Всё больше российских онлайн–сервисов, сайтов и банков переходят на сертификаты безопасности Минцифры. Это должно гарантировать защиту от мошеннических сайтов, но механизм применим только для интернет–браузеров, разработанных в России.
С марта 2022 года пользователи скачали корневой сертификат Минцифры 16 млн раз. Количество доменов, на которые выпущены сертификаты безопасности, достигло почти 16 тыс., сообщили "ДП" в министерстве. Всё это должно помочь сохранить доступность сайтов для рядовых пользователей Всемирной сети.
Выбирай своё
“
"В прошлом году зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. Минцифры предоставляет бесплатный отечественный аналог таких сертификатов. Переход на российские TLS–сертификаты обеспечивает независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам", — утверждают в Минцифры.
На отечественные сертификаты безопасности российские онлайн–сервисы, банки и сайты начали переходить с прошлого года. Из финансовых организаций первыми были "Сбер", банк "Санкт–Петербург", СМП Банк, Московский кредитный банк, Совкомбанк.
В августе сервис "Парковки Санкт–Петербурга" также рекомендовал своим пользователям с осени 2023 года установить сертификат безопасности Минцифры.
"Обязанности по установке таких сертификатов нет. Это возможность, которую Минцифры предлагает тем, кто хочет перейти на отечественные сертификаты. Обратиться за выпуском сертификата может любая российская организация. Компании могут получить сертификат безопасности для своего домена, подав заявку на “Госуслугах”. Пользователям для получения защищённого доступа ко всем сайтам и онлайн–сервисам мы рекомендуем применять браузеры с поддержкой российских сертификатов: “Яндекс.Браузер” или “Атом”", — подчёркивают в министерстве.
Между тем у обычных пользователей внезапно выскакивающее от имени банка предупреждение о том, что "скоро для оплаты потребуется сертификат Минцифры", вызывает скорее панику, так как широкой информационной кампании о происходящем до сих пор не развернули ни сами банки, ни государственные структуры. А встречаются подобные предупреждения в последнее время всё чаще и чаще, особенно при попытке совершить перевод денежных средств.
Подлинники сайтов
Сертификат безопасности сайта — это цифровой документ, который подтверждает, что соединение между пользователем и веб–сайтом защищено шифрованием, объясняет руководитель департамента информационной безопасности "Имба ИТ" Сергей Беспалов. Шифрование обеспечивает безопасность передачи данных между пользователем и сервером. В том числе и таких деликатных, как личная информация или банковские данные. Сертификат также подтверждает подлинность веб–сайта, гарантируя пользователям, что они связываются именно с тем ресурсом, который они ожидают.
"Если по–простому, то сертификат позволяет удостовериться в том, что пользователь зашёл на подлинный сайт, а не поддельный, созданный с целью перехватить его данные", — поясняет в свою очередь руководитель отдела разработки компании — разработчика российского веб–сервера Angie Валентин Бартенев.
Чтобы удостовериться, что предъявленному сайтом сертификату можно доверять, он подписывается ещё одним сертификатом — удостоверяющего центра. Сертификат удостоверяющего центра в свою очередь может быть подписан сертификатом другого удостоверяющего центра и т. д. Последний сертификат в такой цепочке называется "корневым". Он выпускается одним из крупных известных удостоверяющих центров, рассказал Егор Леднев, директор по сервисам компании RooX.
"Таких корневых сертификатов относительно немного, производители операционных систем и браузеров доверяют им и включают в свои дистрибутивы. Благодаря этому браузеры могут проверять подлинность сайта и предупреждать пользователя, если с сертификатом что–то не так", — говорит он.
По данным Reg.ru и GlobalSign, в 2020 году Россия занимала девятое место в мире по количеству пользователей SSL–сертификатов. При этом львиная доля практически из полутора миллионов сертификатов приходилась на зарубежные удостоверяющие центры. В нынешних условиях они вполне могут отозвать свои сертификаты для российских компаний в связи с санкциями. Чтобы компенсировать возможные риски, компании начали переходить к российским провайдерам.
IT–предприниматель, венчурный инвестор, основатель ГК Itglobal.com Дмитрий Гачко говорит, что SSL–сертификат предотвращает перехват и манипулирование данными. Браузер пользователя проверяет наличие этого сертификата на веб–сайте. Если сертификат присутствует и действителен, веб–сайт считается безопасным. Пользователь может определить это по значку в виде закрытого замка в левой части адресной строки браузера.
Элегантный вариант
По мере истечения сроков действия сертификатов, которые обычно длятся 1–2 года, нужно будет их обновлять. Но сейчас, когда западные удостоверяющие центры перестают работать с клиентами из России, это сделать невозможно.
Дмитрий Гачко отмечает, что Минцифры быстро отработало, когда год назад выпустило свой корневой сертификат. "Проблема в том, что быстрое решение не всегда оптимально, так как маловероятно, что Минцифры удастся найти общий язык со многими разработчиками ОС, смартфонов и браузеров и убедить их включить такой сертификат в перечень доверенных. В результате любой сайт с подобным сертификатом будет восприниматься всеми остальными как неполноценный и подозрительный, что весьма нежелательно", — при этом подчёркивает он.
В качестве альтернативы существовал замечательный и в каком–то смысле элегантный вариант — обратиться к концепции саморегулируемых организаций и предложить всем существующим в стране удостоверяющим центрам, которые выдают ЭЦП, войти в этот рынок. Далее они могли бы помочь распространять свои корневые сертификаты на международном уровне. Коммерческие организации сами занимались бы поиском решений и договорённостей о признании своих сертификатов.
Сергей Беспалов говорит, что сертификаты в первую очередь отозвали у компаний, которые находятся под санкциями. В результате личная информация может быть недостаточно защищена, что приводит к появлению предупреждений о небезопасности при попытке посещения этих ресурсов. Установка российских сертификатов обеспечивает безопасный доступ ко всем сайтам с любых устройств и защиту данных.
Он обратил внимание, что для полноценного функционирования цепочки доверия между пользователем и сервером необходимо, чтобы браузер пользователя доверял сертификатам, выданным Минцифры. "Этого, к сожалению, по умолчанию не происходит, так как разработчики популярных браузеров не включили корневой сертификат Минцифры в список доверенных. В результате пользователи вынуждены либо вручную устанавливать данный сертификат на свои устройства, либо использовать браузеры, разработанные в России", — признаёт эксперт.
Валентин Бертенев в свою очередь замечает, что само по себе наличие того или иного сертификата не является гарантией безопасности и подлинности. "Безопасность обеспечивается цепочкой доверия: один сертификат удостоверяет подлинность другого сертификата и так по цепочке, пока не дойдёт до корневых сертификатов, которым вы доверяете безусловно. В данном случае речь идёт о сертификате Минцифры. То есть если вы доверяете Минцифры, то, значит, вы доверяете и сайту, сертификат которого, был удостоверен сертификатом от Минцифры".
Установка сертификата пользователем в данном случае означает добавление его в тот самый список корневых сертификатов, которым пользователь безусловно доверяет. Если сам сайт будет предлагать пользователю установить такой сертификат, то это компрометирует всю идею сертификатов. Ведь и сайт злоумышленников точно так же может попросить пользователя добавить свой сертификат в список доверенных. И таким образом выдать себя за онлайн–банк или какой–то другой критичный сервис, украсть данные пользователя. Поэтому установка сертификатов должна происходить только из заведомо безопасных, подлинных источников.
