В наш век стремительно развивающихся технологий защита данных имеет особое значение. Поэтому и были придуманы веб-сертификаты, обеспечивающие качественную электронную идентификацию людей и организаций в интернете. Разработкой сертификатов занималась одна из крупных американских ИТ-корпораций. Казалось бы, все ок — ИТ-компания создает ИТ-продукт, чтобы облегчить жизнь людям во всем мире. Понятно, что не за красивые глазки, но все же. И тут на сцену выходят правительства европейских государств, в частности, стран Евросоюза. Они хотят создавать собственные сертификаты. Причем уже не в первый раз.
Сертификаты EV — Extended Validation с расширенной проверкой
Чуть раньше в этих же целях ЕС пытался использовать сертификаты EV SSL. Они предполагали относительно сложную процедуру выдачи: и сам центр сертификации должен был пройти перед запуском проверку, и владельцев сайта проверяли на соответствие личности/наличие юрлица. Из-за этого верификация каждого ресурса стоила довольно дорого. К тому же один из американских ИТ-специалистов проверил «безопасность» EV-сертификата на деле: оказалось, что мошенникам ничего не стоит получить EV SSL для фишинговой площадки, достаточно просто зарегистрировать юрлицо со схожим названием.
В связи с этим EV SSL быстро утратил популярность. Одним из первых отказался от их поддержки Google. И вот теперь правительственные центры заходят на второй круг — для улучшения безопасности хотят выбрать QWAC. Предполагается, что требования к сертификатам будет прорабатывать отдельный орган — Европейский институт телекоммуникационных стандартов.
Забота правительства или вселенский заговор?
Фактически члены Европейского парламента, с их слов, затеяли все это для того, чтобы уйти из-под влияния крупных американских ИТ-корпораций, которые сейчас отвечают за регулирование электронной идентификации. Однако общественность выступила резко против. Около 500 европейских специалистов по инфобезопасности подписали открытое письмо против данной инициативы. Привожу выдержку из него:
«Нынешнее предложение радикально расширяет возможности правительства следить как за своими гражданами, так и за жителями всего ЕС, предоставляя им технические средства для перехвата зашифрованного веб-трафика, а также подрывая существующие механизмы надзора, на которые полагаются европейские граждане. В частности, постановление позволяет всем странам-членам ЕС (и признанным третьим сторонам) определять криптографические ключи, доверие к которым является обязательным; это доверие может быть отозвано только с разрешения правительства. Это означает, что любая страна-член ЕС или третья сторона, действуя самостоятельно, может перехватывать веб-трафик любого гражданина ЕС, а эффективных средств правовой защиты не существует».
Есть еще один нюанс: проект запрещает проверку безопасности веб-сертификатов ЕС, если это прямо не разрешено при установлении зашифрованных соединений веб-трафика. В свете демократических свобод выглядит не очень, согласитесь? Фактически правительства смогут мониторить медицинские и финансовые (банковские) данные, личные переписки. И при этом их никто не сможет поймать за руку: браузеры будут обязаны доверять сертификатам ЕС, даже если с их точки зрения они не удовлетворяют общепринятым принципам безопасности. Кстати, к обращению подключились Mozilla, Cloudflare, Linux Foundation, высказав по этому поводу собственный протест. Играющая на поле ЕС European Signature Dialogue обвинила возмущающихся в дезинформации — впрочем, без особых доказательств.
Техническое общество напоминает уже исторические примеры с сертификатами безопасности веб-сайтов от турецкой TurkTrust, китайской CNNIC, французской компании ANSSI. Во всех случаях у «местных» сертификатов были обнаружены серьезные бреши в безопасности, и разработчики браузеров тогда смогли вмешаться в ситуации. Насколько это будет реально с веб-сертификатами от правительственных кругов, пока никто не может сказать.
Причем тут Россия
На самом деле представители ЕС не зря беспокоятся за свою автономность. В начале СВО американские ИТ-компании пытались повлиять на российский сегмент интернета, отказавшись продлевать и продавать сертификаты веб-сайтов. А, как известно, браузеры и поисковые системы не любят несертифицированные ресурсы. Первые их блокируют или выдают пользователю предупреждение о небезопасности площадки, а вторые не горят желанием ранжировать такой сайт. В итоге проблему, конечно, решили: сейчас можно установить российский или бесплатный иностранный сертификат с маленьким сроком действия, но в самом начале проблем россияне хватили сполна.
Так что, может, представители ЕС не так уж и не правы, желая отказаться от «чужих» SSL? Рассмотрение закона должно произойти уже скоро, в начале этого — 2024 — года. Посмотрим, чем это закончится — лишением привилегий разработчиков браузеров или созданием прецедента, который приведет к перевороту в ИТ-индустрии.