Правительство внесло в Госдуму законопроект о сертификатах безопасности для российских сайтов. В пояснительной записке говорится, что изменения необходимы в связи с массовым отзывом у российских сайтов зарубежных сертификатов из-за санкций.
У сертификатов безопасности, которые устанавливают на веб-серверы, несколько функций. Одна из них — подтверждение подлинности сайта. Если сертификат надежный и установлен на сайте, для которого был выпущен, между сервером и браузером клиента устанавливается защищенное соединение. Если же подтвердить надежность сертификата не удастся, то соединение будет сброшено. То есть зайти на сайт не получится. И, например, браузер Chrome в таком случае напишет «Подключение не защищено».
Проблема в том, что разработчики браузеров и операционных систем признают только зарубежные удостоверяющие центры. И не признают российские. Минцифры запустило Национальный удостоверяющий центр, который тоже выпускает сертификаты. Но они считаются ненадежными. Хотя, конечно, это не так. Продолжает председатель совета Фонда развития цифровой экономики Герман Клименко:
Герман Клименко председатель совета Фонда развития цифровой экономики «Сертификат нужен для того, чтобы удостовериться, что сайт действительно не фальшивый, не подменный и с его помощью происходит шифрование. Когда мы заходим на ресурс, между сайтом и нами выстраивается зашифрованный канал связи. Центр, удостоверяющий, что этот сайт действительно нормальный, — это достаточно важная вещь. В чем нюанс? Нюанс в том, что нет отечественных центров сертификации. Точнее, они есть, но они не признаются зарубежными браузерами и зарубежными компаниями. Соответственно, Государственная дума, правительство пытаются обязать разработчиков браузера автоматически встраивать отечественные сертификаты в браузеры. Зарубежные там уже есть».
Сертификаты безопасности требуются, например, для работы с сайтом госуслуг, любым интернет-банком или с мобильным банковским приложением. Интернет-магазинам тоже нужны сертификаты, чтобы покупатель был уверен, что он не попал на сайт мошенников. Примеры можно продолжать.
Пока проблема отзыва сертификатов у российских сайтов не кажется слишком серьезной. Действительно, тот же ЦБ и российские банки, попавшие под санкции, таких сертификатов лишились, но оперативно оформили новые в бельгийской компании GlobalSign — это один из крупнейших удостоверяющих центров в мире. Который, как оказалось, не боится работать с теми, кто попал под санкции. Пока не боится. Но сертификаты выдаются на определенное время, чаще всего на год. Потом их приходится обновлять. А что будет через год, предсказывать никто не берется.
Если те же бельгийцы и другие зарубежные удостоверяющие центры перестанут выпускать сертификаты для российских сайтов, придется устанавливать на них сертификаты российские, а они нигде в мире, кроме России, не признаются. О том, что можно сделать в таком случае, рассказывает бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий:
Алексей Лукацкий бизнес-консультант по информационной безопасности компании Positive Technologies «Можно использовать два российских браузера. Это «Яндекс.Браузер» или Atom от VK. В этом случае сертификаты от НУЦа встроены изначально. И сам адрес НУЦа, и информация о нем прописаны в браузере, поэтому с этих браузеров нет никакой проблемы зайти на любой ресурс, который поддерживает российские сертификаты. Либо мы должны внести информацию о НУЦе руками в свой браузер или в операционную систему. К сожалению, сделать это не всегда возможно, например, на ряде мобильных операционных систем это сделать нельзя. Поэтому с мобильных устройств некоторых производителей зайти на сайты, которые работают на сертификате НУЦа, является большой проблемой, если не сказать, что это вообще невозможно».
Согласно внесенным в Госдуму поправкам, разработчики браузеров и операционных систем, которые используются в России, должны включать в свои продукты поддержку отечественных сертификатов безопасности. Но никакого наказания за неисполнение этого требования пока не предусмотрено.