Российским сайтам меняют замок

Аватар пользователя OwlRus

Власти обяжут браузеры перейти на национальные сертификаты шифрования

Минцифры на фоне ухода западных удостоверяющих центров (УЦ) от российских клиентов готовится организовать бесплатную выдачу российских сертификатов для сайтов. Это позволит тому, в чьем распоряжении окажется закрытый ключ, расшифровывать часть трафика, хранящегося по «закону Яровой», предупреждают эксперты. Министерство хочет обязать всех разработчиков браузеров, которые работают в РФ, поддерживать национальные сертификаты. «Яндекс» и VK уже объявили о намерении добавить их в свои продукты.
 

Фото: Игорь Иванко, Коммерсантъ

Защищенное соединение (HTTPS) используется вместо незащищенного на большинстве современных сайтов, в браузерах его можно узнать по иконке закрытого замка в адресной строке. Поисковики в своей выдаче опускают ниже сайты, подключение к которым не защищено. Для поддержки защищенных соединений ОС и браузеры используют заранее установленные корневые сертификаты удостоверяющих центров (УЦ), преимущественно зарубежные: южноафриканского Thawte (принадлежит американской Symantec), бельгийского GlobalSign, американского Let`s Encrypt и других.

Власти обсуждали идею установки государственных сертификатов на российские сайты на случай конфликта с иностранными партнерами еще пять лет назад. С тех пор в стране не появилось УЦ, чьи корневые сертификаты входили бы в состав популярного в мире интернет-ПО. На государственных сайтах сейчас также установлены иностранные сертификаты. Thawte 1 марта отозвал сертификаты для сайтов ЦБ и Промсвязьбанка, подпавших под ограничения. Они перешли на сертификаты GlobalSign.

Отзыв сертификата приводит к тому, что любой узел в соединении, от роутера до провайдера, может увидеть проходящий через него трафик.

«Если это сайт-визитка — нет большой беды. Но современные сайты почти всегда обмениваются техническими данными, телеметрией — все это тоже должно быть конфиденциально»,— объясняет руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев.

Закрытый ключ УЦ может использоваться, чтобы расшифровывать трафик между пользователями и сайтами, установившими сертификат от этого сервиса, предупреждает эксперт по безопасности Алексей Лукацкий. Зашифрованный трафик уже хранится у операторов по требованию «закона Яровой». «Нельзя гарантировать, что через какое-то время не появится нормативно-правовой акт, который потребует использования в домене .ru сайтов только с гостовым сертификатом»,— считает господин Лукацкий.

Зарубежные разработчики браузеров — Microsoft, Apple, Google и Mozilla — уже отзывали доверие различных сертификатов из-за нарушения норм безопасности. В 2017 году они объявили сертификаты китайских WoSign и StartCom недоверенными из-за их выпуска задним числом и с идентичными серийными номерами. В 2019 и 2020 годах они заблокировали корневой «сертификат безопасности» из Казахстана: власти страны пытались убедить браузеры установить его под угрозой проблем с доступом к интернету. Microsoft отказалась от комментариев, представители остальных упомянутых компаний не ответили на запросы «Ъ».

«Яндекс» добавит поддержку сертификатов безопасности от НУЦ в свой браузер. «Мы надеемся, что в будущем все игроки индустрии поддержат создание альянса для аттестации процесса выдачи сертификатов местными удостоверяющими центрами»,— сообщили «Ъ» в пресс-службе компании. О готовности поддержать госсертификаты заявили и в VK, разрабатывающем браузер Atom. «Ъ» направил запрос ООО «СпутникЛаб» (браузер «Спутник»).

Одно из преимуществ создания отечественных браузеров — возможность добавить туда корневой сертификат УЦ на свое усмотрение и начать выпускать пользовательские сертификаты, работа которых не будет зависеть от иностранных компаний. «Но защита будет работать только при использовании этого браузера. Если попробовать зайти на сайт с сертификатом такого центра из другого браузера, он выдаст сообщение о небезопасном соединении»,— сказал «Ъ» источник в телекоммуникационной отрасли.

Юрий Литвиненко, Никита Королев

Авторство: 
Копия чужих материалов
Комментарий автора: 

Вроде на АШ этой информации нет. А, как я понимаю, здесь есть владельцы сайтов, для которых данная информация может оказаться важной.

Комментарии

Аватар пользователя alexsword
alexsword(13 лет 1 месяц)

да, это важная инфа

Аватар пользователя И-23
И-23(9 лет 2 месяца)

Только важный нюанс: информация о доверенных сертификатах должна распространяться не на уровне браузера (Mozilla исторически традиционно использует свой оригинальный формат хранилища), но на системном уровне.

Например в пакете app-misc/ca-certificates (добавить пакет app-misc/ca-certificates-ru — и всё).

Аватар пользователя jamaze
jamaze(12 лет 10 месяцев)

Кстати, тут возникает известная дилемма. Как доверенно передать пользователю корневой сертификат в недоверенной среде? Откуда пользователи будут знать, что сертификат нашего УК настоящий, а не поддельный. Например, скачанный с сайта с подделанным сертификатом американского УЦ.

Например в пакете app-misc/ca-certificates (добавить пакет app-misc/ca-certificates-ru — и всё).

А кто гарантирует, что это именно тот сертификат, который выдал наш корневой УЦ?

Аватар пользователя alvl
alvl(5 лет 11 месяцев)

Передать очень просто: из инсталлированной из правильного дистрибутива сборки ОС + браузер все получается автоматически, из-под них же можно качать файлики для отыквившихся систем.

Аватар пользователя jamaze
jamaze(12 лет 10 месяцев)

И кто помешает в этот дистрибутив засунуть поддельный RootCA?

Аватар пользователя alvl
alvl(5 лет 11 месяцев)

Тот, кто его выложит в российском депозитарии. Адрес скачивания можно передать хоть голубиной почтой - просто снижаете "конфиденциальность" в используемой вражеской ОС и в браузере до нуля, а потом качаете. 

Если поломан будет весь интернет, но захочется поднять российский сегмент, голубиной почтой можно передать диск с дистрибутивом, верификация по фото голубя и подписи товарища майора на конверте.

Аватар пользователя jamaze
jamaze(12 лет 10 месяцев)

Ну вот про то и разговор - кроме подписи товарища майора на конверте верить нельзя никому.

Аватар пользователя alvl
alvl(5 лет 11 месяцев)

В секунду решается )

Аватар пользователя Трезвенник
Трезвенник(9 лет 11 месяцев)

не должно быть недоверенных сред :-) Ну а проверить можно через двухфакторную аутентификацию например. через код на мобильный.

Аватар пользователя jamaze
jamaze(12 лет 10 месяцев)

Ну а проверить можно через двухфакторную аутентификацию

Не меня надо проверять, а наоборот, мне проверить того, кто подсовывает мне сертификат корневого УЦ. Это таки правоверный т-щ майор или шифрующийся иностранный оккупант?

Аватар пользователя И-23
Аватар пользователя TomAlex
TomAlex(3 года 2 недели)

del

Аватар пользователя Aleks177
Aleks177(10 лет 5 месяцев)

Не вполне понял, как удалять из браузера русский сертефикат

Аватар пользователя OwlRus
OwlRus(7 лет 8 месяцев)

Эти сертификаты будут устанавливаться (из текста статьи) только в браузеры Яндекс и VK.

Аватар пользователя otrad
otrad(11 лет 1 месяц)

Отзыв сертификата приводит к тому, что любой узел в соединении, от роутера до провайдера, может увидеть проходящий через него трафик.

Это не так. Если сертификат отозван, а пользователь нажимает "открыть всё равно", то браузер не переходит на незащищенный порт http, а продолжает работать в защищенном соединении с использованием отозванного сертификата. Потому что отозвана только удостоверяющая подпись, а сами ключи на сайте остаются - и используются при связи сервера с браузером.

Аватар пользователя И-23
И-23(9 лет 2 месяца)

С точки зрения модели — всё верно.
С точки зрения алгоритма, зашитого в актуальные версии ПО (я помню ещё времена, когда об отзыве сертификатов сайтов, да с регулярной проверкой СОСов, речи не шло) — совершенно не факт.

Аватар пользователя Stak
Stak(4 года 9 месяцев)

Если отзыв и перевыпуск сертификата на cbr.ru 01.03 никому ничего не сказал - тот ССЗБ. 

Жаль только, что решение о национальном УЦ не было принято ранее. Риски от "товарища майора" на данный момент ниже рисков отзыва любого сертификата со стороны западных УЦ, имхо.

Аватар пользователя Александр Мичуринский

решение о национальном УЦ

Было принято давно. Корневой сертификат у минкомсвязи. Ключи ЭП сейчас юрикам и ИП выдаёт налоговая. В клиент-банках тоже давно отечественная крипта с отечественным УЦ.

Речь о массовом интернете. На одной  тематической конференции на сцене сидели от яндекса, сбера и регулятора. Яндекс и сбер разговаривали через губу, мы мол большие, работаем как нам удобнее, а удобнее через импортные продукты. Судя по всему, мощнейший пинок получен. Как говорится, сисадмин птица гордая, пока не пнёшь, не полетит. Полетели.

 

Аватар пользователя AnGeL_Knight
AnGeL_Knight(9 лет 1 месяц)

Яндекс официально российскую криптографию кажись в прошлом году в линукс-браузера запихнул. До этого работало, но официальной галочки о поддержке не было.

Аватар пользователя сэр Закон
сэр Закон(3 года 1 месяц)

Уже получили письма из Ру-Центра: вчера активно Ддосили весь рунет, ночью все восстановили.

Аватар пользователя jamaze
jamaze(12 лет 10 месяцев)

ДДоС и сертификаты сайтов - совсем разные вещи

Аватар пользователя jamaze
jamaze(12 лет 10 месяцев)

.

Аватар пользователя guliaka
guliaka(10 лет 8 месяцев)

Тут каждый браузер работает по разному. Хром/Эдже - читают хранилище сертификатов ОС на которой установлены. Мозилла - свой собственный. Добавить серт руками - 2 минуты делов.

Аватар пользователя pivnik
pivnik(4 года 2 месяца)

давно пора...

Аватар пользователя Pepenez
Pepenez(9 лет 2 месяца)

Ну что в итоге получится? Для просмотра российских сайтов нужны будут российские сертификаты, для просмотра западных - западные?

Аватар пользователя jamaze
jamaze(12 лет 10 месяцев)

Каждый сертификат - это цепочка доверия к корневому УЦ (root CA), установленному в систему или в браузер. Вы приходите на сайт и он дает вам свой сертификат с цепочкой доверия. Если корневой сертификат из этой цепочки у вас установлен, то сайт считается безопасным, если нет - то нет.

По умолчанию в системах/браузерах стоят только чужие корневые сертификаты, и новые российские сертификаты там будут считаться не валидными. Но если установить корневой сертификат российского УК (в систему для Chrome или в браузер для Firefox), то все станет хорошо и с нашими сертификатами. А если не удалять чужие корневые сертификаты, то и с чужими сайтами тоже все будет хорошо.

Аватар пользователя orefkov
orefkov(9 лет 4 месяца)

Отзыв сертификата приводит к тому, что любой узел в соединении, от роутера до провайдера, может увидеть проходящий через него трафик.

Это не совсем так. Трафик идёт по прежнему зашифрованный и так просто его не увидишь. Другое дело, что облегчается атака "men in the middle" - когда какой-нибудь узел притворяется для каждого из концов обмена противоположной стороной, передавая им свои ключи вместо реальных, что позволяет ему расшифровывать трафик с одной стороны и перешифровывать его уже своим ключом для другой стороны. Другая сторона будет видеть, что данные подписаны неверным сертификатом, но может не обратить на это внимания, считая, что у той стороны просто протух сертификат.

Аватар пользователя NTFS
NTFS(12 лет 9 месяцев)

Сертификаты ладно. Меня вчерашняя статья о Cisco конкретно напрягла... "Славик, чот я очкую".

Аватар пользователя ЧленПартии
ЧленПартии(8 лет 11 месяцев)

несцать ! я в той теме вчера отвечал...

на текущий момент  SmartLicence не блокирован!

но прекратили обновляться базы для

EmailSecurity

FirePower

PS! для CUCM 14.1 (должна появится в этом месяце) включат режим PLR,

FirePower уже есть, евойные базы обновляются не так часто, но они есть в инете...

ISE 3.1 с крайним патчем  поддерживает PLR

для IOS XE и NX-OS , используется уже более продвинутый механизм федерал.. но и тут уже ест арбидол  smile57.gif

 

 

Аватар пользователя Omni
Omni(12 лет 3 месяца)

Через несколько месяцев вернутся, имхо, а до той поры всё спокойно будет работать. Сейчас самое неприятное - это торможение обновления парка и разворачивания новых проектов.

Аватар пользователя ЧленПартии
ЧленПартии(8 лет 11 месяцев)

Сейчас самое неприятное - это торможение обновления парка и разворачивания новых проектов.

если не смотреть на цену smile6.gif

Аватар пользователя И-23
И-23(9 лет 2 месяца)

А вот тут было бы правильно не пущать.

Как минимум — с депонированием в качестве страховки от такого рода взбрыков пары тысчонок тонн рыжья в хранилища ЦБ.
Да пятилетним курсом еженедельных стимуляций извилины причастного директората в профилактории Туруханского края.

Аватар пользователя Всё
Всё(3 года 9 месяцев)

Каждый тык ( перелистывание)на АШ долго грузится.Проверяют што ле? 🤔

Аватар пользователя 2tvlad
2tvlad(6 лет 6 месяцев)

Вот. Главное добавить в браузер поддержку наших сертификатов... потому что наши сайты для гугла будут помечаться как недостоверные, по-любому.

Аватар пользователя orefkov
orefkov(9 лет 4 месяца)

Так каждый пользователь может это сделать сам - скачиваешь корневой сертификат российского удостоверяющего центра и добавляешь его в список доверенных - и вуаля, браузер доверяет всем сертификатам, выданным этим центром. Просто для каждого браузера это немного по разному делается, но можно составить инструкцию для каждого из них. Другое дело, что стоковая поставка браузера уже содержит некий набор доверенных корневых сертификатов, и тот же гугл вряд ли включит в дистрибутив хрома русский корневой сертификат. А в яндекс браузере просто выйдет очередное обновление, где это уже будет сделано, и его пользователи даже ничего и не заметят.

Аватар пользователя liol
liol(3 года 3 недели)

«Нельзя гарантировать, что через какое-​то время не появится нормативно-​правовой акт, который потребует использования в домене .ru сайтов только с гостовым сертификатом»,— считает господин Лукацкий.

Тут пока все не очень. ЕМНИП Спутник (браузер сделанный у нас) такую поддержку имеет, все остальные обязать будет непросто. Тут требуется не только обновление корневых сертификатов, но и поддержка алгоритма шифрования, а это уже другой уровень разработки. Так что возможно переход на гостовские сертификаты это будет скорее всего переход на российские браузеры.

Аватар пользователя OwlRus
OwlRus(7 лет 8 месяцев)

Эти сертификаты будут устанавливаться (из текста статьи) только в браузеры Яндекс и VK.

Аватар пользователя orefkov
orefkov(9 лет 4 месяца)

Ну под виндой ничего сложного вроде бы. Добавляется новый криптопровайдер и всё. У бизнеса сейчас например для работы с ЭЦП везде требуется ГОСТовское шифрование, покупают и ставят КриптоПро, бессрочная лицензия на рабочее место 2700. Ну сделают бесплатную урезанную версию для всех - скачал и установил.

Аватар пользователя Александр Мичуринский

ЕМНИП Спутник (браузер сделанный у нас) такую поддержку имеет, все остальные обязать будет непросто.

В клиент-банк или в в личный кабинет налоговой по ключу ЭП заходили?

Наоборот, через Спутник проблем возникло больше всего - ВТБ-шный плагин заявил, что "ваша версия браузера больше не поддерживается". Несколько месяцев назад ещё получалось. Еще есть Хромиум Гост. А у меня вообще получилось воспользоваться отечественными сертификатами для онлайн-банка при помощи плагина к FireFox.

Аватар пользователя liol
liol(3 года 3 недели)

получилось воспользоваться отечественными сертификатами для онлайн-​банка при помощи плагина к FireFox.

Ну не путайте криптоподписалку и сертификаты сайта. Речь именно о том что сайты будут шифровать свои страницы гостом, а вам нужно будет браузером их дешифровать. Это немного разное. Выше товарищ написал что криптопровайдеры есть под виндой для браузеров. Я пока не сталкивался в работе с таким софтом. Если есть, то это уже неплохо, хотя поддержка госта пока очень и очень плохая (не потому что программисты плохие, а потому что востребованность была на порядок ниже, потому и поддержки там нет качественной).

В ведомствах вроде проводили эксперименты по установке серверных гостовых сертификатов, но насколько это успешно было не слышал. В любом случае это будет очень болезненный переход.

Аватар пользователя Александр Мичуринский

А Вы не путайте дешифрование с расшифрованием.  smile1.gif

На самом деле, мы говорим об одном и том же. Если у Спутника проблемы с подписалками, то в сколько проблем всплывет для всех сайтов и всех пользователей. Поэтому никто особо и не торопился.

Аватар пользователя Omni
Omni(12 лет 3 месяца)

Это позволит тому, в чьем распоряжении окажется закрытый ключ, расшифровывать часть трафика, хранящегося по «закону Яровой», предупреждают эксперты.

Что за чушь, кто отправляет закрытые ключи? Подписывается открытый ключ с привязкой к имени.

Отзыв сертификата приводит к тому, что любой узел в соединении, от роутера до провайдера, может увидеть проходящий через него трафик.

Чушь, ничто не мешает установлению защищённого соединения, если продолжить доверять отозванному сертификату точечно.

ПС: "Коммерсант" говно.

Скрытый комментарий Повелитель Ботов (без обсуждения)
Аватар пользователя Повелитель Ботов
Повелитель Ботов(54 года 11 месяцев)

Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.

Аватар пользователя Zl
Zl(2 года 9 месяцев)

Уже 5 лет назад предполагали что надо бы сделать, но не судьба было. 

Гром не грянет, мужик не перекрестится

Аватар пользователя И-23
И-23(9 лет 2 месяца)

Однако проблема *совсем* не в «мужике», а в организации контекста, способного хотя бы нейтрализовать вражьих агентов влияния.

Аватар пользователя БК 0010
БК 0010(7 лет 1 месяц)

«Аз есм гром и молний»  – даже не знаю, откуда это smile1.gif

Аватар пользователя Alec
Alec(11 лет 9 месяцев)

Власти обсуждали идею установки государственных сертификатов на российские сайты на случай конфликта с иностранными партнерами еще пять лет назад.

Я помню сам темнейший высказался за такой переход несколько лет назад. Тогда меня это удивило.

Аватар пользователя we_me_and_them
we_me_and_them(2 года 8 месяцев)

Учитывая как у нас сливаются всевозможные базы пользователей, думаю если Темнейший не будет хранить всю базу CA у себя под подушкой, толку будет не много