Осенью 2024 г. Минцифры выступит с первичным предложением регулирования отрасли SSL-сертификатов в РФ. Оно может содержать требование предустанавливать на технику, поставляемую в РФ, отечественные корневые сертификаты. Пока российские SSL-сертификаты не востребованы у владельцев сайтов, а зарубежные браузеры относят такие сайты к незащищенным.
Глава группы "Рунити" (объединяет RU-CENTER, "Рег.ру" и SpaceWeb) Андрей Кузьмичев на 17-й Международной конференции администраторов и регистраторов национальных доменов 5 сентября сообщил, что с апреля 2024 г. в RU-CENTER доступна покупка SSL-сертификатов ГОСТ и ECDSA от Технического центра Интернет. По его словам, российские SSL-сертификаты составили менее 10% от общего объема продаж: клиенты пока не склонны выбирать отечественное решение.
"Мы в апреле 2024 г. вместе с Техническим центром Интернет дали клиентам возможность покупать российские сертификаты. Но они никому не нужны, потому что корневой сертификат отсутствует на всех устройствах и браузерах. Министерство цифрового развития, связи и массовых коммуникаций РФ поняло, что надо вмешаться в эту историю. Мы находимся в активной стадии обсуждения законодательного регулирования вокруг российских сертификатов и национальной криптографии. Осенью мы ожидаем появления регулирования в этом деле. И мы как ведущий российский провайдер, конечно, будем прикладывать максимум усилий, чтобы страна, в случае чего, была хотя бы с сертификатом", - сообщил Андрей Кузьмичев.
По его словам, в российском законодательстве нет норм, которые регулировали бы шифрование интернет-трафика с помощью сертификатов SSL или TLS.
"Минцифры с представителями отраслевого сообщества создали группу для разработки нормативного регулирования этой сферы. Это нормативное регулирование откроет возможность предустанавливать на технику, которая поставляется в Россию, корневые сертификаты. Это нужно, если наши зарубежные партнеры в момент отключат доступ российским компаниям и физическим лицам к международным удостоверяющим центрам. Тогда у нас будет альтернатива", - рассказал в беседе с корреспондентом ComNews Андрей Кузьмичев.
По его словам, важно, чтобы не было монополии Национального удостоверяющего центра, который подведомственен Минцифры, и чтобы сохранился коммерческий рынок сертификатов, которые представляют компании на разных условиях с разными ценами.
Зачем нужны SSL-сертификаты
Когда пользователь заходит на любой сайт и вписывает логин и пароль, устанавливается защищенное соединение между браузером и сайтом, чтобы никто не мог подсмотреть, какие данные вводит пользователь. Эта технология раньше называлась SSL, теперь - TLS, но SSL по-прежнему часто используется. Это транспортный протокол, идея которого проста: устанавливается туннель между вашим браузером и сайтом. Туннель защищен различными криптографическими алгоритмами.
С помощью SSL-сертификата происходит шифрование данных, передаваемых между устройством клиента и сервером. Этот сертификат должен быть подтвержден либо операционной системой, либо браузером.
Существует глобальная организация CA/Browser Forum, которая контролирует рынок сертификатов. Она решает, каким удостоверяющим центрам можно доверять. Последние 10 лет Россия безуспешно пыталась получить признание этой организации.
Как объяснил Андрей Кузьмичев, попытки России тщетны, поскольку CA/Browser Forum финансируется компаниями, связанными с Америкой, такими как Google и Amazon; поэтому российские сертификаты не встраиваются во все операционные системы Windows и ключевые браузеры.
"Глобальное сообщество не доверяет российским сертификатам, так как считает, что если российские спецслужбы имеют доступ к корневому сертификату, то они могут читать весь трафик. В то же время доступ американских спецслужб к корневым сертификатам американских удостоверяющих центров считается нормальным", - объяснил Андрей Кузьмичев.
Компании, выпускающие сертификаты, называются удостоверяющими центрами. В России сейчас их два: это Технический центр Интернет, с которым RU-CENTER интегрирован для автоматического выпуска сертификатов, и Национальный удостоверяющий центр, подведомственный Минцифры.
"Когда корневого сертификата нет, при попытке зайти на такой сайт, появляется в браузере предупреждение, что этот сайт ненадежный. Проблема российских удостоверяющих центров в том, что де-факто они обеспечивают шифрование, но на практике пользователи сталкиваются с тем, что их браузер не уверен, что этим странным российским сертификатам можно доверять. Почти все российские сайты зашифрованы американскими сертификатами. Самый популярный из них некоммерческий - это Let’s Encrypt, проект компании Google, который выпускает бесплатные сертификаты. Из коммерческих - это компания GlobalSign, сайт которой находится под юрисдикцией Японии", - объяснил Андрей Кузьмичев.
Нужно ли вмешательство регулятора
Генеральный директор ООО "Домены.РФ" (Rf.ru) Андрей Савельев считает, что сертификаты, выданные в России, оказались невостребованными из-за проблемы совместимости с браузерами, особенно с американским продуктом Google Chrome. По его мнению, возможны были недоработки со стороны российских разработчиков.
Андрей Савельев подчеркнул, что выпуск российского сертификата на рынок в таком виде был недопустимым - необходимо сначала протестировать и создать качественный продукт, который работал бы со всеми браузерами и приложениями.
Андрей Савельев предположил, что регулирование может привести к положительным изменениям в использовании российского SSL: "Возможно, условия его использования станут более приемлемыми. Регулирование необходимо для создания нормального российского SSL, который будет работать везде, а не только в определенных условиях".
Генеральный директор ООО "Технический центр Интернет" Алексей Рогдев сообщил, что после февраля 2022 г. у многих российских организаций в одностороннем порядке сертификаты отозвали, и теперь браузер помечает такой сайт как незащищенный. Алексей Рогдев привел в пример сайт Сбера и отметил, что история с отзывом сертификата наиболее актуальна для банков.
"Регулирование TLS сертификатов на государственном уровне - это плохо, потому что в таком случае государство не позволит сформироваться рынку, не будет конкуренции. Но при этом государство должно думать, как обезопасить себя, государственные сайты. С этой точки зрения государство может задуматься, как это делать", - считает Алексей Рогдев.
По данным statdom.ru, около 97% сертификатов в зоне .ru выданы центром сертификации Let’s Encrypt (это бесплатно распространяемый на 90 дней сертификат, основным бенефициаром которого является компания Google).
"Фантазируя на эту тему, представим, что все лица из России попадают под санкции, и, например, компания, которая выдает TLS-сертификаты, решает что больше не будет выдавать их никому в зоне .ru, .рф, .su. Это означает, что через 90 дней 97% сайтов будут без сертификата. С другой стороны, TLS-сертификат можно выпустить в течение 30 секунд. Это значит, что российские компании-аналоги должны предоставлять сертификаты так же быстро. Речь о минутах. Нормативный срок выпуска сертификата на базе Национального удостоверяющего центра, что предлагает Минцифры, составляет пять дней. Конечно, это реалиям рынка не соответствует", - заявил Алексей Рогдев.
Минцифры на вопросы ComNews не ответило.