SSL-сертификат — это цифровая подпись сайта, которая удостоверяет подлинность сайта и обеспечивает зашифрованное соединение между сайтом и пользователями. SSL-сертификат представляет собой небольшой цифровой файл, обычно размером несколько килобайт, который устанавливается на сервер.
Браузеры считают сертификат сайта валидным, если в результате последовательных проверок электронных подписей удалось установить цепочку доверия до одного из корневых удостоверяющих центров, признанных производителем браузера или операционной системы. Все удостоверяющие центры, признанные Apple, Google, Microsoft и Mozilla, находятся за рубежом.
Сейчас в результате санкций у владельцев веб-ресурсов появились сложности, связанные с получением SSL-сертификата. Узнаем мнение экспертов, что делать в этой ситуации.
Алексей Игнатов — редактор/PR-менеджер Eternalhost
«С начала марта 2022 года крупнейшие поставщики SSL-сертификатов, включая Sectigo, Digicert, ZeroSSL, Buypass и SSLs.com, наложили санкции на владельцев веб-ресурсов из России и Беларуси. Сайты, находящиеся на национальных (ccTLD) доменах этих стран, были лишены возможности купить или перевыпустить ряд популярных видов цифровых сертификатов безопасности. В санкционный список попали домены:
.ru (.xn--p1ai);
.su;
.рф;
.by;
.бел (.xn--90ais).
Помимо самих российских и белорусских национальных доменов, действие санкций распространилось на все SSL-сертификаты с проверкой организации (OV, EV), содержащие в информации, прикрепленной к CSR-запросу (Certificate Signing Request, «запрос на выдачу сертификата»), реквизиты «Россия»/«Беларусь» (RU/BY, Russia/Belarus).
Таким образом, возможность выпустить или перевыпустить SSL-сертификаты ряда ведущих удостоверяющих центров была отозвана у всех организаций, юридических и физических лиц, проживающих или зарегистрированных в России и Беларуси.
Чем это грозит владельцу сайта
Использование SSL-сертификата подтверждает, что передача данных на сайте идёт в зашифрованном виде, с помощью криптографического протокола HTTPS (HyperText Transfer Protocol Secure). То есть этот электронный документ является одним из главных маркеров, свидетельствующих о безопасном статусе веб-ресурса для пользователей.
Сайты без SSL-сертификата могут обмениваться данными с браузером только по нешифрованному протоколу HTTP. Такие веб-ресурсы маркируются как ненадёжные и представляющие опасность для посетителей, что выражается в виде всплывающего предупреждения «Подключение не защищено». Для любого сайта такой «знак» равноценен блокировке.
Что можно предпринять
- Использовать SSL-сертификат от доступных центров сертификации. Несмотря на то, что к санкциям присоединились такие популярные вендоры SSL-сертификатов, как ZeroSSL, Buypass и SSLs.com.
У российских и белорусских сайтов осталось несколько проверенных вариантов. Самый популярный из них — Let’s Encrypt и, на данный момент, пока еще доступный GlobalSign.
Стоит отметить, что из-за возросшей нагрузки от Российский пользователей GlobalSign испытывает временные трудности с оперативной выдачей сертификатов.
В качестве альтернативы можно рассматривать сертификат от китайского поставщика FreeSSL.org.
- Использовать российский SSL-сертификат. Корневой сертификат выпускает Национальный удостоверяющий центр (НУЦ). Апробация российского SSL состоялась для пользователей цифрового портала «Госуслуги». На сегодня его включили в хранилища доверенных цифровых сертификатов безопасности отечественные браузеры «Яндекс.Браузер» и «Атом».
- SSL без проверки компании. При оформлении SSL-сертификата типа DV (domain validated), требующий проверки только по домену, пользователь может указать любое местонахождение и, следовательно, не попасть под действие «страновых» санкций».
Важно: это касается только доменов, находящихся не в зонах, которые мы перечислили выше:
.ru (.xn--p1ai);
.su;
.рф;
.by;
.бел (.xn--90ais).
Константин Чумаченко — генеральный директор NGENIX (группа компаний «Ростелеком»)
«Если у вас нет валидного SSL/TLS-сертификата, то веб-ресурс будет считаться небезопасным. В обмен пользователя с сервером может вмешаться злоумышленник, выдающий себя за ваш веб-ресурс.
Также большинство пользователей, увидевших в браузере предупреждение, покинут сайт, посещаемость и глубина просмотров упадут. Количество покупок и подписок также сократится: пользователи не расположены оставлять персональные и платежные данные из-за рисков безопасности. Поисковые системы пессимизируют сайт в поисковой выдаче, и вы потеряете трафик переходов.
В условиях санкций для владельцев веб-ресурсов появилось несколько рисков:
1. Невозможность оплатить продление сертификата в условиях текущих ограничений. Если вы приобрели сертификат у российского посредника, с проблемой оплаты может столкнуться посредник.
2. Может произойти отзыв сертификата зарубежным удостоверяющим центром при включении в организации в санкционный список. От этого уже пострадали крупные российские банки. Несмотря на то, что Минфин США разрешил экспорт в РФ технологий, связанных с веб-хостингом и регистрацией доменных имен, компании DigiCert и Sectigo не выпускают SSL-сертификаты для России и Беларуси. Поэтому и риск отзыва нельзя сбрасывать со счетов.
Как снизить эти риски?
- Продлевать сертификаты заблаговременно и на максимальный срок, который обычно составляет 2 года. Ничего страшного, если у вас будет несколько сертификатов с разными сроками действия от разных удостоверяющих центров. Это гораздо лучше, чем не иметь ни одного.
Если вы выпускаете сертификат в иностранном удостоверяющем центре при посредничестве российского партнера (регистратора доменов), удостоверьтесь у него, что оплата издателю сертификата прошла успешно.
- Можно получить бесплатный сертификат Минцифры через Портал Госуслуг — https://www.gosuslugi.ru/tls. Поддержка таких сертификатов встроена, например, в Яндекс.Браузер или «Атом» VK. Это позволит организовать защищенный обмен с пользователями в случае недоступности других решений.
Сейчас идет работа по внедрению российских стандартов шифрования — это приоритет для отечественного IT. Сертификаты ГОСТ TLS сегодня можно получить во многих отечественных удостоверяющих центрах. В разной степени их поддерживают Яндекс.Браузер, Internet Explorer, Chromium Gost и других браузеры при помощи плагинов.
Основной проблемой остается сложность настройки ГОСТ TLS для владельцев веб-ресурса. С появлением ГОСТ TLS в опенсорсных серверных решениях и библиотеках эти барьеры будут сниматься».
На данный момент все ранее выпущенные SSL-сертификаты продолжают свою работу до конца срока действия. А перевыпуски подписок и получение новых сертификатов приостановлены со стороны Sectigo, Digicert, Thawte, RapidSSL и GeoTrust.
Впрочем, как и во всем, сейчас нас ожидает импортозамещение. Владельцы сайтов будут приобретать сертификаты у российских или китайских вендоров. Если все иностранные компании совсем перестанут выдавать SSL-сертификаты, вероятно, в России станут популярными браузеры, которые работают с российскими сертификатами — Яндекс Браузер и Атом VK.
В любом случае, вы все еще можете приобрести SSL-сертификат у ADVANTSHOP . Так вы вы позаботитесь о безопасности своих посетителей и доверие к вашему сайту возрастет.