В Госдуму внесён проект поправок к ФЗ «Об информации», который описывает работу Национального удостоверяющего центра (НУЦ) Минцифры. Он с марта этого года выдаёт TLS-сертификаты для российских сайтов и приложений. Объясняем, что это и зачем нужно.
Что за TLS-сертификаты?
Зашифрованное соединение между сайтом и браузером обеспечивается при помощи криптографических протоколов SSL или TLS. Наличие такой защиты можно определить по символу замка в адресной строке браузера.
TLS-сертификаты проверяют, связывается ли браузер с запрашиваемым, а не подменным сайтом. Генерацию таких данных обеспечивают удостоверяющие центры (УЦ). Через них же проверяется принадлежность домена к конкретной организации или человеку. Доверие к сертификату зависит от репутации УЦ, выдавшего его. В свою очередь, доверие к УЦ завязано на репутации корневых удостоверяющих центров. Авторитет последних настолько велик, что их сертификаты зашиты в браузеры и операционные системы напрямую.
Центров сертификации, которым доверяют браузеры и операционные системы, существует не так много. В РФ их пока что не создали.
Весной этого года некоторые подсанкционные российские организации столкнулись с отзывом TLS-сертификатов со стороны удостоверяющего центра Thawte. Это произошло с сайтами ЦБ РФ, ВТБ и ПСБ. Инцидент подтолкнул Минцифры к созданию Национального удостоверяющего центра. Ему по-прежнему не доверяет ни один зарубежный браузер. К примеру, при попытке зайти через Chrome или Firefox на страницу Сбера пользователь увидит ошибку.
Как попасть на сайт с российским сертификатом?
Минцифры рекомендует вручную скачать и установить корневой и выпускающий сертификаты НУЦ на своё устройство. Инструкции для этого есть на «Госуслугах». Естественно, в процессе инсталляции встроенная защита ОС предупредит вас, что НУЦ сможет просматривать личные данные, отправляемые на сайты.
Другой вариант — использовать «Яндекс.Браузер» или «Атом» от VK. В них совместимость с подписями Минцифры встроена по умолчанию. Эксперты по кибербезопасности советуют открывать в российских браузерах только те страницы, которые не функционируют без отечественных TLS-сертификатов.
Что изменится после принятия поправок к ФЗ «Об информации»?
Проект документа предусматривает, что НУЦ будет выпускать сертификаты в том числе на основе российских криптографических алгоритмов по ГОСТу. Сейчас выдаваемые подписи эксплуатируют алгоритм RSA.
Местная криптография будет использоваться, скорее всего, «в приказном порядке на сайтах госорганов и госпредприятий». Остальные ресурсы проигнорируют отечественные алгоритмы, считает руководитель информационно-аналитической службы ОД «Информация для всех» Евгений Альтовский. Он также отмечает, что шифрование применяется и в электронной почте. Поэтому общение с иностранными собеседниками может прерваться: никто не будет внедрять совместимость с гостовскими алгоритмами в зарубежные почтовые сервисы.