Чем российским онлайн-ресурсам грозит отзыв SSL-сертификатов

Во вторник стало известно о прекращении действия сертификатов, которые необходимы, в частности, веб-сайтам для подтверждения их подлинности; западные удостоверяющие центры лишили таких сертификатов сайты банка ВТБ и Центробанка.

Поясним в самом общем виде, о чём идёт речь.

SSL-сертификаты (аббревиатура от «Secure Sockets Layer») – средство обеспечения информационной безопасности в киберпространстве. Представляет собой протокол зашифрованной передачи данных с использованием асимметричных ключей. Приватный ключ владельца веб-сайта (будем говорить только о сайтах, хотя SSL-сертификат может использоваться для удостоверения подлинности практически любых данных) и публичный ключ, который хранится в удостоверяющем центре, позволяют, во-первых, при соединении с сайтом удостовериться, что он действительно принадлежит определённому владельцу. Во-вторых, это даёт возможность шифровать трафик в канале передачи данных – они шифруются на передающем сервере и расшифровываются на принимающем.

Для веб-сайтов характерным признаком использования SSL-сертификатов является «https», а не «http» в начале адреса сайта (URL).

Лишение SSL-сертификата создаёт проблемы прежде всего для сайтов, на которых осуществляется приём платежей – банки, онлайн-магазины, сайты для бронирования билетов и пр. Непреодолимыми эти проблемы не являются, однако они серьёзны.

Удостоверяющие центры, выдающие SSL-сертификаты, крайне немногочисленны, и все находятся за пределами России. Создать в стране собственный глобальный удостоверяющий центр теоретически возможно, существует регламентированная процедура, которая сто́ит от полумиллиона долларов и занимает от полугода времени.

Однако это бессмысленно. Архитекторы санкций могут прекратить приём SSL-сертификатов российского удостоверяющего центра, это даже проще, чем лишать сертификата каждый неугодный сайт в отдельности. Прецеденты имеются.

Для внутреннего употребления, т.е. в России, обеспечить SSL-сертификацию своими силами несложно, удостоверяющие центры уже есть. В соответствии с законодательством РФ для криптозащиты трафика по SSL-сертификатам, выданным в России, применяются отечественные алгоритмы шифрования. Это ограничивает, а на практике исключает возможность использования таких сертификатов вместо прежних, выданных иностранными удостоверяющими центрами.

Причина в том, что проверку SSL-сертификатов сайтов осуществляет браузер – эта функция в него встроена. Отечественные криптоалгоритмы ни Google Chrome, ни Microsoft Edge, ни другие западные браузеры не поддерживают. Поддержка отечественных SSL-сертификатов есть в «Яндекс.Браузере» и в «Спутнике». Также их принимает Единый портал госуслуг (ЕПГУ).

Последствия отзыва западных SSL-сертификатов у российских сайтов принесут нам скорее неприятности, чем проблемы. Во-первых, на территории страны трафик, нуждающийся в криптозащите (банковские транзакции прежде всего), защитить шифрованием можно, как показывает пример ЕПГУ. Во-вторых, далеко не весь трафик нуждается в криптозащите. Многие сайты могут обойтись без неё: таков, например, сайт Кремля, расположенный на адресе http://kremlin.ru/. Без SSL-сертификата работает и сайт ФСБ http://www.fsb.ru/.

Редакция благодарит сотрудника Positive Technologies, эксперта по информационной безопасности Дмитрия Склярова за консультацию.