В России перешли от теории к практике в борьбе с зависимостью российского сегмента интернета от западных сертификатов шифрования. Проблема действительно серьёзная и не позволяющая российским властям "спать спокойно". О внедрении собственной системы шифрования трафика HTTPS задумались еще в прошлом году. Делается это, чтобы обезопасить нашу инфраструктуру интернета от возможных последствий конфликта со странами Запада.
SSL-сертификаты сейчас выдаются иностранными компаниями, которые в случае чего могут с легкостью их отозвать. Это приведёт к тому, что весь шифрованный трафик станет небезопасным. Однако другие эксперты отрасли считают, что с появлением отечественных сертификатов у спецслужб появится возможность расшифровать любой гуляющий по рунету трафик, в рамках исполнения "пакета Яровой".
В общем, какими бы ни были мотивы российских властей, введение отечественных сертификатов шифрования неизбежно. Первые пилотные испытания будут проходить на портале госуслуг и интернет-ресурсах поисковой системы "Спутник". Далее к тестированию подключат сайты с персональными данными и финансовой информацией, пишут "Известия". За техническую часть внедрения сертификатов ответственность несут Минкомсвязи, "Ростелеком" и некоторые российские разработчики оборудования для шифрования.
Как отмечают авторы идеи, сейчас российские сертификаты способны работать браузером "Спутник" и Mozilla Firefox. В дальнейшем проблему совместимости придётся решать и другими популярными в стране браузерами, иначе их работа в российском сегменте сети может стать незаконной.
"Для этих целей планируется внести изменения в 8 ФЗ ("Об обеспечении доступа к информации о деятельности госорганов..."). В итоге, если пользователь будет открывать, например, портал госуслуг в браузере Chrome, у него будет появляться сообщение о том, что для пользования данным сайтом ему лучше установить определённую версию "Спутника" или "Яндекс.Браузера"", — отмечает директор Центра компетенций по импортозамещению в сфере информационно-коммуникационных технологий Илья Массух.
Поисковик "Спутник" создал доверенную версию своего браузера с использованием российских алгоритмов шифрования от компании "Крипто-Про" весной 2016 года. В СМИ появлялись сообщения о том, что над подобным проектом трудится "Яндекс", хотя в компании это не подтверждали. Однако уже в мае 2016 Массух заявил, что "Спутник" и "Яндекс" разработали бета-версии браузеров с отечественными сертификатами шифрования.
О да. Вот мы и вернулись к временам "best viewed in IE, at resolution of 800x600".
Это интересно как?
fhunter а вот так, что работать перестанет. Либо используйте наши сертификаты, либо заблокируем на территории РФ.
В предыдущей итерации этого идиотизма они хотели затащить свои СА прямо в ОС.
Изначально закладываются на - цитата -" возможных последствий конфликта со странами Запада"...
Не, у меня были претензии к формулировке про "незаконность". Вопросов к CA в ОС я особо не имею, при условии, что CA оформлены правильно - ну с ограничением на .ru и .рф зоны (а это сделать можно), или, если позиционируются как государственные - то на .gov.ru/.рф.
То же самое и с браузерами. Вот только особого доверия у меня соблюдение этого не вызывает.
Вопросы:
1. от кого они тянут дерево доверия?
2. вспоминая startssl и мозиллу/хром - их же upstream браузеров/разработчиков ОС при первой попытке сделать mitm или сотворить что-то ещё подобное - вырежет к чертям из доверенных, как сделали со startssl, и будут правы.
3. для включения в ОС/браузер - есть условия соответствия СА по аудиту и прозрачности. Чего явно не будет в этом случае.
Итог - видимо отдельная виртуалка для обращения к государственным сайтам. И дополнение для себя "не надо хостится в .ru/.рф зоне".
Дык, http://www.gostinfo.ru/pages/Uc/certificates/
Дык, пройдут аудит. Казахи вон прошли WebTrust в декабре 16-го, и наши пройдут.
Вот как... А в mozilla - запрос на включение сертификатов закрыли в июле 16-го, с комментарием - "это для MITM, включать не будем". (https://bugzilla.mozilla.org/show_bug.cgi?format=default&id=1232689)
И кстати при попытке открыть их сайт в мозилле или хромиуме (ubuntu 16.04, свежие апдейты) - сертификат не принимается. Так что - может и прошли аудит, да только всё равно нет их в браузерах.
PS. сертификаты по ссылке от gostinfo дают 404. Ну и да - выдавать корневой сертификат. По HTTP (и HTTPS там вообще на сайте нет). Без контрольной суммы/проверки. Это заявка на успех, что ещё сказать.
Там как раз сослались на отсутствие аудита на момент подачи заявки. Мол, пройдете - тогда и подавайте. И подали снова - https://bugzilla.mozilla.org/show_bug.cgi?id=1331364 . Теперь там ждут заверенного перевода политик CA на English
fhunter
Давно уже не чего не хостил в РФ, то железо говно то законы дибильные
Да, теперь дерево от новой конторы строят: https://e-trust.gosuslugi.ru/MainCA