Смогут ли российские сайты работать в случае отзыва международных TLS-сертификатов?
Минцифры пообещало владельцам сайтов бесплатные TLS-сертификаты
Лента новостей
Минцифры России предупредило, что при отзыве иностранного сертификата безопасности сайты могут стать недоступными на некоторое время, но у владельцев есть возможность бесплатно получить российский. Что происходит?
В СМИ и соцсетях продолжают обсуждать сообщения об отзыве мировыми удостоверяющими центрами ранее выданных российским организациям сертификатов безопасности.
Если сильно упрощать, TLS-сертификаты, о которых идет речь, нужны для подтверждения подлинности сайта или сервиса. Если сертификат недействительный, то браузер просто откажется открывать сайт, на котором он установлен. Пользователь увидит сообщение, что соединение не является безопасным.
Если бы крупнейшие международные удостоверяющие центры начали принудительный отзыв сертификатов у российских ресурсов, то с подобными ошибками, наверное, уже столкнулись бы многие россияне. Потому что отозвать сертификат — дело недолгое. Однако ни американский Let’s Encrypt, ни японский GlobalSign о массовом отзыве официально не сообщали. Но теперь, если что-то перестало работать, можно все валить на сертификаты. Хотя в действительности причины сбоев могут быть самыми разными. Продолжает управляющий RTM Group, эксперт в области информационной безопасности и права в IT Евгений Царев:
Евгений Царев управляющий RTM Group, эксперт в области информационной безопасности и права в IT «Мы постоянно будем видеть проблемы, они могут накладываться друг на друга, приводить к непредсказуемым последствиям. Это проблемы с сертификатами, это проблема с постепенным устареванием оборудования, это развитие блокировок, это блокировка целых протоколов, подсетей и так далее. Интернет — достаточно токсичная среда, поэтому такова новая реальность. Но связано ли это с отзывом сертификата? И да и нет. Может быть, связано, а может быть, и не связано, потому что большие технические решения — сайт или приложение — могут использовать все что угодно. У них могут быть сотни сертификатов для разных компонентов. И вот мы заходим в приложение, пользователи видят — не работает. Таких непредсказуемых штук сейчас много».
И хотя сообщения о массовом отзыве сертификатов пока не подтверждаются, эксперты уже подсчитали, что проблемы могут возникнуть у 20 тысяч российских сайтов и приложений. Минцифры оперативно на это отреагировало, сообщив, что владельцы ресурсов могут бесплатно заменить иностранные сертификаты на российские.
В реальности же вступил в силу обновленный документ, описывающий процедуры проверки лиц и организаций для выдачи им сертификатов. Им руководствуются в том числе Let’s Encrypt и GlobalSign. В одном из пунктов документа говорится, что удостоверяющие центры обязаны проверять, не попал ли желающий получить сертификат в санкционные списки. Но там нет ни слова об отзыве ранее выданных сертификатов безопасности.
Если массовый отзыв все же начнется, владельцы российских ресурсов действительно смогут оперативно перейти на сертификаты от Минцифры. И сайты по-прежнему будут нормально открываться, потому что многие браузеры уже умеют работать с российскими сертификатами.
А вот мобильные приложения, вероятно, придется переделывать. Продолжает гендиректор компании Zecurion Алексей Раевский:
Алексей Раевский гендиректор компании Zecurion «На работу мобильных приложений ситуация с сертификатами может повлиять, потому что туда встроены сертификаты. И если возникнут проблемы с сертификатами, в частности с их отзывом, придется где-то находить другие сертификаты и встраивать их в эти приложения. То есть разработчику приложения нужно позаботиться о том, чтобы сертификаты Минцифры также работали».
Массовый отзыв сертификатов в России уже проходили в 2022 году. Тогда тоже была легкая паника по поводу того, что скоро все перестанет работать. На практике ничего такого не произошло. И о событиях четырехлетней давности сейчас мало кто вспоминает.
Рекомендуем:
Рекомендуем:
