Оффтоп Albert Khabibrakhimov
4 410

«Коммерсантъ»: Власти России создадут собственный центр выдачи SSL-сертификатов

В администрации президента (АП) России идёт работа по созданию государственного удостоверяющего центра (УЦ) для выдачи SSL-сертификатов, предназначенных для шифрования данных и идентификации сайта при установлении защищенного https-соединения. Об этом сообщает «Коммерсантъ» со ссылкой на источники в Минкомсвязи, АП и главу одной из российских ИТ-компаний.

Огромное количество сайтов в рунете использует защищенное соединение: интернет-магазины, платежные системы, государственные сервисы, где пользователь вводит свои персональные данные. На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете.

— источник «Коммерсанта», близкий к АП
Собеседники издания в правительстве утверждают, что идею создания отечественного УЦ пропагандирует компания «Крипто-Про», которую они называют «тесно связанной с ФСБ». Коммерческий директор компании Юрий Маслов эту связь отрицает, но признаёт, что «около трети штата сотрудников "Крипто-Про" действительно являются бывшими сотрудникам ФСБ».

Он уточнил, что компания не обращалась в госструктуры с таким предложением, но консультировала чиновников по данному вопросу.

«Для обеспечения безопасности и защиты от сбора информации необходимо не только создать российский УЦ и добавить его в "доверенные" во все ОС и браузеры, но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования», — заявил Маслов.

По данным «Коммерсанта», в качестве площадки для создания УЦ рассматривается Технический центр интернет (ТЦИ), совладельцами которого являются Координационный центр национального домена сети интернет и Фонд развития сети интернет. Гендиректор ТЦИ Алексей Платонов заявил, что «официальных переговоров с госорганами ТЦИ на эту тему не проводил».

По его оценке, на создание УЦ с добавлением поддержки основных браузеров и операционных систем потребуется около пяти лет и 200-300 млн рублей. Источник «Коммерсанта», близкий к АП, заявил, что если компании-разработчики ОС и браузеров не согласятся на предустановку российского сертификата, то этот вопрос будет решаться «мерами законодательного регулирования».

По данным компании Reg.Ru, которая занимается продажей SSL-сертификатов мировых УЦ в России, в 2015 году число используемых SSL-сертификатов в доменной зоне .ru составило 124,5 тысячи. По подсчётам «Коммерсанта», средний объём продажи SSL-сертификатов в России ежегодно составляет около 6,2 млрд рублей.

В России есть УЦ, которые выдают собственные SSL-сертификаты, но они не предустановлены в ОС и браузерах, пишет «Коммерсантъ». При заходе на сайт с таким сертификатом пользователи получают уведомление о небезопасном соединении до тех пор, пока самостоятельно не добавят эти УЦ в «коренные доверенные центры сертификации» на своём компьютере, поясняет издание.

#новость #государство #контроль #ssl_сертификат #администрация_президента

Статьи по теме
Минкомсвязи предложило взять российский интернет-трафик под госконтроль
{ "author_name": "Albert Khabibrakhimov", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c","\u0433\u043e\u0441\u0443\u0434\u0430\u0440\u0441\u0442\u0432\u043e","\u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0446\u0438\u044f_\u043f\u0440\u0435\u0437\u0438\u0434\u0435\u043d\u0442\u0430","ssl_\u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442"], "comments": 47, "likes": 13, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 13627, "is_wide": true, "is_ugc": false, "date": "Mon, 15 Feb 2016 09:58:24 +0300" }
{ "id": 13627, "author_id": 53259, "diff_limit": 1000, "urls": {"diff":"\/comments\/13627\/get","add":"\/comments\/13627\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/13627"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

47 комментариев 47 комм.

Популярные

По порядку

Написать комментарий...
10

Объясните мне, откуда столько хейтерсва на вполне понятную и позитивную активность? Каковы причины зуда и попаболи от желания государства обеспечить безопастность работы своих служб? PS: мантру про "опять все попилят" давайте оставим в стороне ибо это не конструктивно.

Ответить
7

...да, и вместе с тем, вполне спокойно живете с зондами от западных спецслужб через майкрософт и эппл, при этом нет в сети плача на сей счет.

Ответить
0

Просто западным спецслужбам больше доверия, чем местным.
А с помощью своего сертификата, установленного в ваш браузер (или систему), они смогут читать весь ваш трафик. Вам это надо?

Ответить
3

Просто западным спецслужбам больше доверия, чем местным.

аргументище )))))

Ответить
1

Был знаком как то с товарищем который утверждал что во всех процессорах закладки, которые отправляют все в иностранные спецслужбы.

Всегда смеюсь над тем что люди придумывают из-за непонимания как технологии работают

Ответить
2

Павел, на счет закладок. Эта статья мне попалась на глаза оч давно. не знаю, насколько правдива история, но выглядит весьма убедительно. Спросил у гугла и удалось ее найти вот тут xakep.ru/2011/12/26/58104/

Если есть тут люди, профессионально владеющие темой, дайте знать ваше мнение.

Ответить
0

ну вот америку пусть американце обсирают, а мы тут будем россию

Ответить
7

Я так понимаю, что техническая сторона вопроса заключается в использовании гос-вом выданных сертификатов для доступа к закрытым соединениям пользователей. Ну и плюс бюджетик попилить как обычно?

Ответить
0

Ещё в первое время создать кучу проблем с таким сертификатами в альтернативных ОС и браузерах.

Ответить
1

Если он будет легальный, то промежуточные сертификаты никто не отменял

Ответить
0

Он должен быть именно корневым, иначе это будет то же самое что и сейчас. Так что никаких промежуточных сертификатов.

Ответить
0

Что же самое, что и сейчас? Сейчас у них нет никаких ключей, а если будет даже не корневой, то ключ всё равно будет.

Ответить
0

Не корневой сертификат может быть отозван тем кто его выдал. О чем они и говорят: "Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете."

Ответить
5

Давно пора было это сделать! Ведь продажа SSL сертификатов это фактически продажа воздуха. На ней например 1 ярд баксов поднял Mark Shuttleworth - первый космический турист.

Если 6 ярдов рублей каждый год будут оставаться в стране - это прекрасно. Это вроде как стоимость пары станций метро в провинции.

Ну а если всякие msft & AAPL не будут вставлять сертификаты этого госцентра в свои браузеры - им же хуже, просто всем пользующимся госуслугами будут рекомендовать Яндекс.Браузер.

Ответить
–2

Я не думаю что отечественный центр поднимет на этом хотя бы $100

Ответить
4

Надо озадачиться расширением к браузеру, или чем-то подобным, что будет проверять какие домены подписаны этим российским УЦ, чтобы не допустить MITM других сайтов.

Ответить
4

Треть сотрудников бывшие ФСБшники? Они там чем в КП занимаются, программируют или криптоанализ через паяльник делают? Лучше бы софт свой привели в человеческий вид и техподдержку наладили, а то пользоваться невозможно!

Ответить

3

Бывших чекистов не бывает ))

Ответить
2

Если сайт работает в россии, он должен использовать российский HTTPS, иначе он будет заблокирован. Ближайшее будущее.

Ответить
1

2021 год - по всему миру начинаются продажи электрокаров, альтернативные источники энергии все больше и больше используются (Греф так говорит), в промышленности укрепляются 3д принтеры и умные материалы, Россия выпускает свой SSL-сертификат.

Ответить
1

Следующим шагом заставят все почтовые и коммуникационные сервисы на территории РФ использовать сертификаты этого центра, а через год - приобрести оборудование для удобной организации MITM-атак и за свой счет предоставить ФСБ доступ к нему. Смекалочка!

Ответить
2

Пять, сука, лет?

Ответить
2

Лучше поздно, чем никогда.

Ответить
–8

Недавно купила мужу препарат, который посоветовала знакомая, так была в шоке от результата: наш секс стал в разы дольше и ярче (как в начале отношений), стояк крепче, оргазмы стали намного ярче и ощутимее. О этом уже в журналах пишут, вот --- https://surfe.be/4Mm

Ответить
5

сертификат российский купи, чтобы всё безопасно ходило.

Ответить
–2

Господа, хватит истерить. MiTM атаку нельзя устроить даже если ты УЦ, т.к. для этого требуется приватный ключ от сертификата, который НИКОГДА не посылается в УЦ для создания(подписи) сертификата. Плюс, что бы такой УЦ внесли в список доверенных он должен присоедениться к certificate transparency initiative, а это уже не позволяет выписывать сертификаты левым доменам.

Ответить
2

Если ты владеешь корневым сертификатом, можно даже не корневым, но с правом подписи на любой домен. То ты просто генерируешь фейковый сертификат на нужный домен и используешь его для MiTM.
Прецеденты уже были. В Китае у которого есть свои корневые сертификаты спалились на подделке Гугловых сертификатов https://habrahabr.ru/company/infopulse/blog/255251/.

Ответить
–1

Я и писал про Certificate Transparency Initiative, которая не дает выписать левый сертификат на домен. А без него не все браузеры будут а) добавлять такой УЦ к себе б) считать его сертификаты доверенными.

Ниже уже писали, что это придумано для зарабатывания 100500 денег, а не для контроля.

Ответить
1

1. CTI никак не препятствует созданию поддельных сертификатов. А только позволяет постфактум это обнаружить.
2. Это пока экспериментальный RFC который поддерживается только хромом.

Что касается обнаружения, это не такая уж и большая проблема. Во первых это произойдет не сразу, а значит целевая атака к тому моменту будет уже завершена. Во вторых подделывать будет не с помощью корневого сертификата, а какой нибудь подставной фирмой (как в примере выше), забанят ее создадут новую. Опять же центры по сбору логов можно и забанить. Это защитит от полного прослушивания трафика, но не точечных атак.

Ответить
–1

Да, от атаки это не защищает, но после первой же атаки через УЦ, он перестает быть доверенным и всё. Нельзя абузить систему которая строится на доверии. Если бы разработчики и все участники это PKI находились в России, то можно было бы говорить о "глобальной прослушке" и "хитрых точечных операциях". А так один косяк и прощай доверие.

Ответить
1

Просто почитайте историю по ссылке. CNNIC (China Internet Network Information Center — административное агентство, управляющее доменом cn и подконтрольное Министерству Информатизации Китая) выдал сертификат некой MCS Holdings, которая и спалились на MiTM атаке. В результате сертификат MCS отозвали, а CNNIC до сих пор живее всех живых. Можете открыть свой хранилище сертификатов своего браузера и убедится, что CNNIC все еще там и выкинуть его нельзя, потому что половина китайнета перестанет работать.

Ответить
0

Ну это не противоречит тому что я говорю, раз попробовали и всё. Если бы CNNIC продолжали темные дела, то их бы выкинули из корневых.

offtopic: создается впечатление что на vc.ru полно "ботов" или школьников или ботов-школьников, которые не думая минусят/плюсят всё подряд.

Ответить
0

Попались они на том, что у хрома корневой сертификат гугла зашит в код браузера и жестко привязан к своим доменам. Так что не известно, больше не пробовали или просто были осторожнее и не попадались.
Что касается атаки на CTI, тут самое уязвимое звено логи - их адреса известны, они централизованы. Так что их можно легко забанить и браузер не сможет отослать репорт про поддельный сертификат.

Ответить
–1

Учи матан

Ответить
0

Учись читать.

Ответить
0

Отличная идея, но почему пять лет? Технологии так быстро меняются, что через пять лет SSL может заменить новая технология ;-)
Может пять таки месяцев?

Ответить
3

За 5 месяцев 300млн не освоишь, а за 5 лет - вполне.

Ответить
0

Если SSL сертификаты будут выдаваться бесплатно для владельцев сайта, я не вижу тут ничего плохого, а в таком случае даже закрою глаза про «тесно связана с ФСБ»

Ответить
1

Кто же их будет выдавать бесплатно. :)

Ответить
0

Крипто-ПРО

Ответить
1

С появлением letsencrypt рынок дорогих сертификатов несколько подсдувается. Особенно в РФ.

Целью инициативы, разумеется, является более dpi чем мы имеем сейчас в связи с широким распространением https.

Ответить
–1

Чтобы использовать их сертификаты, надо быть очень смелым человеком

Ответить
0

На проект потребуется около пяти лет и порядка 300 млн рублей

все нормально, просто роспил, а потом как с тором скажут что не смогли

Ответить
0

Зато они попытались!

Ответить
–3

Дело-то хорошее, но зная как наши чиновники к нему подходят - становится грустно.
>>>"в правительстве утверждают, что идею создания отечественного УЦ пропагандирует компания Крипто-Про"....

>>если компании-разработчики ОС и браузеров не согласятся на предустановку российского сертификата, то этот вопрос будет решаться «мерами законодательного регулирования»...

А потом запретят другие средства шифрования, привяжут это к криптопро и для настройки https нужен будет этот самый криптопро. А вот только благодаря ФСБ эта штука не поддерживает PKCS#12, так как закрытые ключи должны находиться на съемных носителях.

Ответить
0

Я почему-то думал, что у нас есть свой УЦ. Если они сделают его передоверенным через зарубежный УЦ, то будет же работать нормально, не?

Ответить
–5

Нездоровый интерес к тотальному контролю за интернетом в последнее время у государства. Сделать проще им свою сеть и закрыть железным занавесом весь интернет. Культ личности и Сталина обратно :))))

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Голосовой помощник выкупил
компанию-создателя
Подписаться на push-уведомления
{ "page_type": "default" }