Переход на отечественный TLS-сертификат. Инструмент слежки или гарантия автономности?

Юлия Сунцова

Министерство цифрового развития, связи и массовых коммуникаций РФ советует россиянам установить отечественные TLS-сертификаты на свои устройства для доступа к госуслугам и банкам. После отзыва зарубежными компаниями своих сертификатов системы выдают предупреждение о небезопасности дальнейшего использования российских ресурсов. Некоторые компании в России уже опубликовали инструкции для пользователей по установке отечественных продуктов защиты от цифровых угроз.

«Переход на российские TLS-сертификаты обеспечит безопасный доступ ко всем ресурсам в любом браузере пользователям всех операционных систем, а также независимость от зарубежных удостоверяющих центров», — объяснили в Минцифры идею новых сертификатов.

Что такое SSL-сертификат? SSL-сертификат отображается в левом углу адресной строки браузера в виде закрытого замка. Так пользователь может определить, является ли сайт надежным или фишинговым. Во втором случае персональные и платежные данные, оставленные на таком сайты, могут попасть в руки злоумышленникам, как и сам платеж. SSL-сертификаты выпускают удостоверяющие центры — специальные организации, которые также поддерживают их работу. Существуют три основные цели использования таких сертификатов: шифрование данных между пользователем и сайтом; сертификат выступает в качестве своеобразного «удостоверения личности» для организации и защищает пользователя от фишинговых сайтов; улучшает ранжирование в поиске — сайты, у которых сертификат отсутствует, опускаются ниже в выдаче.РБК

Напомним, с марта 2022 года из-за санкций зарубежные удостоверяющие центры начали отзывать у попавших под санкции российских банков SSL-сертификаты, обеспечивающие безопасность сайта и сохранность персональных данных. У ЦБ, ВТБ, Совкомбанка, Промсвязьбанка на некоторое время мог снижаться уровень защиты, хотя банки и утверждали обратное.

В сентябре также возник вопрос продления действующих сертификатов для организаций, которые не попадали под санкции, однако у российской стороны возникли сомнения в том, что зарубежные партнеры в дальнейшем будут готовы пролонгировать договоры обслуживания.

Сбер объявил на прошлой неделе, что начал устанавливать на все свои сайты, рабочие ресурсы и системы сертификаты, выпущенные Национальным удостоверяющим центром Минцифры.

Немногим раньше на портале «Госуслуг» были опубликованы инструкции для граждан по установке российских сертификатов безопасности на личные устройства.

Организации, подотчетные государственным ведомствам, также стали призывать россиян устанавливать российский продукт.

Проблема в том, что российская разработка будет совместима только с Яндексом и (или) Атомом (от VK), для других браузеров ее придется импортировать в корневой сертификат. Это дает возможность реализовать атаку MITM на трафик, которую будет непросто заметить со стороны пользователя. Способ обезопасить себя — завести отдельный телефон с Яндекс-браузером и на российские сайты ходить только с этого отдельного устройства, отмечают эксперты.

«Во-первых, удостоверяющий центр от Максута Шадаева [Минцифры РФ] не признается ни одним современным браузером, за исключением отечественных Яндекса и Атома. Во-вторых, установка этих сертификатов открывает „окно“ для утечки данных и слежки за действиями россиян в сети. Что-то подобное пытался провернуть в свое время Казахстан для чтения трафика, но тогда сертификаты были заблокированы Google и Mozilla. И это создает угрозу пользователям», — отмечают эксперты Роскомсвободы.

Еще один «побочный эффект» — рунет с отечественными сертификатами безопасности становится недоступным для пользователей за рубежом. Уехавшим с началом спецоперации и мобилизации россиянам, ровно как и согражданам, временно находящимся заграницей по учебе или работе, придется сильно попотеть, чтобы из Грузии, Турции, Азии или Европы зайти в свой личный кабинет на Сбере или заплатить за московскую квартиру, например.

Антон Меркуров, вице-президент ассоциации интернет-издателей «Интернет-эксперт»:

— Во-первых, переход на отечественный сертификат безопасности — это небезопасно. Когда вы заходите на какой-либо сайт, пользуетесь любым сервисом, соединение шифруется. Это шифрованное соединение обеспечивается сертификатом, выданным третьей стороной, медиатор подтверждает и гарантирует вам качество этого шифрования. Новые сертификаты будут выдаваться теперь не независимыми посредниками, а органами российской власти. Всё, к чему прикасается российское государство, особенно в сфере высоких IT-технологий, скомпрометировано очень надолго. Пользователи, которые сами себе это поставят, открывают дверь в свою спальню сотрудникам ФСБ.

Во-вторых, по моему мнению, всё, что в России делается для «укрепления суверенитета» — это попытки установить еще больший контроль над гражданами с целью их в дальнейшем покарать. Использовать свое, потому что "чужое нам угрожает" — очередные страшилки для глупых. Остается только надеяться, что, как это было на всех предыдущих таких проектах, деньги отмоют, но работать ничего не будет. Мы давно уже разломали наш интернет. И дальше будем доламывать. Лежит трупик интернета и его насилуют со всех сторон…

Другие же эксперты не видят в использовании TLS-сертификатов отечественной разработки ничего сверхстрашного и считают, что таковые ради автономности работы российского госсектора необходимо было внедрять еще лет 10-15 назад.

Никита Шевляков, разработчик, основатель интернет-агентства Future:

— Наличие сертификата на сайте служит для пользователей web-ресурса гарантией защиты данных от попадания к третьим лицам во время обмена с сервером. Визуально свидетельство такой защиты - зеленый замочек и подпись «защищено» в углу сайта. А вот содержимое сайта с самоподписанным сертификатом может быть фишингом, поэтому стоит проверять корректность доменного имени.

Однако чтобы это работало в России и обеспечивало должный уровень безопасности внутригосударственных сервисов (особенно это касается банковских и других связанных с финансами сайтов), необходимо создавать именно российские центры сертификации, которые будут доверенными в популярных браузерах.

Идея Минцифры выдавать собственные TLS-сертификаты является обоснованной и правильной, потому что сейчас сохраняется угроза быть одномоментно отключенными от европейских удостоверяющих центров, что приведет к перебоям в работе госуправления и финансового сектора.

Александр Вураско, руководитель группы развития диджитал сервисов Центра мониторинга и реагирования на кибератаки «Ростелеком-Солар»:

- Подобные сертификаты необходимы и используются для обеспечения безопасности передачи данных между пользователем и сервером, к которому он обращается, помогает защитить данные от перехвата по пути.

Отечественные сертификаты не то, чтобы сегодня будут изобретаться, они уже существуют и они не хуже зарубежных в этой своей главной функции.

Опасения россиян, которые я наблюдаю последние дни — товарищу майору жизнь облегчаем, вот он теперь завладеет всей информацией, которая передается при использовании этих новых сертификатов. Спешу вас успокоить: данная информация у товарища майора уже давно есть в полном объеме. Мы говорим об использовании этих сертификатов при обеспечении деятельности органов власти, государственных учреждений, банковского сектора и т. д. Глупо думать, что все свои данные, которые вы до этого сами вводили на Госуслугах или оставляли в банках, всё еще неизвестны государству. О новой информации, которую могли бы перехватить при помощи этих сертификатов, речи не идет. Да и придуманы они не для того, чтоб спецслужбы перехватывали трафик, а для того, чтобы обеспечить защиту данных на уровне пользователей. Иными словами, для наших пользователей я угроз и поводов для паники не вижу, всё это уже итак известно нашим спецслужбам, однако угроза перехвата этих данных спецслужбами других стран реально существенно снижается. И нет, это не очередной распил средств в отечественном IT-секторе, по одной простой причине: на этом много не заработаешь.

Facebook, Instagram (деятельность этих соцсетей признана экстремистской и запрещена в России), Телеграм и другие соцсети, которыми вы пользуетесь, продолжают работать на зарубежных сертификатах и вообще на сертификатах иного рода.

А вот собственные сертификаты безопасности для органов госвласти, отечественных финансовых учреждений, соединения с которыми по умолчанию должны быть защищены, я считаю, верная и важная инициатива, это залог безопасности для функционирования систем государства, да и просто цифровая гигиена. Мне, например, сложно представить, как какая-нибудь американская компания сидит на сертификатах российского удостоверяющего центра. Я придерживаюсь идей цифрового либерализма, но в данном случае суверенитет оправдан. По-хорошему, свои сертификаты безопасности уже пора было внедрить лет 10-15 назад, а сейчас, в условиях санкций, сам бог велел.

Давайте проверим прямо сейчас. На сайте Сбербанка, например, уже предлагается отечественный сертификат, есть подробная инструкция, как его установить, даже самый далекий от компьютерных технологий человек сможет это сделать.

На сайте Госуслуг пока зарубежный сертификат, что ж…

Какие именно угрозы мы рассматриваем, если лишаемся сертификатов безопасности как таковых? Речь, прежде всего об утечке данных при работе с популярными браузерами. Если защиту не установить на эти браузеры, ваши данные могут перехватить и использовать злоумышленники: логины, пароли, доступ в ваш аккаунт. И мы говорим сейчас не только о пользователях-сотрудниках и внутренний системах госучреждений, но и о рядовых клиентах. С банковскими приложениями, например, другая история, но вот если вы заходите в личный кабинет Сбербанка с браузера, лучше дополнительно установить сертификат. В первую очередь, это необходимо проделать со всеми организациями, оказавшимися под санкциями.