Розділи
Матеріали

"Смерть" протоколу HTTPS та тотальне стеження за користувачами: яким буде Інтернет у РФ

Фото: unsplash.com

Компанії, що видають сайтам сертифікати безпеки, залишають зону РУнету. Іноземні експерти побоюються, що це дасть змогу владі повністю контролювати Мережу.

У Росії та Білорусі перестали працювати великі компанії, що видають сайтам сертифікати безпеки: GeoTrust, Sectigo, DigiCert, Thawte та Rapid. Про це у своєму телеграм-каналі повідомив міністр цифрової трансформації України Михайло Федоров.

За словами чиновника, згадані компанії припинили надавати послуги російським та білоруським клієнтам на прохання українського уряду. Вони більше не видаватимуть сертифікати сайтам з Росії та Білорусі, а також не оновлюватимуть наявні.

"Вони (сайти — ред.) автоматично стануть небезпечними для всіх користувачів, а браузери по всьому світу їх блокуватимуть. Фактично це означає смерть протоколу HTTPS в Росії", — наголосив Михайло Федоров.

Що таке сертифікати безпеки та як вони працюють

HTTPS (HyperText Transfer Protocol Secure) — розширення протоколу HTTP для підтримки шифрування з метою підвищення безпеки, він передає дані поверх протоколів SSL або TLS.

Secure Sockets Layer (SSL) — криптографічний протокол, який забезпечує безпечний зв'язок, його вважають застарілим з 2015 року.

Transport Layer Security (TLS) – криптографічний протокол для організації безпечного зв'язку в Інтернеті, є однією з версій SSL. Наявність сертифікатів SSL і TLS вказує на захищеність та безпеку сайтів для передачі персональних даних користувачів, наприклад, для збереження номера картки під час онлайн-покупок. Ресурси без такого "знака якості" браузери сприймають, як фішингові, вони також опускаються нижче в пошуковій видачі.

Якою є ситуація з видачею сертифікатів безпеки у РФ та Білорусі

Російська компанія ЛідерТелеком, яка співпрацює з компаніями в області SSL, на своєму сайті підтвердила інформацію про припинення видачі сертифікатів центрами Sectigo, Digicert, Thawte, RapidSSL і GeoTrust.

Іноземні компанії більше не підтримуватимуть:

  • домени в зонах .ru, .su, .рф, .by тощо;
  • сайти організацій з адресою в Росії чи Білорусі,
  • організаційні/admin/технічні контакти із зазначенням "Росія" або "Білорусь",
  • з вказівником "RU" (Росія) або "BY" (Білорусь) у CSR (Certificate Signing Request) — ключ, що генерується для запиту на підпис SSL сертифіката.

Російський портал iXBT цитує заяву американської служби комп'ютерної безпеки SSLs.com:

"Ми більше не надаватимемо послуги користувачам, зареєстрованим у Росії чи Білорусі. Громадяни Росії та Білорусі більше не зможуть купувати або продовжувати SSL-сертифікати у нас. Крім того, ви більше не зможете видавати SSL для доменів у зонах .ru, .xn- -p1ai (рф), .by, .xn--90ais (біл) і .su. Усі видані SSL-сертифікати залишаться активними до закінчення терміну дії".

Наслідки відсутності сертифікації сайтів у Росії

Як пише російський сайт РБК, 1 березня хостинг-провайдер DigiCert відкликав TLS-сертифікат у Центрального банку Росії, проте вже 2 березня сайт отримав новий сертифікат від компанії GlobalSign (Бельгія). У перший день весни один з найбільших банків РФ, ВТБ, не зміг проводити операції через термін сертифікату SSL, раніше виданого компанією Thawte Consulting, але незабаром теж отримав новий.

Агентство "Інтерфакс" зазначає, що Мінцифри РФ попередило про відсутність доступу до деяких сайтів (зокрема до Держпослуг) через проблеми в роботі центрів сертифікації. Відомство порекомендувало користувачам встановити браузери, що підтримують російський сертифікат безпеки, наприклад "Яндекс.Браузера" або "Атома". Міністерство також заявило про розробку законодавчих норм, які регулюватимуть роботу російських центрів для засвідчення власних безплатних TLS-сертифікатів.

Видання Forbes підкреслює, що наслідки відходу DigiCert можуть бути дуже відчутними для Росії, де багато користувачів побоюються стеження та кібератак. Якщо уряд зможе запустити національні сертифікати безпеки, це не виправить ситуацію, адже вони "перебуватиму під контролем Кремля", підкреслює ЗМІ. За словами експерта з криптографії з Університету Суррея Алана Вудворда, влада отримує ще один інструмент для стеження за діями користувачів Мережі.

Раніше писали, як хакери "поклали" сайти компаній російських олігархів. Збої почалися в роботі ресурсів "Металоінвесту", "НЛМК", "Євразу", "Сургутнафтогазу" та "Норнікеля".

Нещодавно колишній топменеджер Яндекса Григорій Бакунов заявив, що Росія зробила хороший фаєрвол для блокування сайтів, удвічі кращий, ніж у Китаї. За його словами, нова система може обмежити роботу будь-якого онлайн-ресурсу.