, перехватывая, записывая и анализируя весь трафик. Причем, в этом случае facebook.com станет вполне доступен для пользователей — на самом же деле они будут подключаться к российскому «темному зеркалу». Да, пока в списке опубликованных на сайте сертификатов нет конкретно facebook.com, однако эта же операция может быть проведена и для других заблокированных на территории России ресурсов — их сайты могут быть перехвачены, причем далеко не всегда российскими спецслужбами, но и независимыми хакерами. Так что стоит периодически нажимать на замочек рядом с адресом и проверять путь сертификации — к какому корневому сертификату он ведет.
