Добавить в корзинуПозвонить
Найти в Дзене
NStor - журнал о графике и нейросетях
90,7 тыс подписчиков

Крушение башни «MAX» 4 сентября (за неделю до 11 сентября): как зарубежный сертификат поставил крест на российском «цифровом суверенитете»

75,6 тыс
8 мин
4 сентября «Макс» может превратиться в тыкву. Или в сайтец, который браузеры дружно пошлют в цифровое "далеко". История о том, как один маленький сертификат от американских энтузиастов разом обнулил многомиллиардные обещания российского мессенджера и поставил под сомнение саму идею «независимого интернета», и обрезав возможности и многоплатформенность Макса. Пролог: «Мы сами всё построим!» (с) Помните, как пару лет назад нам взамен ушедших западных соцсетей и мессенджеров торжественно презентовали российские аналоги? … и, конечно, громкий проект: Позиционировался он как нечто особенное: сверхзащищенный, все свои, никаких вам «колокольчиков» от американских спецслужб. Им обещали заселять в отели, платить миллионные выплаты, а главное - он должен был стать символом того самого «цифрового суверенитета». Идиллия рухнула ровно в тот момент, когда стало понятно: даже самый суверенный российский мессенджер дышит воздухом мирового интернета. И этот воздух, простите, пропах санкциями. Сначала «
Оглавление

4 сентября «Макс» может превратиться в тыкву. Или в сайтец, который браузеры дружно пошлют в цифровое "далеко". История о том, как один маленький сертификат от американских энтузиастов разом обнулил многомиллиардные обещания российского мессенджера и поставил под сомнение саму идею «независимого интернета», и обрезав возможности и многоплатформенность Макса.

Крах "MAX" 4 сентября
Крах "MAX" 4 сентября

Пролог: «Мы сами всё построим!» (с)

Помните, как пару лет назад нам взамен ушедших западных соцсетей и мессенджеров торжественно презентовали российские аналоги?

  • «Рутуб»
  • «VK»
  • «Яндекс»

… и, конечно, громкий проект:

  • мессенджер «Макс» (он же Max).

Позиционировался он как нечто особенное: сверхзащищенный, все свои, никаких вам «колокольчиков» от американских спецслужб. Им обещали заселять в отели, платить миллионные выплаты, а главное - он должен был стать символом того самого «цифрового суверенитета».

  • «Нам не нужны ваши Google и Apple, - как бы говорили создатели. У нас есть свой магазин приложений, свои браузеры, а главное - мы сами решаем, кому доверять»

Идиллия рухнула ровно в тот момент, когда стало понятно: даже самый суверенный российский мессенджер дышит воздухом мирового интернета. И этот воздух, простите, пропах санкциями.

Первая подножка: когда AppStore хлопнул дверью

Сначала «Максу» отвесили оплеуху с неожиданной стороны. Apple, компания, которую в России любят ненавидеть и обожать одновременно, просто взяла и удалила приложение Max из AppStore. Под давлением санкций США. И всё.

Владельцы iPhone (а их, как мы помним, чуть ли не каждый второй в крупных городах) остались с носом. У кого приложение уже было установлено, те счастливчики. У кого нет, те могут хоть на стенку лезть, официально скачать «Макс» не получится. Никакой «суверенности»: если ты на iOS, ты играешь по правилам Apple. Россияне бросились ставить приложение по черным схемам, через «толстовки» и корпоративные профили. Но это было только начало, лёгкая разминка.

Но настоящий цирк начинается 4 сентября.

Вторая подножка: «Let's рукопожатие не получилось»

Итак, представьте картину. Есть некий Let's Encrypt. Это не хакерская группировка и не подразделение ЦРУ. Это некоммерческий центр сертификации, который раздаёт бесплатные TLS-сертификаты всем желающим, чтобы интернет был безопасным. Их миссия - «сделать шифрование доступным для каждого». Звучит по-доброму, правда? Но есть нюанс: работает Let's Encrypt под юрисдикцией США.

И тут начинается бюрократический анекдот.

— Дайте нам сертификат для «Макса», — просит российский разработчик.

— А вы кто? — спрашивает Let's Encrypt.

— Мы — «Коммуникационная платформа», создаём цифровой суверенитет!

— О, — сверяет Let's Encrypt санкционные списки OFAC. — Так вы ж у нас под санкциями. Не можем. Извините, удачи. Можете найти другой центр сертификации. Например, в Европе или Китае. Но мы - пас.

Ключевая дата — 4 сентября. Именно в этот день истекает текущий сертификат «Макса». И если разработчики не найдут альтернативу, то случится то, о чем не принято говорить в патриотических Telegram-каналах:

  • Веб-версия «Макса» перестанет нормально открываться в большинстве браузеров мира.

А что будет 4 сентября с обычным Ваней?

Вы заходите на сайт web.max.ru (или как там он называется). А браузер встречает вас не ленточной перепиской, а вот такой красно-белой паникой:

«Ваше соединение не является защищенным. Злоумышленники могут пытаться украсть ваши данные».

Варианты действий у браузера:

  • Chrome: красный замок, страница скрыта за предупреждением «опасно».
  • Firefox: тоже самое, только ещё более истеричным текстом.
  • Safari: молчаливо откажется открывать, сказав, что сайт не доверенный.

Технически обойти это можно (кнопка «Принять риск» или добавить исключение). Но скажите честно:

  • Ваша бабушка нажмёт эту кнопку?
  • А начальник отдела?
  • А тётя Зина из бухгалтерии, которая только-только научилась пользоваться мессенджером?

Нет. Браузеры годами приучали нас: увидел красный экран - беги, закрывай вкладку, там вирусы. И вдруг «Макс» предлагает всем дружно забыть об этом правиле. Волшебно.

«Свой» сертификат от Минцифры: ещё та сказка

«Не проблема! — воскликнут оптимисты. — Сделаем свой российский сертификат! Минцифра же нам выдаст. Цифровой суверенитет, ёлки-палки!»

Да, выдаст. Только есть один маленький, микроскопический нюанс, который превращает «свой» сертификат в фарс мирового масштаба.

Чтобы ваш браузер доверял сертификату, корневой сертификат удостоверяющего центра должен быть вшит в браузер при его компиляции. Грубо говоря, Chrome и Safari не знают и не хотят знать про российский Минцифровский центр. Для них это «левая шарашкина контора».

Что это значит на практике:

  1. Яндекс.Браузер и «Атом» — будут работать с «Максом» без проблем. Потому что они «наши» (и корневой сертификат туда добавили).
  2. Google Chrome, Mozilla Firefox, Safari, Opera (обычная) — пошлют «Макс» лесом.

Чтобы пользователь «обычного» браузера смог зайти в «Макс», ему придётся:

  • Скачать с сайта Минцифры корневой сертификат.
  • Залезть в глубинные настройки браузера.
  • Вручную его импортировать как «доверенный».
  • При этом согласиться с кучей предупреждений, что он всё делает на свой страх и риск.
  • А потом домен должен попасть в публичный CT-список (это техническая магия, которая требует времени и плясок с бубном).

И кто это будет делать?

Только гики, энтузиасты и параноики. Обычный пользователь, увидев слово «сертификат», просто удалит «Макс» и пойдёт в Telegram. Даже несмотря на то, что Telegram тоже не подарок с точки зрения «суверенности».

iOS против: когда веб не спасёт

Вспомним про iPhone. Даже если какой-то чудом российский сертификат начнут принимать хотя бы половина браузеров, владельцы «айфонов» всё равно в пролёте.

  • Если у вас нет установленного приложения Max до 4 сентября — вы не сможете его установить (Apple удалила).
  • Если вы попытаетесь зайти в веб-версию через Safari на iPhone — Safari (а это браузер от Apple, который живёт по своим правилам) тоже покажет красный экран.

Единственный способ для айфонщика продолжать пользоваться «Максом» после 4 сентября:

  1. У вас уже установлено приложение.
  2. Вы его не удаляете.
  3. Вы никогда не сбрасываете телефон.
  4. Вы не меняете телефон на новый.
  5. Вы молитесь, чтобы приложение не требовало переавторизации через веб-интерфейс.

Звучит как план по выживанию в постапокалипсисе, а не как работа популярного мессенджера.

Китайский вариант: компромисс с нюансом

«Есть же Китай! — скажут сторонники многополярного мира. — Пусть «Макс» получит сертификат у китайского центра!»

Да, можно. И китайские центры сертификации существуют. Только Chrome, например, относится к некоторым китайским корневым сертификатам с подозрением. Их могут добавить в списки недоверенных. Кроме того, китайские сертификаты - это де-факто возможность для Пекина заглядывать в зашифрованный трафик (потому что центр сертификации может выпустить поддельный сертификат в любой момент). Для мессенджера, который якобы заботится о приватности, такое партнёрство выглядит максимально сомнительно.

Но, допустим, китайский вариант прокатит. Тогда проблема с iOS никуда не денется. И проблема с доверием тоже.

Ирония судьбы: «суверенитет» оказался красивым ярлыком

А теперь давайте посмотрим правде в глаза. Вся эта история - идеальная иллюстрация того, как работает современная глобальная IT-инфраструктура. Сколько бы денег ни вкладывали в «цифровой суверенитет», пока:

  • доменные имена раздаёт корпорация ICANN (под юрисдикцией США);
  • сертификаты безопасности — Let's Encrypt и другие американские/европейские корневые центры;
  • браузеры правят бал Google, Apple и Mozilla,
  • мобильные ОС — от Google и Apple,

...до тех пор никакой «Макс» не станет по-настоящему суверенным. Он будет как ребёнок, который громко кричит «Я сам!», но при этом тянется к маминой юбке.

4 сентября «Макс» получит вторую подножку. Первую ему дал App Store. Вторую - маленький бесплатный сертификат, который американский некоммерческий фонд отказался продлевать из вежливости перед санкциями.

И самое обидное: эту подножку поставил даже не враг. Её поставила доброжелательная организация, которая просто сказала:

  • «Парни, вы под санкциями. Правила есть правила. Вы бы лучше нашли кого-то другого»

Что будет после 4 сентября?

Три сценария, от маловероятного до почти неизбежного:

  1. Идеальный: Разработчики «Макса» договариваются с европейским центром сертификации (например, Let's Encrypt, но ой, они в США... ну с каким-нибудь швейцарским). Вероятность — 5%. Потому что Европа в санкционном вопросе ещё более ретива, чем США.
  2. Китайско-компромиссный: Берут сертификат в КНР. Chrome начнёт ругаться, Safari — игнорировать, Android-пользователи как-то выживут, iOS — мёртвая зона. Вероятность — 30%.
  3. «Российский суверенный» (реалистичный): Берут сертификат Минцифры. «Макс» превращается в мессенджер для пользователей Яндекс.Браузера и «Атома». Все остальные либо уходят, либо мучаются с ручной установкой корневых сертификатов. Популярность падает в 10 раз. Инвесторы рыдают. Проект тихо умирает. Вероятность — 65%.

Эпилог: «До свидания, Макс, или здраствуй, гетто?»

Как же хочется верить в прекрасное будущее, где «Макс» расцветёт, несмотря на санкции, и мы все будем дружно заселяться в отели и получать миллионные выплаты. Но реальность такова, что техническая инфраструктура интернета - это не политика. Ей плевать на патриотизм. Ей плевать на то, что «мы так решили».

4 сентября — это не техническая проблема. Это проблема доверия к заявлениям о цифровом суверенитете. Когда мессенджер не может решить вопрос с бесплатным сертификатом - что уж говорить о сложных вещах?

Так что, дамы и господа, приготовьте попкорн. «Макс» либо совершит чудо (маловероятно), либо превратится в очередную локальную игрушку для избранных, работающую только в «родных» браузерах. Третьего не дано.

И да, если вы до сих пор пользуетесь «Максом» на iPhone — никогда не удаляйте приложение. Берегите его как зеницу ока. Ибо после 4 сентября скачать его снова будет... скажем так, нетривиальной задачей.

Добро пожаловать в реальный мир «цифрового суверенитета». Здесь даже сертификат приходится клянчить у тех, кого сам же объявил врагами. Красиво, ничего не скажешь.

P.S. Решение проблемы описано в этой статье:

Как установть себе корневой сертификат от Минцфиры (подробная инструкция)
NStor - журнал о графике и нейросетях15 июня

703