Центр сертификации GlobalSign начал отзывать сертификаты безопасности российских сайтов

GlobalSign обслуживает сайты крупнейших частных компаний в России. К чему может привести отзыв их сертификатов безопасности и что делать российским владельцам сайтов?

Один из крупнейших в мире центр сертификации сайтов — японский GlobalSign — начал отзывать сертификаты безопасности российских сайтов. Пострадать могут до 20 тысяч отечественных ресурсов.

Дело в том, что SSL-сертификаты это своеобразный паспорт сайта, по которому браузер понимает, безопасный это портал или нет. При отзыве серийный номер сертификата попадает в публичный список, который браузеры проверяют при каждом подключении, после чего Chrome, Safari или Firefox показывают предупреждение о небезопасном соединении либо блокируют доступ.

Об отзыве сертификатов стало известно из письма гендиректора российского юрлица «Джи-Эм-О Глобал Сайн Раша» Дмитрия Рыжикова в адрес партнеров компании в России, узнало РБК. Рыжиков пишет, что международный консорциум CA/Browser Forum, в который входят все крупнейшие центры сертификации мира и разработчики браузеров, утвердил обновленные требования к проверке организаций. Это подразумевает жесткое исполнение международных санкций.

GlobalSign обслуживает сайты крупнейших частных компаний в России. Т-Банк уведомил клиентов о возможных проблемах со входом на сайт, а Россельхозбанк о возможных ошибках в старой версии Android-приложения.

В Минцифры заявили, что при отзыве международных сертификатов безопасности российские владельцы сайтов могут оперативно и бесплатно получить российские сертификаты через заявку на «Госуслугах». Комментирует управляющий RTM Group, эксперт в области информационной безопасности и права в IT Евгений Царев:

Евгений Царев управляющий RTM Group, эксперт в области информационной безопасности и права в IT «Что касается GlobalSign, это организация, которая занимается выпуском платных сертификатов. Чтобы получить такой платный сертификат, нужно заплатить определенную сумму денег. В названии сертификата и его реквизитах будет, например, название вашего проекта «точка ру», а также указана компания, которой принадлежит этот проект. В зависимости от того, какая глубина этой, кстати говоря, достаточно формальной проверки со стороны самого GlobalSign, цена сертификата будет отличаться — порядка 100 долларов, что-то в этом духе. Этим пользуются те, кто занимаются поисковой оптимизацией. Например, если у вас крупный проект (условная Wildberries, Ozon или любой другой большой интернет-проект) и для вас поиск в Google и «Яндексе» имеет большое значение, то эти 100 долларов — по сути, ничего. Вы с высокой долей вероятности купите такой сертификат, потому что поисковые машины понимают: если проект готов потратить несколько десятков или сотен долларов на простой сертификат, значит, это не совсем плохой проект — ему можно дать плюсик к карме. И этот плюсик к карме может иметь достаточно существенное значение в результатах поиска. Поэтому компании покупали эти SSL-сертификаты. Что касается отношения браузеров: мы можем сделать любой центр сертификации, вопрос в том, как популярный браузер будет на него реагировать. Например, если вы зайдете на сайт, у которого сертификат выпущен GlobalSign, браузер будет доволен — у вас не появится окна с предупреждением, что этот сайт небезопасен. Браузер доверяет сертификатам GlobalSign и пускает вас свободно на страницу. А если браузер не доверяет сертификату, он будет все время ругаться. Вся эта история, с одной стороны, не имеет никакого смысла и особого значения, разве что только для самого GlobalSign, который потеряет определенные деньги и долю рынка. С другой стороны, если, допустим, Let’s Encrypt введет какие-нибудь санкции против России и другие центры последуют этому примеру, то в этом случае мы можем перейти на другие сертификаты, которые будут выпускать иные организации, и браузеры начнут ругаться. Конечно, условный «Яндекс Браузер» к этому быстро адаптируется и не будет сопротивляться, но тем не менее пользователи, например, Google Chrome в какой-то момент могут начать заходить на сайт, и у них каждый второй сайт перестанет открываться, потому что сертификат плохой и браузер ему не доверяет».

О последствиях такого решения GlobalSign говорит руководитель проекта «Технологии» «Российской газеты», эксперт РОЦИТ, автор канала «Токсичная цифра» Олег Капранов:

Олег Капранов руководитель проекта «Технологии» «Российской газеты», эксперт РОЦИТ, автор канала «Токсичная цифра» «Если говорить глобально, то все это ведет к ухудшению связности или целостности интернета, потому что все те технические решения, о которых мы говорим, работают в комплексе. То есть есть, с одной стороны, сайты. С другой стороны, есть сертификаты, подтверждающие, что эти сайты добропорядочные. А с третьей стороны, есть браузеры, которые признают эти сертификаты. Когда у вас связка разрывается, у вас начинаются проблемы. Безусловно, если мы говорим о крупнейших игроках, они используют коммерческие платные сертификаты, которые стоят довольно дорого. Отмена оставшихся на российском рынке — не самый главный вопрос, потому что есть еще некоммерческий Let’s Encrypt, который довольно активно продвигался различными хостинговыми компаниями как решение, что называется, «из коробки», доступное сразу. Они тоже ведут определенные действия по этому поводу. Сейчас в отношении некоторых российских компаний есть решение от российского удостоверяющего центра (например, НУЦ), которое неким образом может помочь российским компаниям. Но у него есть очевидные условия: эти сертификаты будут работать только с российскими браузерами. Пользователям надо будет гораздо более активно переходить на эти браузеры, отказываясь от Chrome и Safari. Те, кто, например, сдает отчеты в налоговую (юридические лица), знают эту ситуацию. Для того чтобы у тебя все получилось, тебе нужно заходить в кабинет с поддержкой со стороны «Яндекс Браузера», потому что он поддерживает все эти инструменты шифрования, защиты информации, сертификатов и так далее. Сейчас расширяется круг ресурсов, которые смогут работать, по сути, только с российскими сертификатами. Число людей, которым это понадобится, станет многократно больше. Здесь очень многое, на самом деле, зависит от политик каждого браузера. Есть, например, браузеры, которые будут выдавать предупреждение о подозрительности сайта, но можно будет все равно открыть страницу. Есть браузеры, которые в принципе не разрешают переходить на такие сайты, и как-то обойти эту историю совершенно точно не получится».

У российских владельцев сайтов пока остаются другие варианты, где можно получить сертификаты безопасности. Лидером среди бесплатных сертификатов является Let's Encrypt. А госсектор и так использует сертификаты Минцифры.

Однако эксперты предупреждают: Let's Encrypt и GlobalSign также выдают сертификаты, без которых нельзя установить приложение на операционные системы Windows, macOS или iOS. И в случае их отзыва российские разработчики лишатся возможности легально распространять свой софт.