«Коммерсантъ»: Власти России создадут собственный центр выдачи SSL-сертификатов Статьи редакции

В администрации президента (АП) России идёт работа по созданию государственного удостоверяющего центра (УЦ) для выдачи SSL-сертификатов, предназначенных для шифрования данных и идентификации сайта при установлении защищенного https-соединения. Об этом сообщает «Коммерсантъ» со ссылкой на источники в Минкомсвязи, АП и главу одной из российских ИТ-компаний.

Огромное количество сайтов в рунете использует защищенное соединение: интернет-магазины, платежные системы, государственные сервисы, где пользователь вводит свои персональные данные. На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете.

— источник «Коммерсанта», близкий к АП
Собеседники издания в правительстве утверждают, что идею создания отечественного УЦ пропагандирует компания «Крипто-Про», которую они называют «тесно связанной с ФСБ». Коммерческий директор компании Юрий Маслов эту связь отрицает, но признаёт, что «около трети штата сотрудников "Крипто-Про" действительно являются бывшими сотрудникам ФСБ».

Он уточнил, что компания не обращалась в госструктуры с таким предложением, но консультировала чиновников по данному вопросу.

«Для обеспечения безопасности и защиты от сбора информации необходимо не только создать российский УЦ и добавить его в "доверенные" во все ОС и браузеры, но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования», — заявил Маслов.

По данным «Коммерсанта», в качестве площадки для создания УЦ рассматривается Технический центр интернет (ТЦИ), совладельцами которого являются Координационный центр национального домена сети интернет и Фонд развития сети интернет. Гендиректор ТЦИ Алексей Платонов заявил, что «официальных переговоров с госорганами ТЦИ на эту тему не проводил».

По его оценке, на создание УЦ с добавлением поддержки основных браузеров и операционных систем потребуется около пяти лет и 200-300 млн рублей. Источник «Коммерсанта», близкий к АП, заявил, что если компании-разработчики ОС и браузеров не согласятся на предустановку российского сертификата, то этот вопрос будет решаться «мерами законодательного регулирования».

По данным компании Reg.Ru, которая занимается продажей SSL-сертификатов мировых УЦ в России, в 2015 году число используемых SSL-сертификатов в доменной зоне .ru составило 124,5 тысячи. По подсчётам «Коммерсанта», средний объём продажи SSL-сертификатов в России ежегодно составляет около 6,2 млрд рублей.

В России есть УЦ, которые выдают собственные SSL-сертификаты, но они не предустановлены в ОС и браузерах, пишет «Коммерсантъ». При заходе на сайт с таким сертификатом пользователи получают уведомление о небезопасном соединении до тех пор, пока самостоятельно не добавят эти УЦ в «коренные доверенные центры сертификации» на своём компьютере, поясняет издание.

0
47 комментариев
Написать комментарий...
Ted Halton

Объясните мне, откуда столько хейтерсва на вполне понятную и позитивную активность? Каковы причины зуда и попаболи от желания государства обеспечить безопастность работы своих служб? PS: мантру про "опять все попилят" давайте оставим в стороне ибо это не конструктивно.

Ответить
Развернуть ветку
Ted Halton

...да, и вместе с тем, вполне спокойно живете с зондами от западных спецслужб через майкрософт и эппл, при этом нет в сети плача на сей счет.

Ответить
Развернуть ветку
Revertron

Просто западным спецслужбам больше доверия, чем местным.
А с помощью своего сертификата, установленного в ваш браузер (или систему), они смогут читать весь ваш трафик. Вам это надо?

Ответить
Развернуть ветку
Ted Halton
Просто западным спецслужбам больше доверия, чем местным.

аргументище )))))

Ответить
Развернуть ветку
Pavel Osadchuk

Был знаком как то с товарищем который утверждал что во всех процессорах закладки, которые отправляют все в иностранные спецслужбы.

Всегда смеюсь над тем что люди придумывают из-за непонимания как технологии работают

Ответить
Развернуть ветку
Ted Halton

Павел, на счет закладок. Эта статья мне попалась на глаза оч давно. не знаю, насколько правдива история, но выглядит весьма убедительно. Спросил у гугла и удалось ее найти вот тут xakep.ru/2011/12/26/58104/

Если есть тут люди, профессионально владеющие темой, дайте знать ваше мнение.

Ответить
Развернуть ветку
Серёга Протонов

ну вот америку пусть американце обсирают, а мы тут будем россию

Ответить
Развернуть ветку
Aleksandr Sorokin

Я так понимаю, что техническая сторона вопроса заключается в использовании гос-вом выданных сертификатов для доступа к закрытым соединениям пользователей. Ну и плюс бюджетик попилить как обычно?

Ответить
Развернуть ветку
Ноготочек (с мякотью)

Ещё в первое время создать кучу проблем с таким сертификатами в альтернативных ОС и браузерах.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Злой Полушубок

Он должен быть именно корневым, иначе это будет то же самое что и сейчас. Так что никаких промежуточных сертификатов.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Злой Полушубок

Не корневой сертификат может быть отозван тем кто его выдал. О чем они и говорят: "Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете."

Ответить
Развернуть ветку
Vladislav Kharchev

Давно пора было это сделать! Ведь продажа SSL сертификатов это фактически продажа воздуха. На ней например 1 ярд баксов поднял Mark Shuttleworth - первый космический турист.

Если 6 ярдов рублей каждый год будут оставаться в стране - это прекрасно. Это вроде как стоимость пары станций метро в провинции.

Ну а если всякие msft & AAPL не будут вставлять сертификаты этого госцентра в свои браузеры - им же хуже, просто всем пользующимся госуслугами будут рекомендовать Яндекс.Браузер.

Ответить
Развернуть ветку
slugge

Я не думаю что отечественный центр поднимет на этом хотя бы $100

Ответить
Развернуть ветку
Revertron

Надо озадачиться расширением к браузеру, или чем-то подобным, что будет проверять какие домены подписаны этим российским УЦ, чтобы не допустить MITM других сайтов.

Ответить
Развернуть ветку
Сергей Достовалов

Треть сотрудников бывшие ФСБшники? Они там чем в КП занимаются, программируют или криптоанализ через паяльник делают? Лучше бы софт свой привели в человеческий вид и техподдержку наладили, а то пользоваться невозможно!

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Aleksandr Noch

Бывших чекистов не бывает ))

Ответить
Развернуть ветку
ave ego

Если сайт работает в россии, он должен использовать российский HTTPS, иначе он будет заблокирован. Ближайшее будущее.

Ответить
Развернуть ветку
Мальчик Умный

2021 год - по всему миру начинаются продажи электрокаров, альтернативные источники энергии все больше и больше используются (Греф так говорит), в промышленности укрепляются 3д принтеры и умные материалы, Россия выпускает свой SSL-сертификат.

Ответить
Развернуть ветку
@aivanov

Следующим шагом заставят все почтовые и коммуникационные сервисы на территории РФ использовать сертификаты этого центра, а через год - приобрести оборудование для удобной организации MITM-атак и за свой счет предоставить ФСБ доступ к нему. Смекалочка!

Ответить
Развернуть ветку
Sergey Kh

Пять, сука, лет?

Ответить
Развернуть ветку
Виталий Смирнов

Лучше поздно, чем никогда.

Ответить
Развернуть ветку
Зинаида Фролова

Недавно купила мужу препарат, который посоветовала знакомая, так была в шоке от результата: наш секс стал в разы дольше и ярче (как в начале отношений), стояк крепче, оргазмы стали намного ярче и ощутимее. О этом уже в журналах пишут, вот --- https://surfe.be/4Mm

Ответить
Развернуть ветку
Mike Kosulin

сертификат российский купи, чтобы всё безопасно ходило.

Ответить
Развернуть ветку
Denis Zykov

Господа, хватит истерить. MiTM атаку нельзя устроить даже если ты УЦ, т.к. для этого требуется приватный ключ от сертификата, который НИКОГДА не посылается в УЦ для создания(подписи) сертификата. Плюс, что бы такой УЦ внесли в список доверенных он должен присоедениться к certificate transparency initiative, а это уже не позволяет выписывать сертификаты левым доменам.

Ответить
Развернуть ветку
Злой Полушубок

Если ты владеешь корневым сертификатом, можно даже не корневым, но с правом подписи на любой домен. То ты просто генерируешь фейковый сертификат на нужный домен и используешь его для MiTM.
Прецеденты уже были. В Китае у которого есть свои корневые сертификаты спалились на подделке Гугловых сертификатов https://habrahabr.ru/company/infopulse/blog/255251/.

Ответить
Развернуть ветку
Denis Zykov

Я и писал про Certificate Transparency Initiative, которая не дает выписать левый сертификат на домен. А без него не все браузеры будут а) добавлять такой УЦ к себе б) считать его сертификаты доверенными.

Ниже уже писали, что это придумано для зарабатывания 100500 денег, а не для контроля.

Ответить
Развернуть ветку
Злой Полушубок

1. CTI никак не препятствует созданию поддельных сертификатов. А только позволяет постфактум это обнаружить.
2. Это пока экспериментальный RFC который поддерживается только хромом.

Что касается обнаружения, это не такая уж и большая проблема. Во первых это произойдет не сразу, а значит целевая атака к тому моменту будет уже завершена. Во вторых подделывать будет не с помощью корневого сертификата, а какой нибудь подставной фирмой (как в примере выше), забанят ее создадут новую. Опять же центры по сбору логов можно и забанить. Это защитит от полного прослушивания трафика, но не точечных атак.

Ответить
Развернуть ветку
Denis Zykov

Да, от атаки это не защищает, но после первой же атаки через УЦ, он перестает быть доверенным и всё. Нельзя абузить систему которая строится на доверии. Если бы разработчики и все участники это PKI находились в России, то можно было бы говорить о "глобальной прослушке" и "хитрых точечных операциях". А так один косяк и прощай доверие.

Ответить
Развернуть ветку
Злой Полушубок

Просто почитайте историю по ссылке. CNNIC (China Internet Network Information Center — административное агентство, управляющее доменом cn и подконтрольное Министерству Информатизации Китая) выдал сертификат некой MCS Holdings, которая и спалились на MiTM атаке. В результате сертификат MCS отозвали, а CNNIC до сих пор живее всех живых. Можете открыть свой хранилище сертификатов своего браузера и убедится, что CNNIC все еще там и выкинуть его нельзя, потому что половина китайнета перестанет работать.

Ответить
Развернуть ветку
Denis Zykov

Ну это не противоречит тому что я говорю, раз попробовали и всё. Если бы CNNIC продолжали темные дела, то их бы выкинули из корневых.

offtopic: создается впечатление что на vc.ru полно "ботов" или школьников или ботов-школьников, которые не думая минусят/плюсят всё подряд.

Ответить
Развернуть ветку
Злой Полушубок

Попались они на том, что у хрома корневой сертификат гугла зашит в код браузера и жестко привязан к своим доменам. Так что не известно, больше не пробовали или просто были осторожнее и не попадались.
Что касается атаки на CTI, тут самое уязвимое звено логи - их адреса известны, они централизованы. Так что их можно легко забанить и браузер не сможет отослать репорт про поддельный сертификат.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Denis Zykov

Учись читать.

Ответить
Развернуть ветку
Paul

Отличная идея, но почему пять лет? Технологии так быстро меняются, что через пять лет SSL может заменить новая технология ;-)
Может пять таки месяцев?

Ответить
Развернуть ветку
Птиц

За 5 месяцев 300млн не освоишь, а за 5 лет - вполне.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Nikolay Panov

С появлением letsencrypt рынок дорогих сертификатов несколько подсдувается. Особенно в РФ.

Целью инициативы, разумеется, является более dpi чем мы имеем сейчас в связи с широким распространением https.

Ответить
Развернуть ветку
slugge

Чтобы использовать их сертификаты, надо быть очень смелым человеком

Ответить
Развернуть ветку
hakhagmon
На проект потребуется около пяти лет и порядка 300 млн рублей

все нормально, просто роспил, а потом как с тором скажут что не смогли

Ответить
Развернуть ветку
Мальчик Умный

Зато они попытались!

Ответить
Развернуть ветку
Николай Емашев

Дело-то хорошее, но зная как наши чиновники к нему подходят - становится грустно.

>>>"в правительстве утверждают, что идею создания отечественного УЦ пропагандирует компания Крипто-Про"....
>>если компании-разработчики ОС и браузеров не согласятся на предустановку российского сертификата, то этот вопрос будет решаться «мерами законодательного регулирования»...

А потом запретят другие средства шифрования, привяжут это к криптопро и для настройки https нужен будет этот самый криптопро. А вот только благодаря ФСБ эта штука не поддерживает PKCS#12, так как закрытые ключи должны находиться на съемных носителях.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Евгений Архангельский

Нездоровый интерес к тотальному контролю за интернетом в последнее время у государства. Сделать проще им свою сеть и закрыть железным занавесом весь интернет. Культ личности и Сталина обратно :))))

Ответить
Развернуть ветку
44 комментария
Раскрывать всегда