Безопасность на ваш страх и риск. Зачем устанавливать сертификаты Минцифры и что будет, если этого не сделать
© Коллаж: «Секрет фирмы», stock.picvario.media
Что такое сертификат безопасности Минцифры
Сертификат безопасности (SSL, TLS) — это электронный документ, который подтверждает подлинность сайтов и передаёт зашифрованные данные между устройством и сервисом. По сути, это знак качества, гарантирующий, что регулятор ( об этом ниже) проверил этот сайт и счёл его подлинным и безопасным.
Сертификаты безопасности также называют SSL-, TLS- или SSL/TLS-сертификатами. Речь идёт о технологиях шифрования и защиты информации — соответственно SSL и TSL, основанной на спецификации SSL 3.0. Сама SSL уже устарела и в одиночку используется редко, но обычно оба сертификата работают в связке. Таким образом защищаются и новые, и старые устройства.
SSL-сертификаты нужны также для подтверждения, что сайт принадлежит реальному владельцу, а не мошенникам или кому-то постороннему.
Понять, что сайт безопасен, довольно легко: в левом углу адресной строки есть специальный значок — закрытый замочек. А ссылка начинается с https://
В норме, если сертификат безопасности есть, все данные будут передаваться в зашифрованном виде через сервер HTTPS.
Если его нет, данные не шифруются. То есть их могут похитить хакеры или сам интернет-магазин, если он окажется фишинговым клоном или мошеннической страницей.
Когда вы открываете страницы в интернете, браузер и ваш антивирус автоматически проверяют наличие у сайта этих сертификатов безопасности.
И если их нет, могут выдать предупреждение о небезопасном соединении или вовсе отказаться открывать эту страницу. Обычно это выглядит как заглушка с предупреждением, что вы, конечно, можете всё-таки перейти на этот сайт, но на ваш страх и риск.
Во всех странах выдачей таких сертификатов занимаются свои регуляторы и удостоверяющие центры, частные и государственные. В России это вотчина Минцифры. Если точнее, этим занимается подчиняющийся министерству Национальный удостоверяющий центр (НУЦ).
Сертификаты есть не только на сайтах, но и на устройствах: смартфонах, планшетах, ноутбуках и т. п. По сути, они работают как пароль-отклик: если устройство уже «знает» сертификат, который есть у него, он различает его на посещаемом ресурсе как корректный.
Зачем просят установить сертификат Минцифры
Многие сайты рунета, особенно принадлежащие западным компаниям, до недавнего времени использовали сертификаты безопасности, выданные зарубежными регуляторами и удостоверяющими центрами. Но из-за антироссийских санкций всё больше таких компаний отказываются продлевать эти сертификаты российским компаниям, находящимся под санкциями, а также дочерним компаниям западных брендов, не ушедших из России.
Приобрести западный сертификат всё ещё можно. Российские компании не из санкционного списка могут купить такой сертификат для своего сайта, если он не находится в домене .ru
Но вот у тех сайтов, чей сертификат безопасности больше не поддерживается и не выдаётся, возникают проблемы.
Прежде всего это касается сайтов различных магазинов и банков, то есть, тех страниц, где вы оставляете свои личные и банковские данные.
Пользователям браузеров Chrome, Opera, Firefox, Safari при попытки зайти на русские сайты выдаётся предупреждение, что издатель сертификата неизвестен и сайт «самоподписан». По факту это означает, что зарубежный сертификат у сайта отозвали.
Важный нюанс: самописные сертификаты (т. е. выпущенные кем попало, а не сертификационным авторитетом) имеют невысокую ценность и не могут применяться для действительно безопасных соединений.
Из-за введённых санкций иностранные удостоверяющие центры, например Thawte Consulting и GeoTrust, которые выдают сертификаты, начали отказывать в выдаче и продлении сертификатов безопасности российским компаниям. Из-за этого сайты начали блокироваться браузером или предупреждать пользователей о небезопасности ресурса.
На некоторых сайтах при этом появилось объявление: «Для стабильной работы сервиса скоро понадобится сертификат Минцифры». Это означало, что сайт переходит с прошлых сертификатов на российские и у владельцев устройств с иностранной прошивкой могли возникнуть проблемы по подтверждению подлинности и безопасности сайта.
Для корректной работы предлагалось скачать российские браузеры «Яндекс» или Atom от VK, в которые уже вшит нужный сертификат, или самостоятельно установить его на телефон или компьютер.
Минцифры будет выступать в роли удостоверяющего центра. Российские компании, в том числе те, которые не могут воспользоваться услугами зарубежных УЦ, смогут запросить сертификат для своего сайта у министерства. Чтобы пользователь смог получить доступ к сайту, который использует сертификат Минцифры, на его устройстве также должен быть установлен сертификат Минцифры.
Отечественные браузеры и операционные системы, вероятнее всего, будут поставляться с предустановленным сертификатом Минцифры. Пользователям остальных ОС и браузеров придётся устанавливать его вручную.
Наличие российского сертификата на сайте ещё не означает, что все будет хорошо работать.
Чтобы сайт показывался как безопасный, на вашем устройстве тоже должны быть российские сертификаты.
Получить корневой сертификат для разных операционных систем можно через «Госуслуги». Владельцы сайтов также могут заказать проверку и выдачу сертификата, обычно на это уходит пять рабочих дней.
Сертификаты Минцифры можно и не устанавливать, но на многие ресурсы в Рунете зайти не получится. Если сертификата нет на устройстве, то браузер не будет устанавливать соединение с сервером. Он будет считать предъявленный сервером сертификат недействительным и откажется подключаться к такому сайту, объяснил Леднев.
В чём подвох
Получить доступ к телефону или компьютеру через установленный на него сертификат нельзя. Однако та сторона, что выпустила сертификат, может расшифровать передающиеся по нему зашифрованные данные.
Если сторона, выпустившая сертификат, является также оператором промежуточного сервера, то она сможет расшифровывать трафик, получать доступ к объектам в нём и даже модифицировать файлы. Аналогично, если у нее есть привилегированный доступ к не принадлежащему ей конечному серверу, с которым установлено соединение (он скомпрометирован), или она уже скомпрометировала клиентский браузер (через использование зловредов, эксплойтов) — это тоже возможно.
Владелец корневого сертификата может выпустить такой сертификат для любого ресурса, в том числе для фишингового и мошеннического, и тогда пользователи не смогут отличить их от безопасных.
В этом плане западные сертификаты начинают представлять опасность — не только потому, что выпускающие их УЦ находятся в недружественных странах, но и потому, что обмен информацией об угрозах с этими странами сейчас затруднён.
Кроме того, если российские сайты будут использовать просроченные западные сертификаты безопасности (а они выдаются сроком на год), уровень их безопасности снизится.
В чём опасность просроченного сертификата? Примерно такая же, как у долго не меняемого пароля, объяснили эксперты.
Сертификат потенциально можно украсть и потом применять для преступных целей. Безопасная система должна обеспечивать верификацию срока действия сертификата — но возможны кривые конфигурации, когда это не обеспечивается по разным причинам. Тогда просроченный сертификат будет работать полноценно и пользователь даже не заметит, что что-то не так.
А между тем уже бывали случаи, когда сертификаты зарубежных УЦ оказывались скомпрометированы. В 2011 году специалисты по информационной безопасности обнаружили в сети более 500 поддельных SSL-сертификатов, выпущенных нидерландской компанией DigiNotar.
C помощью этих сертификатов хакеры более месяца незаметно похищали персональные данные пользователей сервисов Google, Facebook, Twitter, Skype, а также сайтов спецслужб и заражали их компьютеры.
Новейшие стандарты считаются безопасными. Опасность может представлять попытка заставить систему снизить уровень используемой версии стандарта шифрования с современной (TLS) до старой и уязвимой (SSL) — но эта проблема не в самом стандарте TLS а, грубо говоря, в недостаточно безопасном конфигурировании веб-сервера. Веб соединения, используемые для любых серьезных задач с конфиденциальными данными, не должны такое позволять априори.
В теории можно подключиться к сайту и без проверки сертификата безопасности, по незащищённому протоколу HTTP. Но тогда все данные, в том числе данные паспорта и банковских карт, в теории могут оказаться в руках злоумышленников.
Так что нужно быть на 100% уверенным, что этот сайт безопасный и оригинальный, а не сделанная мошенниками копия официальной страницы.