"Смерть" протокола HTTPS и тотальная слежка за пользователями: каким будет Интернет в РФ

В России и Беларуси перестали работать крупные компании, выдающие сайтам сертификаты безопасности: GeoTrust, Sectigo, DigiCert, Thawte и Rapid. Об этом в своем Телеграм-канале сообщил министр цифровой трансформации Украины Михаил Федоров.

По словам чиновника, упомянутые компании прекратили оказывать услуги российским и белорусским клиентам по просьбе украинского правительства. Они больше не будут выдавать сертификаты сайтам из России и Беларуси, а также обновлять существующие.

"Они (сайты — ред.) автоматически станут опасными для всех пользователей, а браузеры по всему миру их будут блокировать. Фактически это означает смерть протокола HTTPS в России", — подчеркнул Михаил Федоров.

Что такое сертификаты безопасности и как они работают

HTTPS (HyperText Transfer Protocol Secure) — расширение протокола HTTP для поддержки шифрования в целях повышения безопасности, он передает данные поверх протоколов SSL или TLS.

Secure Sockets Layer (SSL) — криптографический протокол, который обеспечивает безопасную связь, считается устаревшим с 2015 года.

Transport Layer Security (TLS) — криптографический протокол для организации безопасной связи в Интернете, является одной из версий SSL. Наличие сертификатов SSL и TLS указывает на защищенность и безопасность сайтов при передаче персональных данных пользователей, например, для сохранения номера карты при совершении онлайн-покупок. Ресурсы без такого "знака качества" воспринимаются браузерами, как фишинговые, а кроме того опускаются ниже в поисковой выдаче.

Какова ситуация с выдачей сертификатов безопасности в РФ и Беларуси

Российская компания ЛидерТелеком, сотрудничающая с компаниями в области SSL, на своем сайте подтвердила информацию о прекращении выдачи сертификатов удостоверяющими центрами Sectigo, Digicert, Thawte, RapidSSL и GeoTrust.

Иностранные компании больше не будут поддерживать:

• домены в зонах .ru, .su, .рф, .by и т.д;
• сайты организаций с адресом в России или Беларуси,
• организационные/admin/технические контакты с указанием "Россия" или "Беларусь",
• с указателем "RU" (Россия) или "BY" (Беларусь) в CSR (Certificate Signing Request) — ключ, генерируемый при запросе на подпись SSL сертификата.

Российский портал iXBT цитирует заявление американской службы компьютерной безопасности SSLs.com:

"Мы больше не будем предоставлять услуги пользователям, зарегистрированным в России или Беларуси. Граждане России и Беларуси больше не смогут покупать или продлевать SSL-сертификаты у нас. Кроме того, вы больше не сможете выдавать SSL для доменов в зонах .ru, .xn--p1ai (рф), .by, .xn--90ais (бел) и .su. Все выданные SSL-сертификаты останутся активными до истечения срока действия".

Последствия отсутствия сертификации сайтов в России

Как пишет российский сайт РБК, 1 марта хостинг-провайдер DigiCert отозвал TLS-сертификат у Центрального банка России, однако уже 2 марта сайт получил новый сертификат от компании GlobalSign (Бельгия). В первый день весны один из крупнейших банков РФ, ВТБ, не смог проводить операции из-за истекшего срока сертификата SSL, ранее выданного компанией Thawte Consulting, но вскоре тоже получил новый.

Агентство "Интерфакс" отмечает, что Минцифры РФ предупредило об отсутствии доступа к некоторым сайтам (в том числе к Госуслугам) из-за проблем в работе центров сертификации. Ведомство порекомендовало пользователям установить браузеры, поддерживающие российский сертификат безопасности, например "Яндекс.Браузера" или "Атома". Министерство также заявило о разработке законодательных норм, которые будут регулировать работу российских удостоверяющих центров для выдачи собственных бесплатных TLS-сертификатов.

Издание Forbes подчеркивает, что последствия ухода DigiCert могут быть весьма ощутимыми для России, где многие пользователи опасаются слежки и кибератак. Если правительство сможет запустить национальные сертификаты безопасности, это не исправит ситуацию, ведь они "будут находиться под контролем Кремля", подчеркивает СМИ. По словам эксперта по криптографии из Университета Суррея Алана Вудворда, власти получает еще один инструмент для слежки за действиями пользователей Сети.

Ранее писали, как хакеры "положили" сайты компаний российских олигархов. Сбои начались в работе ресурсов "Металлоинвеста", "НЛМК", "Евраза", "Сургутнефтегаза" и "Норникеля".

Недавно бывший топ-менеджер Яндекса Григорий Бакунов заявил, что Россия сделала хороший файрвол для блокировки сайтов, в два раза лучший, чем в Китае. По его словам, новая система может ограничить работу практически любого онлайн-ресурса.