1. Новости
Заметки пользователей
01.09.2017 08:30
PDF
2486
10

В России начали тестировать отечественные SSL-сертификаты

В России перешли от теории к практике в борьбе с зависимостью российского сегмента интернета от западных сертификатов шифрования. Проблема действительно серьёзная и не позволяющая российским властям "спать спокойно". О внедрении собственной системы шифрования трафика HTTPS задумались еще в прошлом году. Делается это, чтобы обезопасить нашу инфраструктуру интернета от возможных последствий конфликта со странами Запада.

SSL-сертификаты сейчас выдаются иностранными компаниями, которые в случае чего могут с легкостью их отозвать. Это приведёт к тому, что весь шифрованный трафик станет небезопасным. Однако другие эксперты отрасли считают, что с появлением отечественных сертификатов у спецслужб появится возможность расшифровать любой гуляющий по рунету трафик, в рамках исполнения "пакета Яровой".

В общем, какими бы ни были мотивы российских властей, введение отечественных сертификатов шифрования неизбежно. Первые пилотные испытания будут проходить на портале госуслуг и интернет-ресурсах поисковой системы "Спутник". Далее к тестированию подключат сайты с персональными данными и финансовой информацией, пишут "Известия". За техническую часть внедрения сертификатов ответственность несут Минкомсвязи, "Ростелеком" и некоторые российские разработчики оборудования для шифрования.

Как отмечают авторы идеи, сейчас российские сертификаты способны работать браузером "Спутник" и Mozilla Firefox. В дальнейшем проблему совместимости придётся решать и другими популярными в стране браузерами, иначе их работа в российском сегменте сети может стать незаконной.

"Для этих целей планируется внести изменения в 8 ФЗ ("Об обеспечении доступа к информации о деятельности госорганов..."). В итоге, если пользователь будет открывать, например, портал госуслуг в браузере Chrome, у него будет появляться сообщение о том, что для пользования данным сайтом ему лучше установить определённую версию "Спутника" или "Яндекс.Браузера"", — отмечает директор Центра компетенций по импортозамещению в сфере информационно-коммуникационных технологий Илья Массух.

Поисковик "Спутник" создал доверенную версию своего браузера с использованием российских алгоритмов шифрования от компании "Крипто-Про" весной 2016 года. В СМИ появлялись сообщения о том, что над подобным проектом трудится "Яндекс", хотя в компании это не подтверждали. Однако уже в мае 2016 Массух заявил, что "Спутник" и "Яндекс" разработали бета-версии браузеров с отечественными сертификатами шифрования.



 

10 комментариев
Оставлять комментарии могут только авторизованные пользователи
Robot_NagNews
Robot_NagNews
Материал: В России перешли от теории к практике в борьбе с зависимостью российского сегмента интернета от западных сертификатов шифрования. Делается это, чтобы обезопасить нашу инфраструктуру интернета от возможных последствий конфликта со странами Запада. Полный текст
fhunter
fhunter
Цитата

В итоге, если пользователь будет открывать, например, портал госуслуг в браузере Chrome, у него будет появляться сообщение о том, что для пользования данным сайтом ему лучше установить определённую версию "Спутника" или "Яндекс.Браузера""

О да. Вот мы и вернулись к временам "best viewed in IE, at resolution of 800x600".

 

Цитата

иначе их работа в российском сегменте сети может стать незаконной.

Это интересно как?

poisons
poisons

fhunter а вот так, что работать перестанет. Либо используйте наши сертификаты, либо заблокируем на территории РФ. 
В предыдущей итерации этого идиотизма они хотели затащить свои СА прямо в ОС. 
 

vop
vop

Изначально закладываются на - цитата -" возможных последствий конфликта со странами Запада"...

fhunter
fhunter
7 часов назад, poisons сказал:

fhunter а вот так, что работать перестанет. Либо используйте наши сертификаты, либо заблокируем на территории РФ. 
В предыдущей итерации этого идиотизма они хотели затащить свои СА прямо в ОС. 
 

Не, у меня были претензии к формулировке про "незаконность". Вопросов к CA в ОС я особо не имею, при условии, что CA оформлены правильно - ну с ограничением на .ru и .рф зоны (а это сделать можно), или, если позиционируются как государственные - то на .gov.ru/.рф.

То же самое и с браузерами. Вот только особого доверия у меня соблюдение этого не вызывает.

 

Вопросы:

1. от кого они тянут дерево доверия?

2. вспоминая startssl и мозиллу/хром - их же upstream браузеров/разработчиков ОС при первой попытке сделать mitm или сотворить что-то ещё подобное - вырежет к чертям из доверенных, как сделали со startssl, и будут правы.

3. для включения в ОС/браузер - есть условия соответствия СА по аудиту и прозрачности. Чего явно не будет в этом случае.

 

Итог - видимо отдельная виртуалка для обращения к государственным сайтам. И дополнение для себя "не надо хостится в .ru/.рф зоне".

jffulcrum
jffulcrum
В ‎04‎.‎09‎.‎2017 в 19:37, fhunter сказал:

от кого они тянут дерево доверия?

Дык, http://www.gostinfo.ru/pages/Uc/certificates/

 

В ‎04‎.‎09‎.‎2017 в 19:37, fhunter сказал:

есть условия соответствия СА по аудиту и прозрачности

Дык, пройдут аудит. Казахи вон прошли WebTrust в декабре 16-го, и наши пройдут.

fhunter
fhunter
В 06.09.2017 в 11:25, jffulcrum сказал:

Дык, http://www.gostinfo.ru/pages/Uc/certificates/

 

Дык, пройдут аудит. Казахи вон прошли WebTrust в декабре 16-го, и наши пройдут.

Вот как... А в mozilla - запрос на включение сертификатов закрыли в июле 16-го, с комментарием - "это для MITM, включать не будем". (https://bugzilla.mozilla.org/show_bug.cgi?format=default&id=1232689)

И кстати при попытке открыть их сайт в мозилле или хромиуме (ubuntu 16.04, свежие апдейты) - сертификат не принимается. Так что - может и прошли аудит, да только всё равно нет их в браузерах.

 

PS. сертификаты по ссылке от gostinfo дают 404. Ну и да - выдавать корневой сертификат. По HTTP (и HTTPS там вообще на сайте нет). Без контрольной суммы/проверки. Это заявка на успех, что ещё сказать.

jffulcrum
jffulcrum
В ‎08‎.‎09‎.‎2017 в 15:55, fhunter сказал:

А в mozilla - запрос на включение сертификатов закрыли в июле 16-го, с комментарием

Там как раз сослались на отсутствие аудита на момент подачи заявки. Мол, пройдете - тогда и подавайте. И подали снова - https://bugzilla.mozilla.org/show_bug.cgi?id=1331364 . Теперь там ждут заверенного перевода политик CA на English

ff.0xff
ff.0xff

fhunter 

Цитата

Итог - видимо отдельная виртуалка для обращения к государственным сайтам. И дополнение для себя "не надо хостится в .ru/.рф зоне".

Давно уже не чего не хостил в РФ, то железо говно то законы дибильные

jffulcrum
jffulcrum
В ‎08‎.‎09‎.‎2017 в 15:55, fhunter сказал:

сертификаты по ссылке от gostinfo дают 404

Да, теперь дерево от новой конторы строят: https://e-trust.gosuslugi.ru/MainCA