Огромное количество сайтов в рунете использует защищенное соединение: интернет-магазины, платежные системы, государственные сервисы, где пользователь вводит свои персональные данные. На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете.
— источник «Коммерсанта», близкий к АП
Собеседники издания в правительстве утверждают, что идею создания отечественного УЦ пропагандирует компания «Крипто-Про», которую они называют «тесно связанной с ФСБ». Коммерческий директор компании Юрий Маслов эту связь отрицает, но признаёт, что «около трети штата сотрудников "Крипто-Про" действительно являются бывшими сотрудникам ФСБ».
Он уточнил, что компания не обращалась в госструктуры с таким предложением, но консультировала чиновников по данному вопросу.
«Для обеспечения безопасности и защиты от сбора информации необходимо не только создать российский УЦ и добавить его в "доверенные" во все ОС и браузеры, но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования», — заявил Маслов.
По данным «Коммерсанта», в качестве площадки для создания УЦ рассматривается Технический центр интернет (ТЦИ), совладельцами которого являются Координационный центр национального домена сети интернет и Фонд развития сети интернет. Гендиректор ТЦИ Алексей Платонов заявил, что «официальных переговоров с госорганами ТЦИ на эту тему не проводил».
По его оценке, на создание УЦ с добавлением поддержки основных браузеров и операционных систем потребуется около пяти лет и 200-300 млн рублей. Источник «Коммерсанта», близкий к АП, заявил, что если компании-разработчики ОС и браузеров не согласятся на предустановку российского сертификата, то этот вопрос будет решаться «мерами законодательного регулирования».
По данным компании Reg.Ru, которая занимается продажей SSL-сертификатов мировых УЦ в России, в 2015 году число используемых SSL-сертификатов в доменной зоне .ru составило 124,5 тысячи. По подсчётам «Коммерсанта», средний объём продажи SSL-сертификатов в России ежегодно составляет около 6,2 млрд рублей.
В России есть УЦ, которые выдают собственные SSL-сертификаты, но они не предустановлены в ОС и браузерах, пишет «Коммерсантъ». При заходе на сайт с таким сертификатом пользователи получают уведомление о небезопасном соединении до тех пор, пока самостоятельно не добавят эти УЦ в «коренные доверенные центры сертификации» на своём компьютере, поясняет издание.
Объясните мне, откуда столько хейтерсва на вполне понятную и позитивную активность? Каковы причины зуда и попаболи от желания государства обеспечить безопастность работы своих служб? PS: мантру про "опять все попилят" давайте оставим в стороне ибо это не конструктивно.
...да, и вместе с тем, вполне спокойно живете с зондами от западных спецслужб через майкрософт и эппл, при этом нет в сети плача на сей счет.
Просто западным спецслужбам больше доверия, чем местным.
А с помощью своего сертификата, установленного в ваш браузер (или систему), они смогут читать весь ваш трафик. Вам это надо?
аргументище )))))
Был знаком как то с товарищем который утверждал что во всех процессорах закладки, которые отправляют все в иностранные спецслужбы.
Всегда смеюсь над тем что люди придумывают из-за непонимания как технологии работают
Павел, на счет закладок. Эта статья мне попалась на глаза оч давно. не знаю, насколько правдива история, но выглядит весьма убедительно. Спросил у гугла и удалось ее найти вот тут xakep.ru/2011/12/26/58104/
Если есть тут люди, профессионально владеющие темой, дайте знать ваше мнение.
ну вот америку пусть американце обсирают, а мы тут будем россию
Я так понимаю, что техническая сторона вопроса заключается в использовании гос-вом выданных сертификатов для доступа к закрытым соединениям пользователей. Ну и плюс бюджетик попилить как обычно?
Ещё в первое время создать кучу проблем с таким сертификатами в альтернативных ОС и браузерах.
Комментарий недоступен
Он должен быть именно корневым, иначе это будет то же самое что и сейчас. Так что никаких промежуточных сертификатов.
Комментарий недоступен
Не корневой сертификат может быть отозван тем кто его выдал. О чем они и говорят: "Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете."
Давно пора было это сделать! Ведь продажа SSL сертификатов это фактически продажа воздуха. На ней например 1 ярд баксов поднял Mark Shuttleworth - первый космический турист.
Если 6 ярдов рублей каждый год будут оставаться в стране - это прекрасно. Это вроде как стоимость пары станций метро в провинции.
Ну а если всякие msft & AAPL не будут вставлять сертификаты этого госцентра в свои браузеры - им же хуже, просто всем пользующимся госуслугами будут рекомендовать Яндекс.Браузер.
Я не думаю что отечественный центр поднимет на этом хотя бы $100
Надо озадачиться расширением к браузеру, или чем-то подобным, что будет проверять какие домены подписаны этим российским УЦ, чтобы не допустить MITM других сайтов.
Треть сотрудников бывшие ФСБшники? Они там чем в КП занимаются, программируют или криптоанализ через паяльник делают? Лучше бы софт свой привели в человеческий вид и техподдержку наладили, а то пользоваться невозможно!
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Бывших чекистов не бывает ))
Если сайт работает в россии, он должен использовать российский HTTPS, иначе он будет заблокирован. Ближайшее будущее.
2021 год - по всему миру начинаются продажи электрокаров, альтернативные источники энергии все больше и больше используются (Греф так говорит), в промышленности укрепляются 3д принтеры и умные материалы, Россия выпускает свой SSL-сертификат.
Следующим шагом заставят все почтовые и коммуникационные сервисы на территории РФ использовать сертификаты этого центра, а через год - приобрести оборудование для удобной организации MITM-атак и за свой счет предоставить ФСБ доступ к нему. Смекалочка!
Пять, сука, лет?
Лучше поздно, чем никогда.
Недавно купила мужу препарат, который посоветовала знакомая, так была в шоке от результата: наш секс стал в разы дольше и ярче (как в начале отношений), стояк крепче, оргазмы стали намного ярче и ощутимее. О этом уже в журналах пишут, вот --- https://surfe.be/4Mm
сертификат российский купи, чтобы всё безопасно ходило.
Господа, хватит истерить. MiTM атаку нельзя устроить даже если ты УЦ, т.к. для этого требуется приватный ключ от сертификата, который НИКОГДА не посылается в УЦ для создания(подписи) сертификата. Плюс, что бы такой УЦ внесли в список доверенных он должен присоедениться к certificate transparency initiative, а это уже не позволяет выписывать сертификаты левым доменам.
Если ты владеешь корневым сертификатом, можно даже не корневым, но с правом подписи на любой домен. То ты просто генерируешь фейковый сертификат на нужный домен и используешь его для MiTM.
Прецеденты уже были. В Китае у которого есть свои корневые сертификаты спалились на подделке Гугловых сертификатов https://habrahabr.ru/company/infopulse/blog/255251/.
Я и писал про Certificate Transparency Initiative, которая не дает выписать левый сертификат на домен. А без него не все браузеры будут а) добавлять такой УЦ к себе б) считать его сертификаты доверенными.
Ниже уже писали, что это придумано для зарабатывания 100500 денег, а не для контроля.
1. CTI никак не препятствует созданию поддельных сертификатов. А только позволяет постфактум это обнаружить.
2. Это пока экспериментальный RFC который поддерживается только хромом.
Что касается обнаружения, это не такая уж и большая проблема. Во первых это произойдет не сразу, а значит целевая атака к тому моменту будет уже завершена. Во вторых подделывать будет не с помощью корневого сертификата, а какой нибудь подставной фирмой (как в примере выше), забанят ее создадут новую. Опять же центры по сбору логов можно и забанить. Это защитит от полного прослушивания трафика, но не точечных атак.
Да, от атаки это не защищает, но после первой же атаки через УЦ, он перестает быть доверенным и всё. Нельзя абузить систему которая строится на доверии. Если бы разработчики и все участники это PKI находились в России, то можно было бы говорить о "глобальной прослушке" и "хитрых точечных операциях". А так один косяк и прощай доверие.
Просто почитайте историю по ссылке. CNNIC (China Internet Network Information Center — административное агентство, управляющее доменом cn и подконтрольное Министерству Информатизации Китая) выдал сертификат некой MCS Holdings, которая и спалились на MiTM атаке. В результате сертификат MCS отозвали, а CNNIC до сих пор живее всех живых. Можете открыть свой хранилище сертификатов своего браузера и убедится, что CNNIC все еще там и выкинуть его нельзя, потому что половина китайнета перестанет работать.
Ну это не противоречит тому что я говорю, раз попробовали и всё. Если бы CNNIC продолжали темные дела, то их бы выкинули из корневых.
offtopic: создается впечатление что на vc.ru полно "ботов" или школьников или ботов-школьников, которые не думая минусят/плюсят всё подряд.
Попались они на том, что у хрома корневой сертификат гугла зашит в код браузера и жестко привязан к своим доменам. Так что не известно, больше не пробовали или просто были осторожнее и не попадались.
Что касается атаки на CTI, тут самое уязвимое звено логи - их адреса известны, они централизованы. Так что их можно легко забанить и браузер не сможет отослать репорт про поддельный сертификат.
Комментарий недоступен
Учись читать.
Отличная идея, но почему пять лет? Технологии так быстро меняются, что через пять лет SSL может заменить новая технология ;-)
Может пять таки месяцев?
За 5 месяцев 300млн не освоишь, а за 5 лет - вполне.
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
С появлением letsencrypt рынок дорогих сертификатов несколько подсдувается. Особенно в РФ.
Целью инициативы, разумеется, является более dpi чем мы имеем сейчас в связи с широким распространением https.
Чтобы использовать их сертификаты, надо быть очень смелым человеком
все нормально, просто роспил, а потом как с тором скажут что не смогли
Зато они попытались!
Дело-то хорошее, но зная как наши чиновники к нему подходят - становится грустно.
>>>"в правительстве утверждают, что идею создания отечественного УЦ пропагандирует компания Крипто-Про"....>>если компании-разработчики ОС и браузеров не согласятся на предустановку российского сертификата, то этот вопрос будет решаться «мерами законодательного регулирования»...
А потом запретят другие средства шифрования, привяжут это к криптопро и для настройки https нужен будет этот самый криптопро. А вот только благодаря ФСБ эта штука не поддерживает PKCS#12, так как закрытые ключи должны находиться на съемных носителях.
Комментарий недоступен
Нездоровый интерес к тотальному контролю за интернетом в последнее время у государства. Сделать проще им свою сеть и закрыть железным занавесом весь интернет. Культ личности и Сталина обратно :))))