Сайты российских ведомств и госбанков легли из-за нового типа санкций

Сайты российских ведомств и госбанков легли из-за нового типа санкций 1

Беда пришла откуда не ждали: сайты ведомств и госбанков легли из-за нового типа санкций — отзыва сертификатов безопасности (SSL). Готовились власти РФ к совсем другому — отключению от глобальной Сети и атакам хакеров-мстителей.

Но совершенно не были готовы к антивоенному демаршу сертификационных удостоверяющих центров, контролируемых американскими, бельгийскими и прочими западными компаниями. В результате приостановки действия SSL заходить на сайты госструктуров, банков и даже некоторых СМИ, которые считаются аффилированными с властью (например, РБК), стало проблематично.

Свои же удостоверяющие центры неразвиты и непопулярны — из-за давнего недоверия к авторитарной системе и боязни слежки со стороны ФСБ. Теперь их все-таки задействовали, например, для ЦБ и ВТБ, однако с новыми сертификатами работают далеко не все браузеры.

Как работают эти сертификаты?

События на Украине способствуют международной изоляции России во все новых и новых сферах. Еще один санкционный удар — приостановка действия сертификатов безопасности (SSL) сайтов попавших под санкции организаций.

SSL-сертификаты (аббревиатура от «Secure Sockets Layer») — средство обеспечения информационной безопасности в киберпространстве. В середине 1990-х протокол SSL был разработан как более безопасная альтернатива существующим протоколам TCPIP. Более поздние версии SSL носят название TLS.

Передаваемые по SSL сообщения шифруются. Но еще более важной функцией протокола является возможность определить подлинность сайта, с которым происходит обмен информацией. Это важная защита от кибермошенничества, когда необходимо конфиденциально произвести платежи, купить билет на самолет, воспользоваться услугами электронного правительства и т.п. Для веб-сайтов характерным признаком использования SSL-сертификатов является «https», а не «http» в начале адреса сайта (URL), а также значок замкнутого замка слева от адресной строки.

Функция подтверждения подлинности потребовала создания специализированных сертификационных (или удостоверяющих) центров, которые, пользуясь глобальным признанием, проверяли сайты и выдавали им сертификаты безопасности. К таким центрам относятся южноафриканские Thawte (принадлежит американской Symantec), бельгийский GlobalSign, американский Let`s Encrypt и другие.

Стандартная процедура использования сертификата в самом общем виде такова. Прежде чем дать пользователю доступ к ресурсу с SSL-защитой передаваемых данных, браузер проверяет сертификат ресурса путём обращения в сертификационный центр. Если сертификационный центр удостоверяет право ресурса обмениваться с пользователем защищённым трафиком, данные передаются. К каким именно сертификационным центрам обращаться за подтверждением подлинности сервера, «решает» браузер пользователя – это одна из его функций.

Что случилось после начала войны?

С началом боевых действий на Украине выяснилось, что сертификационные центры тоже обладают политической волей. Наиболее популярными мировыми УЦ являются Comodo, Symantec, GoDaddy, Geotrust, GlobalSign и др. Похоже, некоторые из них выступают против политики России, и не на словах а на деле.

Уже известно об отзыве сертификатов у сайтов Центробанка (cbr.ru) и ВТБ (online.vtb.ru). Оба сертификата были выданы Thawte, официальных заявлений компании пока не было.

Читайте также:  Визит Пелоси на Тайвань. Первые итоги

Лишение SSL-сертификата создаёт проблемы прежде всего для сайтов, на которых осуществляется приём платежей – банки, онлайн-магазины, сайты для бронирования билетов и пр. К тому же, отзыв сертификата делает передаваемый трафик видимым на всем пути, от провайдера до роутера.

Контроль над сертификационными центрами – важный инструмент влияния на онлайн-сервисы (в первую очередь, банковские). Если этот инструмент не контролируется правительством, оно не вполне самостоятельно в управлении своими онлайн-ресурсами.

Чем ответила Россия?

4 марта Минцфиры анонсировало создание Национального Удостоверяющего Центра (НУЦ), который на бесплатной основе будет выдавать сертификаты российским организациям. Получать их можно будет бесплатно через «Госуслуги»

Уже внедряется отечественный корневой TLS-сертификат. Среди сайтов, которые уже получили государственные TLS-сертификаты, различные банки (Сбер, ВТБ, ЦБ) и аффилированные с госструктурами организации и проекты. При этом на текущий момент на основных сайтах Сбера и ВТБ продолжают использоваться традиционные TLS-сертификаты, поддерживаемые во всех браузерах.

Однако проблема не решается созданием своего центра сертификации – нужно ещё, чтобы браузеры к нему обращались в поисках сертификата. А это зависит, в первую очередь, от производителей браузеров. Поэтому ставка была сделана на браузеры отечественного производства: VK Atom (бывший AMIGA) и Яндекс.Браузер.

Теперь, если при переходе на сайт российского банка или правительственного учреждения ваш привычный браузер покажет ошибку вида «вы переходите на небезопасный сайт», вы сможете закончить начатое, перейдя в один из указанных отечественных браузеров.

Возникает вопрос, почему в России за все эти годы не появилось удостоверяющего центра мирового уровня? Во многом это вопрос доверия, а точнее — глобального недоверия к авторитаристской России.

Сертификат, выдаваемый российским УЦ, позволял бы спецслужбам перехватывать трафик, осуществляя так называемую атаку посредника, man-in-the-middle attack, на защищенные соединения (HTTPS). Если ситуация дойдет до суверенного интернета и монополии отечественного УЦ, доверие к онлайн-платежам и конфиденциальность могут серьезно пострадать.

Причем здесь блокировки VPN?

Последние дни пользователи виртуальных частных сетей (VPN) могли сталкиваться с невозможностью заходить на сайты Минпромотрга, Минэнерго и других официальных органов.

Связи с отзывом сертификатов у российских сайтов здесь нет. Дело в политике самих сайтов: столкнувшись с массированными DDOS-атаками из-за рубежа, сайты приняли решение ограничить диапазон запросов российскими адресами.

А так как VPN сети находятся в основном за пределами РФ, в такой ситуации на запрос от устройства под VPN будет получен отказ — это обусловлено настройками российских серверов, а не ограничениями администраторов VPN-сервисов для россиян.

источник

Автор публикации

не в сети 10 часов

Никита Клюев

827
28 лет
День рождения: 04 Января 1994
Комментарии: 776Публикации: 1737Регистрация: 03-04-2015
Понравилась статья? Поделиться с друзьями:
РЭНБИ - Европа
Авторизация
*
*
Регистрация
*
*
*
*
Ваш день рождения * :
Число, месяц и год:
Отображать дату:
Генерация пароля
/