Минцифры предложило обязать предустанавливать государственные SSL-сертификаты на технику, продаваемую в России

Минцифры предложило переустанавливать государственные SSL-сертификаты на устройства. Об этом во время своего выступления на Международной конференции администраторов и регистраторов национальных доменов сказал глава компании «Рунити» (объединяет RU-CENTER, Рег.ру и SpaceWeb) Андрей Кузьмичев. 

Речь идёт о так называемых SSL- и TLS-сертификатов. Их устанавливают на любые устройства, которые имеют доступ к интернету: за счёт сертификатов между пользователем и сервером устанавливается надёжное соединение, благодаря чему браузеры могут «доверять» соединению. Сертификаты выдаются специальными удостоверяющими центрами и имеют «срок годности». В начале войны российские и белорусские сервисы пострадали от того, что западные GeoTrust, Sectigo, DigiCert, Thawte и Rapid перестали их поддерживать. 

Одна из основных проблем государственных SSL-сертификатов — большие возможности для атак зашифрованного трафика, в частности при использовании протокола HTTPs. В нормальной ситуации зашифрованные таким образом пакеты невозможно «вскрыть»: провайдер может узнать, к какому сайту у пользователя было подключение и проанализировать трафик при помощи инструментов вроде DPI, чтобы узнать некоторые подробности, однако не может «вскрыть» и посмотреть содержание контента. Если соединение будет скомпрометировано, браузер не позволит соединиться с сайтом и предупредит об опасности соединения (по этой же причине современные браузеры считают протокол HTTP «опасным» для пользователя).

Наличие установленного на устройстве сертификата позволит провести так называемую «man in the middle»-атаку, при которой провайдер подменит сертификат и «притворится» сайтом, чтобы получить информацию из трафика. Пользователь не узнает о подмене, так как компания будет выступать посредником между реальным сервисом и гражданином. Это позволит государству узнать любые пересылаемые данные и полностью скомпрометирует конфиденциальность. Исследователи выяснили, что несколько лет назад такую технологию опробовало правительство Казахстана.

Кузьмичев пожаловался, что российские SSL-сертификаты ГОСТ и ECDSA от «Технического центра Интернет» не пользуются спросом и «никому» не нужны, «потому что корневой сертификат отсутствует на всех устройствах и браузерах». По словам предпринимателя, Минцифры уже решило «вмешаться в эту историю» и начало обсуждать с ритейлерами возможность предустановки российских сертификатов на все устройства.

«Мы находимся в активной стадии обсуждения законодательного регулирования вокруг российских сертификатов и национальной криптографии. Осенью мы ожидаем появления регулирования в этом деле <..> Минцифры с представителями отраслевого сообщества создали группу для разработки нормативного регулирования этой сферы. Это нормативное регулирование откроет возможность предустанавливать на технику, которая поставляется в Россию, корневые сертификаты. Это нужно, если наши зарубежные партнеры в момент отключат доступ российским компаниям и физическим лицам к международным удостоверяющим центрам. Тогда у нас будет альтернатива», — утверждает Кузьмичев.