20.06.2018
Четвёртого июня 2018 года американская компания GeoTrust заблокировала SSL-сертификат сайта Общественной палаты РФ с формулировкой: «К сожалению, наложенные Соединенными Штатами санкции требуют, чтобы мы отозвали ваш сертификат для .oprf.ru из-за того, что ваша организация аффилирована с Донецкой Народной Республикой, находящейся под санкциями Управления по контролю над иностранными активами (OFAC)». Об этом сообщила в среду пресс-служба Общественной палаты.
Компания GeoTrust — второй по величине в мире поставщик SSL-сертификатов, услугами которого Общественная палата РФ пользовалась для безопасной передачи данных. «Это обычная практика в России, ввиду того, что российские удостоверяющие центры, которые выдают собственные SSL-сертификаты, не предустановлены в операционных системах и стандартных настройках браузеров, а потому пользователи, зашедшие на сайт с таким сертификатом, получают уведомление о небезопасном соединении. То есть система российских сертификатов на сегодняшний день практически не работает», — сказано в сообщении.
В пресс-службе Общественной палаты предоставить D-Russia.ru письмо GeoTrust отказались.
Эксперт по IT-безопасности Игорь Ашманов, слова которого приводятся в сообщении, призывает незамедлительно решать проблему отсутствия у России собственного удостоверяющего центра для SSL-сертификатов.«Когда у нас рассуждают о том, насколько независимым может быть наш Интернет и вообще наша цифровая сфера, обычно говорят о системе управления доменными именами, о корневых серверах, о том, что называется Domain Name Servers (DNS). При этом обычно совершенно выпускают из виду проблему сертификатов, а она гораздо более серьезная, чем DNS. Независимость с точки зрения маршрутизации в Интернете мы как-то можем себе обеспечить, и у нас даже есть свои аналоги корневых серверов. А своего сертификата и удостоверяющего центра у нас нет. Эта проблема известна последние 25 лет, и ей никто не занимался по причинам, которые мне неясны», — сказал он.
По его мнению, потенциально угроза гораздо масштабнее, чем может представляться на первый взгляд.
«Отключить страну, отозвав сертификат, то есть обрушив огромное количество сайтов банков, госструктур, предприятий, можно просто щелчком пальцев. В этом смысле мы абсолютно не защищены», — говорит Ашманов.
Эксперт призывает обратить внимание на Китай, который уже обеспечил себе цифровую безопасность, позаботившись о том, чтобы его сертификаты были предустановлены в операционных системах.
Google больше не признает SSL-сертификаты китайского удостоверяющего центра
«Китай, например, сделал себе собственный сертификат, сумел добиться того, чтобы его признавали основные разработчики платформ — браузеров, операционок и т.д., чтобы включали в свои реестры китайский удостоверяющий центр. А мы — нет, и это огромная дыра в цифровом суверенитете», — сказал Игорь Ашманов.
Власти России в 2016 году, по сообщениям СМИ, собирались создать собственный удостоверяющий центр SSL-сертификатов
тификат
Стандартная процедура использования SSL-сертификата в самом общем виде такова. Прежде чем дать пользователю доступ к ресурсу с криптозащитой (HTTPS-соединение, осуществляется по специальному протоколу SSL) передаваемых данных, браузер проверяет сертификат ресурса (сайта) путём обращения в сертификационный центр. Если сертификационный центр удостоверяет право ресурса обмениваться с пользователем защищённым трафиком, данные шифруются и передаются (так осуществляется банковская транзакция, происходит заказ билетов на самолёт, предоставляются сервисы электронного правительства и т.п.).
Контроль над сертификационными центрами – важный инструмент влияния на онлайн-сервисы. Если этот инструмент не контролируется правительством страны, она несамостоятельна в управлении своими критически важными онлайн-ресурсами. Проблема не решается созданием своего центра сертификации – нужно ещё, чтобы браузеры к нему обращались в поисках сертификата. А это, в свою очередь, зависит от многих условий, в частности, от популярности сертификационного центра, доверия к нему разработчиков онлайн-сервисов, а также от доброй воли производителей браузеров.
К каким именно сертификационным центрам обращаться за подтверждением подлинности сервера, «решает» браузер – это одна из его функций. Отечественные браузеры «Спутник» и «Яндекс.Браузер», заметим в этой связи, используют «движок» Chromium производства Google. Исходные коды Chromium по большей части открыты, что, впрочем, ещё не даёт возможности их контролировать.
http://d-russia.ru/amerikanskaya-kompaniya-zablokirovala-ssl-sertifikat-sajta-obshhestvennoj-palaty.html http://creativecommons.org/licenses/by/3.0/legalcode
