Как стало известно на прошлой неделе, один из крупнейших в мире центров сертификации сайтов, японский GlobalSign, начал отзывать SSL-сертификаты у российских компаний. В Минцифры заявили, что серьезных проблем из-за отзыва иностранных сертификатов возникнуть не должно и что в худшем случае сайты и онлайн-сервисы могут быть недоступны «непродолжительное время», пока их владельцы получают новые сертификаты.
Между тем российские банки начали предупреждать клиентов о возможных сбоях. По данным РБК, 13 июня Т-Банк разослал части клиентов СМС о том, что из-за санкций у некоторых российских сайтов и приложений могут возникнуть проблемы со входом. Россельхозбанк предупредил, что старая версия его приложения на Android может работать с ошибками.
Как рассказал в беседе с The Insider специалист по информационной безопасности, руководитель ИБ-компании Malfors Артём Тамоян, невозможность получить сертификат в зарубежных удостоверяющих центрах вынудит российские компании обращаться за сертификатами в Минцифры РФ.
«Это, конечно, ускоряет изоляцию российского интернета и создает большие проблемы с совместимостью и безопасностью. Для безопасной работы сайта по HTTPS необходим сертификат, выпущенный доверенным удостоверяющим центром (УЦ). Доверенных УЦ в мире относительно немного, и ни одного из них нет в России. Основные игроки — западные компании, преимущественно из США и Европы.
Отзыв такого сертификата (или невозможность его получить) фактически означает невозможность безопасного доступа пользователей к ресурсу. Важно понимать, что просто отключить HTTPS нельзя, это крайне небезопасно. Без шифрования все данные, включая логины, пароли, личные сообщения, финансовую информацию и переписку, передаются по сети в открытом виде. Кроме того, механизмы вроде HSTS или certificate pinning в приложениях могут вообще сделать отключение HTTPS технически невозможным.
Выход для российских компаний, конечно, существует — получать сертификаты в Национальном удостоверяющем центре Минцифры. Однако ни один нормальный браузер и операционная система по умолчанию не считают этот УЦ доверенным. Чтобы сайт с таким сертификатом открывался без предупреждений, пользователям приходится вручную добавлять корневой сертификат Минцифры в систему, что я крайне не рекомендую делать.
Добавление российского УЦ само по себе создает риск безопасности, так как люди с доступом к его ключам (включая государство) получают техническую возможность проводить MITM-атаки — перехватывать и расшифровывать трафик пользователей на уровне провайдера или устройства».
Киберадвокат Саркис Дарбинян отмечает, что получение сайтами российских цифровых сертификатов значительно расширит возможности для слежки со стороны государства.
«Конечно, к такому решению [отзыву SSL-сертификатов] привели последовательные действия российского режима в связи с военной агрессией в Украине и массовым нарушением прав человека в стране, однако хорошего в этой новости мало. Тут ведь речь даже не о бизнесе, а о безопасности пользователей и доступности всеобщего цифрового блага.
В итоге действия по отзыву сертификатов приведут лишь к еще большему расслоению Рунета, а также более интенсивному проникновению российского корневого сертификата, который Минцифры уже не первый год пытается навязать владельцам веб-сайтов. Теперь владельцы сайтов, лишенные выбора, всё чаще будут обращаться за получением суверенных сертификатов через Госуслуги.
Это открывает совершенно новую траекторию для цифровой слежки и бесконечные возможности для государственного MITM. Государство или связанный с ним оператор может расшифровывать, подменять или контролировать HTTPS-трафик, если браузеры, ОС или приложения доверяют такому сертификату.
HTTPS держится на идее, что пользователь доверяет независимым центрам сертификации, а не тому, кто контролирует сеть между пользователем и сайтом. Если государство получает возможность заставить браузеры доверять своему корневому сертификату, оно фактически получает возможность утверждать, что тот или иной сайт настоящий, даже если это не так. Именно поэтому корневые сертификаты — это не просто техническая вещь, а вопрос власти над инфраструктурой доверия».
